...
...

Анализ сетевой активности

Первое замечание, предваряющее статью, о том, что реконструкция поведения пользователя в локальной сети имеет отличия, в зависимости от того, какие протоколы и/или сервисы были запущены, какого типа серверы (NT, Novell и др.) входят в сеть. В статье развит общий, сильно урезанный подход. Второе замечание, которое обязательно должно быть сделано, - это то, что анализ активности, построенный в статье, статичен, другими словами, предполагается, что пользователь вышел из сетевого сеанса (или выключил и оставил компьютер). На деле динамический (то, что в профессиональных терминах называют "Run-Time" - реального времени) анализ дает гораздо больше информации. Тема сниффинга (перехвата пакетов), сканирования портов и т.п. выходит за рамки данной статьи.

Для испытаний использовались Microsoft Network (Windows-серверы и клиенты), браузеры MS Internet Explorer версии 4.0 ([en] 4.71.1712.6) и Netscape Communicator версии 4.04 ([en]-97313), запущенные под Windows 95 OSR2.

Локальная сеть

Подстроки для поиска в системном реестре рекомендованы следующие: "Recent" (недавний), "Persistent" (постоянный), "username" (имя пользователя), "ProviderName" (в данном случае лучше перевести как тип сети).

Регистрация в системе

Имя последнего пользователя, регистрировавшегося в Windows-системе, хранится в разделе системного реестра: "HKEY_LOCAL_MACHINE\Network\ Logon", параметр "username". Если пароль для входа в систему не задан (нулевой длины) или по умолчанию выставлен "Обычный вход в Windows" в настройках сети, то имя пользователя можно явно не обнаружить и его необходимо искать в реестре.

Сетевой поиск

Подстроки с именами компьютеров, видные в окне с выпадающим списком в диалоге "Найти: Компьютер", поиск которых велся в сети, размещены в реестре в разделе: "HKEY_CUR-RENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FindComputerMRU". Это обсуждалось ранее, здесь приведено в качестве повторения.

Сетевые диски

Сетевые диски (папки), использовавшиеся в системе, видны в окне с выпадающим списком "Путь" в диалоге подключения дисков. Имена сетевых ресурсов хранятся в системном реестре в разделе: "HKEY_CURRENT_USER\Network\Recent" в виде "././Computer./Name", где "Computer" - имя компьютера, предоставлявшего ресурс, "Name" - имя сетевого ресурса (по умолчанию это или название папки, или буква, обозначающая логический диск). Представляют определенный интерес параметр с именем "UserName", выдающий пользователя, который подключался к сетевому диску, и параметр "ProviderName", описывающий тип сети ("Microsoft Network" и т.п.).

Если сетевые диски помечены для автоматического подключения при входе в систему, то их параметры прописываются в разделе реестра: "HKEY_CURRENT_USER\Network\Persistent", в подразделах, которым присваиваются имена логических дисков. Здесь уже появляется параметр "RemotePath" - сетевой путь, остаются параметры: "UserName" - имя пользователя, использовавшего ресурс, и "ProviderName", описывающий тип сети.

Записи также продублированы в реестре в корне "HKEY_USERS".

Разделяемые ресурсы

Полный список разделяемых ресурсов можно увидеть утилитой "NetWatcher" либо командой "Net view Computer", где "Computer" - имя компьютера в сети. В системном реестре список находится в разделе: "HKEY_LOCAL_MACHINE\SOFTWARE\Micro-soft\Windows\CurrentVersion\Network\LanMan".

Интерес для анализа представляют следующие параметры: "Path" - путь к сетевому ресурсу, "Remark" - описание ресурса, данное пользователем, "Parm2enc" - пароль для чтения, если он есть, "Parm1enc" - пароль для полного доступа, если он задействован. Криптосистема, хранящая пароли в реестре, реализована слабо: легко создать "коллизии" паролей или "составить таблицу отклика". Другими словами, преодолеть рубеж для доступа по паролю, имея доступ к реестру компьютера, разделяющего ресурсы по сети, достаточно просто.

Противодействие

Меры противодействия в данном случае просты и очевидны. Имеет смысл закрывать доступ к разделяемым ресурсам по завершению работы - это же и очистит содержимое реестра.

Сетевая конфигурация

Сетевую конфигурацию имеет смысл рассматривать если не для анализа активности, то для реконструирования сетевой топологии и работы пользователя в Интернет. Искомую конфигурацию можно увидеть в настройках сети и протоколах (ярлык "Сетевое окружение\ Свойства"). Доступ к настройкам может быть закрыт системным администратором, но есть обходной маневр. В системном реестре ссылка "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP" содержит следующие представляющие интерес параметры: "Domain" - имя домена, "HostName" - имя хоста, "NameServer" - список IP-адресов, задействованных DNS серверов, "NameServer1", "NameServer2" - IP-адреса серверов WINS, если они задействованы, "LMHostFile" - путь к файлу "lmhosts.sam", хранящий карту соответствия IP-адресов NetBIOS-именам компьютеров в сети. По умолчанию этот файл находится в папке Windows. IP-адрес компьютера и задействованные по умолчанию шлюзы прописываются в реестре в разделе: "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans", далее нужно пройтись по подразделам "0000", "0001", "0002" и т.д. в поисках параметров: "DefaultGateway" - IP-адреса шлюзов, "IPAddress" - IP-адреса, "IPMask" - подмаска сети. Номера пронумерованных подразделов соответствуют порядковым номерам сетевых протоколов, задействованных в системе.

Параметры с сетевыми настройками можно также получить с помощью утилиты "winipcfg.exe", находящейся в папке Windows.

Сетевые принтеры

Имена и параметры сетевых принтеров сохраняются в разделе системного реестра "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Printers". Первостепенный интерес представляют параметры "Name" - имя принтера, "Port" - сетевой адрес и имя принтера.

Краткую, малозначимую, информацию по принтерам (их именам) можно также получить, зайдя в раздел реестра: "HKEY_CURRENT_CONFIG\System\CurrentControlSet\Control\Print\Printers".

Противодействие

Мерой противодействия будет очистка содержимого реестра по указанным выше разделам. Следует отметить, что удаление содержимого в кусте "HKEY_CURRENT_USER" приведет к "автоматической" очистке соответствующего содержимого куста "HKEY_USERS".

Интернет-браузеры

Internet Explorer

Представляющие интерес для анализа активности локальные адреса, адреса Интернет или команды, которые вводились вручную в поле "Address", Explorer хранит в разделе реестра:

"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs". Этот раздел также продублирован в корне "HKEY_USERS". Кроме того, в браузере предусмотрено несколько пользовательских функций для работы с "историей". Первое - это кнопка "History" на панели инструментов, второе - это пункт меню "View\ Explorer Bar\ History", активизация которых выводит журнал истории посещений, отображаемому в виде "дерева".

Анализ содержимого меню "Favorites" ("Избранное") может быть хорошим подспорьем если не для получения конфиденциальной информации, то по крайней мере для составления психологического портрета, окружения, сферы интересов и хобби объекта. "Фавориты" видны в Internet Explorer в меню "Favorites". В русской версии Windows папка с "избранными" сетевыми адресами будет находиться в каталоге Windows, в подкаталоге "Избранное". Точное размещение на диске всех папок с настройками Windows, меню пользователя, папкой автозагрузки, папкой для личных документов, избранных Интернет-адресов, кэшем для Internet Explorer и т.п. отыскивается в разделе системного реестра: "HKEY_CUR-RENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders".

Размещение папки "Избранное" прописано в параметре "Favorites".

Противодействие

Очистить историю посещений можно, зайдя в настройки Explorer, вызвав меню "View\ Internet Options" далее страница "General", группа под общим названием "History", где есть кнопка "Clear History", очищающая журнал и список строк, введенных в поле "Address". Более радикально можно поступить, запретив сохранять "историю" вообще. Для этого необходимо в окне "Days to keep pages in history" выставить значение "0", что блокирует ведение журнала посещений. Но для очистки уже существовавшего журнала, тем не менее, следует принудительно сбросить журнал, нажав кнопку "Clear History".

Другой способ противодействия: после закрытия браузера удалить в папке "History", находящейся в каталоге Windows, поддиректории, созданные Explorer-ом для размещения журнала, вместе с содержимым, и очистить содержимое системного реестра.

Netscape Navigator

Для анализа активности представляют определенный интерес адреса Интернет, команды, которые набирались вручную в поле "Location". Navigator все это хранит вместе с другими настройками в обычном текстовом файле "prefs.js", расположенном по умолчанию в папке "\Program Files\Netscape\Users\default\" в строках вида: "user_pref("browser.url_history.URL_N", "typed url");", где "N" - порядковый номер и "typed url" - введенный пользователем адрес. Название вложенной папки "default" может меняться в зависимости от имени профиля, который был создан. Соответственно, таких файлов с настройками может быть несколько, в зависимости от количества созданных профилей.

Для облегчения серфинга в этом браузере создана прекрасная система регистрации страниц, посещавшихся последними (то, что по-английски называется "History"). Просмотреть ее можно, пройдя по пунктам меню "Communicator\History". Не стану приводить подробного описания всех функций, упомяну лишь поля, которые показывает Navigator и которые представляют интерес для "анализа активности": "Title" (титул страницы), "Location" (адрес страницы),

"First Visited" (период, прошедший с момента первого посещения), "Last Visited" (период, прошедший с момента последнего посещения), "Expiration" (время, до которого будет храниться ссылка), "Visit" (количество посещений). Перечень подобных сведений говорит сам за себя для "любителей подводить статистику". В меню "View" предусмотрена также сортировка по всем этим полям.

Кроме этого, для просмотра списка сетевых адресов существует недокументированная команда Netscape Navigator - "about:global". Вводить ее нужно в поле ввода адресов сетевых адресов "Location". Она выдает статистику в виде списка, подобного приведенному ниже:

URL: http://www.yahoo.com/secret.html

Date: Wed Oct 06 15:08:02 1999

URL: http://www.yahoo.com/top_secret.html

Date: Wed Oct 06 15:08:03 1999,

добавляя время посещения с точностью до минуты. Время захода на конкретный адрес можно вычислить и по значению поля "Expiration" из "History", отняв количество дней, отведенных для хранения ссылок в "Preferences" (Настройки) в разделе "Navigator".

Фавориты в Netscape Navigator в терминологии этого браузера называют обычно закладками. Закладки с адресами Navigator размещает в папках или "default" (по умолчанию) или в папке, имя которой может совпадать с именем профиля, созданного пользователем, в файле "bookmark.htm", который представляет собой обычный файл htm-формата.

Противодействие

В последующих версиях Navigator уже предусмотрено удаление списка адресов или команд, вводившихся в поле "Location", командой из меню пользователя. Для предыдущих версий, в том числе для той, которая описана в статье, следует открыть соответствующий файл "prefs.js" и отредактировать его, удалив строки с адресами.

В Netscape Navigator также реализована принудительная очистка журнала. Для этого необходимо зайти в меню "Edit\ Preferences...", далее элемент дерева "Navigator", группа "History". Нажатие кнопки "Clear History" приводит к очистке журнала посещений. Здесь же стоит отметить, что к очистке списка, хранящегося в файле настроек "prefs.js", это не приводит.

Как и в Internet Explorer, в Navigator-е предусмотрено управление временем, когда журнал посещений будет просрочен. Для этого в настройках ("Preferences..."), в группе "History", есть соответствующее окно ввода "Pages in history expire after:", где можно сделать автоматический сброс журнала, после закрытия браузера, выставив значение "0" дней. Есть и более "ломовой" способ - после закрытия браузера удалить файлы "prefs.js" и "netscape.hst", хранящие настройки и журнал соответственно. Браузер это выдерживает, создавая их заново при следующем запуске и выставляя настройки по умолчанию.

Werewolf

© Компьютерная газета

полезные ссылки
IP камеры видеонаблюдения