Сбор улик в системе… [статья для начинахщих]

[Serberg]

Сбор улик в системе… [статья для начинахщих хакеров]

Чтобы выследить Вас, не нужно специальных шпионских программ. Предатель и так уже живет в вашем компьютере. Windows знает, чем вы занимались, и охотно делится этой информацией.

В этой статье
Поиск слабых мест в Windows. Заметаем следы, удаляем данные. Как заставить Windows молчать. Полицейские методы.

Пароли, имена пользователей, фотографии с последней вечеринки — некоторые данные, хранящиеся на вашем компьютере, касаются только Вас. Однако в мире Windows понятие «личная жизнь» не имеет особого веса. Операционная система регистрирует все ваши действия и честно рассказывает о них Microsoft, хакерам, любопытным коллегам и властям — любому, кто хорошенько попросит. Однако есть способы противодействовать шпионским повадкам ОС.

В этой статье речь пойдет не о брандмауэрах и антивирусах, а методах, которыми вы можете воспользоваться, чтобы предотвратить утечку данных с вашего компьютера.

Считывание данных.

Что ХР может рассказать о Вас ? ….

Windows ХР может рассказать о многом: о ваших паролях, посещенных вами сайтах, скачанных файлах, установленных и удаленных приложениях... К счастью, скрыть всю эту информацию не очень сложно — достаточно воспользоваться нашими советами.

Буфер раскрывает пароли
Программа: JavaScript

Вы принадлежите к числу пользователей, которые копируют пароли в онлайновые формы через буфер обмена? От этой привычки стоит отказаться: дело в том, что некоторые веб-страницы могут считывать содержимое этого буфера. Правда, такое происходит лишь в том случае, если вы пользуетесь Internet Explorer.

Покажем, как это делается, на простом примере: введите пару слов в Блокноте или Word и скопируйте их с помощью комбинации клавиш «Ctrl+С». Теперь откройте internet Explorer и зайдите на сайт ie-clipboard-test. Там вы увидите содержимое собственного буфера. Правда, в Internet Explorer 7 сайт получает доступ к буферу только с вашего разрешения. Но если вы используете более ранние версии браузера, то скопированный текст сразу же появится перед вами.
Секрет этого сайта заключается в JavaScript-модуле, который копирует текст из буфера и показывает его. Наилучший выход — перейти на Firefox или Opera.

Браузер показывает ваш маршрут в Сети
Программа: X-Ways Trace[СКАЧАТЬ](200 кб)

И маркетологам, и правоохранительным органам хочется знать, какие сайты Вы посетили, сколько времени провели на них и какие файлы скачали. Чтобы узнать, что именно видят шпионы, воспользуйтесь программой X-Ways Trace (ссылка на закачку чуть выше). Она считывает индексный файл браузера и выдает подробную информацию о вашем поведении в Сети.

Попробуйте проделать это сами: распакуйте Trace на USB-носитель и запустите с него файл trace.exe (так вы не оставите никаких следов на жестком диске). Затем откройте файл, который называется, в зависимости от браузера, index.dat (Internet Explorer), history.dat (Firefox) или dcache4.url (Opera). Обычно он хранится в папке Documents and Settings/Имя пользователя/Application Data/ Название браузера (Если лень возится то можно указать в поиске интересующий Вас файл с сужением диапазона поиска до папки Documents and Settings). Вы увидите, какие сайты, когда и как долго были открыты, сколько именно раз посещалась та или иная страница (visit count) и какие файлы вы скачивали (смотрите скриншот).

Это еще не все: выберите в X-Ways-Тгасе пункт меню «File | Open Disk» и укажите раздел Windows. Программа отобразит данные об учетной записи пользователя. Так, например, вы узнаете, что ваш сын под именем пользователя «Вова» 6 декабря между 10 и II часами вечера скачал с сайта www.kazaa.com файл пол названием music.mрЗ.

Пакетный файл считывает системные данные.

Получить список всех скрытых системных файлов и полную сетевую конфигурацию компьютера совсем нетрудно. Просто запишите две приведенные ниже команды в файл с расширением .bat и запустите его, а затем откройте файл С:\результат.txt — все данные будут записаны в него.

Код:

dir /q /s /a:h /t:a %systemroot% >> c:\результат.txt
ipconfig /all >> c:\результат.txt

С технической точки зрения происходит следующее: по команде «dir», за которой следует несколько параметров, пакетный файл считывает все скрытые системные файлы, сортирует их по названию в алфавитном порядке и ставит каждый в соответствие тому или иному пользователю, а также показывает время последнего обращения к документу. Сетевая конфигурация считывается простой командой «ipconfig /а11». Эти данные могут казаться бесполезными, но не для маркетологов или властей.

Предательский реестр
Программа: AD Registry Viewer

Windows запоминает, какие пользователи работают на компьютере, когда они заходят в систему, как часто меняют пароль и, что особенно интересно, как долго текущий пароль будет действителен.
Все эти сведения Windows хранит в базе данных SAM (Security Account Manager), которая является составной частью реестра. Правда, доступа к SAM не имеют даже администраторы. Если запустить Regedit и вызвать HKEY_LOCAL_MACHINE\SAM, это ничего не даст. Однако существует несложный обходной путь: откройте в программе Registry Viewer (accessdata.com) файл windows\system32\config\sam.bak. Найдите подключ SAM\Domains\Account\Users. Вы увидите имеющиеся пользовательские учетные записи в шестнадцатеричном представлении. На нашем тестовом компьютере мы нашли учетную запись администратора, просто щелкнув по «000001F4». В поле под деревом каталогов показано время последнего входа в систему для данного пользователя — «Last Logon Time». В качестве «Last Password Change Time» (время последней смены пароля) у нас, вынуждены признаться, значится «Never».
Сохранить эти интересные сведения в демоверсии Registry Viewer нельзя. Но ничто не помешает вам просто сделать скриншот.

Восстанавливая систему, спасаешь вирусы
Программа: Restore Point Analyzer, MX.

Восстановление системы поистине можно назвать находкой для шпиона. Windows показывает, когда какие программы были установлены или удалены. Программа Restore Point Analyzer помогает разобраться во всей этой информации.

Отправным пунктом будет файл С:\Wrindows\System32\Restore\filelist.xml. Откройте его в браузере двойным щелчком. В списке файлов указано, какие файлы и папки были включены («Include») в процесс восстановления системы, а какие исключены («Exclude»). Тут приложения могут заносить себя в ту или иную категорию самостоятельно. Например, вирус может регенерироваться при каждом восстановлении системы.
Вызвав список файлов на нашем тестовом компьютере, мы сразу же наткнулись на неизвестный нам документ: C:\placeholder\ph.dll. Стоит открыть папку С:\, как становится ясно, что дело темное: подпапки placeholder в ней нет. Даже опция отображения скрытых файлов ничего не дает.

На сайте programchecker.com мы выяснили, что файл принадлежит почтовой программе Eudora, которая была установлена на компьютере некоторое время назад. Отбой... Однако имя папки не совпадает. Eudora должна сохранять файлы в папку qualcomm\eudora, ни о каком placeholder речи нет.
Пришло время разобраться, как происходило восстановление системы. Все точки восстановления хранятся в папке System Volume Information, открыть которую может только сама Windows. Чтобы изменить права доступа, вызовите Командную строку и введите следующую команду (в одну строчку):

Код:

cacls "C:\system volume information" /E /G Имя пользователя:F

где С:\ — это раздел с Windows. Не забудьте также подставить свое имя пользователя! Теперь запускаем программу Restore Point Analyzer (mandiant.com) и открываем только что разблокированную папку через пункт меню «File | Open Folder». Программа выведет содержимое нескольких changelog-файлов. В них перечисляются все инсталлированные или измененные программы и файлы, которые принимаются во внимание при создании точки восстановления. В строке Eudora фигурирует имя соответствующего файла точки восстановления — в нашем случае это A0063994.ini.

Мы закрываем Restore Point Analyzer и находим ini-файл в каталоге System Volume Information. Далее понадобится hex-редактор. Мы ищем в ini-файле следы ph.dll: был ли этот файл (то есть ph.dll) переименован, изменяет ли он сам другие файлы. Это значило бы, что мы имеем дело с вредоносным ПО.
Находим команды удаления Eudora и папку placeholder. Теперь все становится на свои места: Eudora создала эту папку при инсталляции и внесла в filelist.xml соответствующую запись, чтобы папка placeholder учитывалась при восстановлении системы. При деинсталляции данная запись не была удалена из filelist.xml, хотя должна была.
Мы исправляем эту ошибку: для начала щелкаем правой кнопкой мыши по значку файла filelist.xml и отключаем защиту от записи — «Read only». Затем открываем файл в текстовом редакторе и удаляем строку «C:\placeholder\ph.dll» вместе с тегами <lnclude> и </Include>. Далее сохраняем файл, затем опять активируем защиту от записи и вводим в командной строке следующее:

Код:

cacls "C:\system volume information" /E /R Имя пользователя

Таким образом, мы отказываемся от прав доступа к папке System Volume Information. Эта мера ограничит доступ злоумышленников.


КАК БОРОТЬСЯ СО ШПИОНАЖЕМ
Заметаем следы.

Осознав, насколько глубоко могут проникнуть хакеры, вирусы и сотрудники спецслужб, можно приступать к защитным мерам.

Удаление файлов-протоколов
Программа: CCleaner

Операционная система Windows ХР (не говоря уже о Vista) записывает в специальные файлы абсолютно все происходящее в системе. Хакеры считывают эти файлы или добавляют новые, которые на самом деле содержат вирусы. За этим слабым местом также стоит следить.
Здесь мы воспользуемся программой CCleaner (скачать тут) — она основательно чистит реестр и располагает специальными опциями удаления для файлов протоколов и индекса браузера. Активируем их все в диалоговом окне «Cleaner» и щелкнем по кнопке «Analyze». Так вы будете видеть, что за файлы стирает программа. Если среди них есть что-то нужное, просто уберите файл из списка («Options | Exclude). Аналогичным образом очищаем реестр: он тоже может стать объектом шпионажа.

Чистка свободных областей жесткого диска
Программа: Space Eraser

Удалить файл — еще не значит избавиться от него насовсем. С помощью программы типа PC Inspector File Recovery шпионы легко восстановят стертые данные. Проблему решит утилита Space Eraser, которая многократно записывает в освободившиеся области случайные данные.

Открыв Space Eraser, выбираем диск, где находится Windows, и увеличиваем число заходов. По международным стандартам, необходимо 32 перезаписи, чтобы информация навсегда канула в небытие. Но такая осторожность требуется редко, так что достаточно будет и нескольких проходов. Затем щелкаем по кнопке «Start» и просто дожидаемся, когда Eraser выполнит свою задачу. Если после этого свободного места на диске останется слишком мало, стираем с очищенного диска файл erazer.dat и удаляем его из Корзины.

В качестве простого варианта для стиарния удаленных данных можно воспользоваться программой Disk Cleaner, размером всего в 300 кб (СКАЧАТЬ). Эта программа записывает произвольные данные на свободное место на жестком диске до тех пор пока его не заполнит, тем самым она записывает новые данные поверх стырх данных и не даст восстановить информацию.

Маскируем расположение файлов
Программы: defrag.exe, Auslogics Disk Defrag

Ваш ПК уже достаточно надежно защищен от типичных атак. Однако спецслужбы пользуются программами типа EnCase, которые показывают, в каком секторе жесткого диска хранился тот или иной файл. Против этого есть одно элементарное средство. При дефрагментации Windows по-новому располагает файлы на жестком диске: они перемещаются в последовательные сектора. Хотите верьте, хотите нет, но лог-файла, который описывал бы прежнее состояние жесткого диска, Windows не создает. Так что шпионы, решившие создать копию недавно дефрагментированного жесткого диска, собьются со следа: выяснить первоначальное расположение данных уже не удастся. Для дефрагментации достаточно встроенной функции Windows — defrag.exe. Если она по какой-либо причине Вас не устраивает, можете воспользоваться одной из альтернативных программ - например Auslogics Disk Defrag (Качаем здесь).

КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ
«Намордник» для Windows

Теперь шпион на вашем компьютере вряд ли что-то найдет. Однако Windows по-прежнему легко может поделиться вашей персональной информацией. Поэтому сейчас мы рассмотрим, как остановить атаки из Интернета и сделать так, чтобы Windows не смогла раскрыть ваши секреты потенциальным злоумышленникам.

Нейтрализуем предателей в ХР и Vista
Программы: xpy, Vista[СКАЧАТЬ]

В Windows ХР тайные переговоры с Microsoft пресекаются с помощью программы xpy. Для пользователей Vista существует версия xpy под названием Vista, оптимизированная для новой ОС.
После инсталляции и запуска программы хру вы увидите список опций. Отмечать их все («Аll possible settings») мы не рекомендуем: помимо ценных опций, таких как отключение узнавания пользователя во время интернет-сессии, в программе доступно много не слишком полезных, поэтому рекомендуем ограничиться вариантом «ХР Antispy settings».

Перекрываем секретные каналы
Программа: Stream Explorer
Скачать NTFS Stream Explorer 1.02 тут

В файловой системе NTFS к документам можно «привязывать» информацию, которая не будет отображаться в обычных приложениях — это так называемые «альтернативные потоки данных» (Alternate Data Streams, или ADS). Их нередко использует вредоносное ПО для маскировки своего кода. Мы продемонстрируем, как выявить поток данных, на вполне безобидном примере. Нашей жертвой будет утилита AutoRuns от компании Sysinternals, которая выдает список всех автоматически запускающихся объектов в Windows. После запуска Stream Explorer отметим каталог Autoruns861.

В окне рядом отобразятся четыре файла, каждый из которых содержит как минимум два потока ADS. Поток <default> представляет собой главный поток NTFS — удалять его нельзя ни в коем случае. Еще один поток, помеченный ключиком, под названием <no name> мы оставим на потом. Третий поток, который теоретически может содержать вредоносное ПО, относится к лицензионному соглашению Eula.txt. Щелкнув по нему, вы увидите двоичный код и (если он имеется) интегрированный ASCII-текст.

Но в нашем случае двоичный код ничего не проясняет. Многие программы сохраняют в скрытых ADS-потоках метаданные — например, ссылки на автора. Поэтому мы щелкаем по значку файла Eula.txt правой кнопкой мыши и выбираем «Properties», однако ожидаемой информации там не находим. Так что на всякий случай удалим этот поток. Вот как это делается: запускаем командную строку и находим в дереве каталогов папку AutoRuns. Последовательно вводим команды:

Код:

ren eula.txt temp.txt
type temp.txt > eula.txt 
del temp.txt

При переименовании файла ADS-поток стирается, в чем мы можем убедиться с помощью Stream Explorer.
Наконец мы обращаемся к потоку, отмеченному ключиком. Зачем он понадобился программистам AutoRuns? Разгадку мы находим в реестре. С помощью функции «Find» в меню «Edit» ищем «autoruns». Там имеется подключ Streams, который содержит значение «Eula Accepted». Таким образом, скрытый ADS-поток просто проверяет, принято ли лицензионное соглашение. Все подозрения сняты — пусть этот поток остается в системе.

Выводим доносчиков на чистую воду
Программа: ProcX[СКАЧАТЬ]

К сожалению, среди инсталлированных приложений и служб Windows тоже есть предатели, но бесплатная программа ProcX (Домашняя страница) поможет их разоблачить. Она не требует инсталляции: достаточно запустить файл ProcX.exe — и вы сразу же увидите все работающие программы и службы. Те из них, которые могут передавать данные в Интернет, обозначаются зеленым символом. Интересно найти в поисковике процессы с ничего не говорящими названиями вроде alg.exe. Если верить Microsoft, речь идет о службе шлюза уровня приложения (Application Layer Gateway), то есть своеобразных воротах, которые Windows открывает, когда какое-либо приложение пытается выйти в Интернет. Опасности эта служба не представляет. Но, может быть, мы сумеем обойтись без нее?

Чтобы это выяснить, мы закрываем Firefox — единственную на данный момент программу, которая имеет соединение с Интернетом. Далее — щелчок правой кнопкой мыши по значку файла alg.exe и команда «Terminate». После щелчка по «ОК» служба окажется деактивирована. Мы запускаем РrосХ, открываем Firefox и заходим на произвольный сайт. Соединение устанавливается успешно, но alg.exe, вопреки ожиданиям, не перезапускается. Выходит, что на нашем тестовом компьютере соединение может быть установлено и без этой службы. Далее задаем в командной строке команду:

Код:

services, msc

и получаем перечень всех служб Windows. Находим там Application Layer Gateway и деактивируем ее. По этой схеме стоит проверить в РrосХ все службы и программы, помеченные зеленым значком. Ненужных «болтунов» просто отключаем.

Windows как бастион
Программы: Comodo, AntiVir РЕ, Spamihilator

Напоследок, чтобы не бояться хакеров и любопытных рекламщиков, установите на свой компьютер брандмауэр, антивирус и программу для защиты от спама. Для того чтобы Вам далеко не бегать я выкладываю все ссылки на закачку данного софта:

• Comodo Personal Firewall Pro 3.0.25.378 / 2.4.176 RU Смтреть тут
• Avira AntiVir Personal 8.1.0.367 Смтреть тут
• Spamihilator 0.9.9.42 Смотреть тут

Материал взят из журнала CHIP.
Отсканировал, откорректировал и дополнил статью: Serberg
Автора статьи не помню (Извиняйте)

[fire38]

а номер журнала какой

[Serberg]

а номер журнала какой

Майский 2008 года

[T.B.M.]

че мозги убивать то, поставь Linux и забудь о шпионах и спи спокойно

сама Винда - это один большой троян + оболочка explorer.exe

[hacho]

че мозги убивать то, поставь Linux и забудь о шпионах и спи спокойно

Linux- весчь не спорю. Но не думаю что это выход для большинства пользователей. Ведь основная часть пользователей состоит из тех кто и Виндой то пользоваться не умеет (извиняюсь за каламбурчик), а что такое Linux - для них вообще тайна. Для многих само понятие Операционная Система -ни о чем не говорит. Звонят, допустим и говорят о какой-то проблеме, спрашиваю ОС какая стоит, а мне отвечают-"как какая?,-я же говорю майкрософт Оффис Ворд". Вот так-то, так, что статья я считаю очень полезная, спасибо Сереге, может пригодится многим, и тем кто только начинает пользоваться компом и более опытным.