Index · Правила · Поиск· Группы · Регистрация · Личные сообщения· Вход

Список разделов Паранойя
 
 
 

Раздел: Паранойя Что прячет Билли на вашем винте? 

Создана: 16 Декабря 2007 Вск 15:45:33.
Раздел: "Паранойя"
Сообщений в теме: 1, просмотров: 2263

  1. shvarc


    Активист


    Более 10 лет на форумеМуж.
    16 Декабря 2007 Вск 15:45:33
    Опять глючит винда, падает сеть и файрвол орёт от порывов Micro-Soft (так назвала эту контору судя по всему жена Билли Гатеса) в веб. Мои попытки определить чё оно туда шлёт успехом не увенчались – вот и решил пошукать локально...

    Статья посвящается всем кто свято уверен что за задницу его не возьмут, что проксы это панацея и всё такое. А кейлоггер со сниффером – вот они на диске С – хоть и глючат но все юзают. А имя этому монстру MS Форточки.

    Если с аутглюком всё ясно – он просто не убирает письма из базы, то с остальным натужнее: нужен cmd.exe или DOS. Если вы об этом ничего не слышали - юзайте CaptainNemo32

    Не буду рассказывать о процессе – идёмс к резалтам. Итого: мелкософт хранит всю историю посещения страниц в инете (даже если вы это дело регулярно чистите), все кукисы и все запросы. Причём это насколько я понял не только в IE но и во всех браузерах на его движке. Это есть бэд. Ещё можно найти все кукисы когда-либо побывавшие у вас на машине, и вообще чуть ли не все действия, произведённые в системе. И что ещё более занятно – сохраняются также все письма аутглюка – даже после удаления из корзины и (по непроверенным мною данным с [внешняя ссылка] все аттачи.



    Это не вдаваясь в подробности. Помня что хакеры народ(нация можно сказать) дотошный, расскажу поподробнее. Итак – если вы юзаете Win9x или ME, то придётся немного подумать прежде чем применять нижеследующие советы – папочки то у вас иначе зовутся.

    Ну (Да вы что совсем ох*ели, у вас что у всех крыши) поехали!
    © Гагарин



    ЧТО?


    Сначала термины:

    %systemroot% - папка с виндой

    %user% - папка с вашим/не вашим профилем в Documents&Settings (windowsprofiles для 9х)

    %history%, %temp% итд итп - без комментариев



    \Если вы сами не знаете где у вас что – то в Me и NT-ядрах это можно посмотреть в настройках.



    [OffTop] Вы никогда не замечали что после блуждания по нету папка винды начинает быстро расти(особенно актуально для вин9х) – вот тут то собака и зарыта[/OffTop]



    Итак нас интересуют файлики index.dat (имя может и отличаться – но .dat точно) и контент в их папках. Папки(редко, но всё же) вариируются в зависимости от системы, настройки и версии IE – но найти их можно методом научного тыка.



    Для NT это:



    В %TemporaryInternetFiles% папка Content.IE5 – не смущайтесь что её не видно – просто наберите в коммандной строке. Итак – теперь мы видим папки с генерированными названиями. После месяца блужданий по нету их размер у меня достиг 55 метров!!! Это как правило кэш – пользы мало. Хотя попадаются pdf txt rar итд итп



    Заберите index.dat -> скопируйте куданить в номальную папку и назовите ie.dat



    Аналогично добываем кукисы: В %userz% папка с именем юзера а в ней папка Cookies (можно брать и из других мест)

    Повторить операцию с index.dat и обозвать cookies.dat



    Интересными могут оказаться папки истории болезни (винды в смысле) - %user%Local SettingsHistory – а в ней невидимая папочка history.ie5 – оттуда тоже заберём все index.dat и подпапки. Если не можете зайти – поставьте в начале и конце кавычки


    Для 9х придётся полазить


    c:windows empor~1
    c:windowshistory
    c:windowsprofiles\%user%...
    c:windowsapplication data...
    c:windowslocal settings...
    c:windows emp...
    Ваш вариант...


    Ладно – закончили сбор файлА. Теперь бы прочитать. Просто так их смотреть неудобно – не plain текстом их писали. Для открытия будем использовать утильки(с ключами):


    pasco.exe [-d если хотите восстановить запись активности- должно дать больше данных, но медленнее работает] <имя файла> а потом без пробела «>» и имя выходного файла

    Пример: pasco –d index.dat>1.txt

    Ждём пока нам создадут 1.txt и импортируем его в Excel или кто чем пользуется. Безграничные поля, разделитель TAB.


    Получается симпатично. Можно почерпнуть много интересной инфы.


    Например инфа о куках может быть заюзана для куки-spoof а а в файлах истории все запущенные и открытые доки/проги/файлы – бесценная инфа – особенно если ищешь полезняк на чужой машине.


    На картинке я отобразил Web-Root и папку с копией сайта. И тут же пару доков и вход на сайт конфигурации сервака. Сессия правда закончилась – но подсказка есть.


    На локальной машине заберите также ntuser.dat и .log из %user% - их мона забрать только под досом или погеммороившись!!! В них АФАИК храниться полный лог действий юзера. Я не видел в нете спеификаций структуры этих файлов – так что искать аналог паско будете сами - кто найдёт что-то полезное чиркните мне на WaReZ@TurboDownZ.DE


    КАК?

    Как удалить? Понимая что сейчас уже далеко не все знают что есть такая чтука как “dir /a /p” deltree итд итп – советую скачать себе EvidenceElliminator – говорят он это убивает – самому пробовать не довелось.


    Как они это делают – всё довольно просто – Мелкие заСланцы с запада уже давно предусмотрели необходимость прятать от юзера что-то. Так например даже в DOS 6.22 эти папки можно увидеть только коммандой dir /a

    Достигается это достаточно просто: в реестре эти папки записаны как системные + они скрыты и системны по аттрибутам. Но главный механизм скрыли в безобидных desktop.ini – это файл для кастомной настройки для папок (иконка там или картинка какая фоновая). Если хотите почитать о синтаксисе файлов – поищите в нете. У меня применить их для полезной задачи не вышло.
    Судя по всему именно это перекачивают в нет MS, Adobe и прочее spyware/ Для избавления от этого всего КУПИТЕ Lavasoft AdAware6 и спите спокойно Норм

    Автор: TDz