Что прячет Билли на вашем винте?
Создана: 16 Декабря 2007 Вск 15:45:33.
Раздел: "Паранойя"
Сообщений в теме: 1, просмотров: 2247
-
Опять глючит винда, падает сеть и файрвол орёт от порывов Micro-Soft (так назвала эту контору судя по всему жена Билли Гатеса) в веб. Мои попытки определить чё оно туда шлёт успехом не увенчались – вот и решил пошукать локально...
Статья посвящается всем кто свято уверен что за задницу его не возьмут, что проксы это панацея и всё такое. А кейлоггер со сниффером – вот они на диске С – хоть и глючат но все юзают. А имя этому монстру MS Форточки.
Если с аутглюком всё ясно – он просто не убирает письма из базы, то с остальным натужнее: нужен cmd.exe или DOS. Если вы об этом ничего не слышали - юзайте CaptainNemo32
Не буду рассказывать о процессе – идёмс к резалтам. Итого: мелкософт хранит всю историю посещения страниц в инете (даже если вы это дело регулярно чистите), все кукисы и все запросы. Причём это насколько я понял не только в IE но и во всех браузерах на его движке. Это есть бэд. Ещё можно найти все кукисы когда-либо побывавшие у вас на машине, и вообще чуть ли не все действия, произведённые в системе. И что ещё более занятно – сохраняются также все письма аутглюка – даже после удаления из корзины и (по непроверенным мною данным с [внешняя ссылка] все аттачи.
Это не вдаваясь в подробности. Помня что хакеры народ(нация можно сказать) дотошный, расскажу поподробнее. Итак – если вы юзаете Win9x или ME, то придётся немного подумать прежде чем применять нижеследующие советы – папочки то у вас иначе зовутся.
Ну (Да вы что совсем ох*ели, у вас что у всех крыши) поехали!
© Гагарин
ЧТО?
Сначала термины:
%systemroot% - папка с виндой
%user% - папка с вашим/не вашим профилем в Documents&Settings (windowsprofiles для 9х)
%history%, %temp% итд итп - без комментариев
\Если вы сами не знаете где у вас что – то в Me и NT-ядрах это можно посмотреть в настройках.
[OffTop] Вы никогда не замечали что после блуждания по нету папка винды начинает быстро расти(особенно актуально для вин9х) – вот тут то собака и зарыта[/OffTop]
Итак нас интересуют файлики index.dat (имя может и отличаться – но .dat точно) и контент в их папках. Папки(редко, но всё же) вариируются в зависимости от системы, настройки и версии IE – но найти их можно методом научного тыка.
Для NT это:
В %TemporaryInternetFiles% папка Content.IE5 – не смущайтесь что её не видно – просто наберите в коммандной строке. Итак – теперь мы видим папки с генерированными названиями. После месяца блужданий по нету их размер у меня достиг 55 метров!!! Это как правило кэш – пользы мало. Хотя попадаются pdf txt rar итд итп
Заберите index.dat -> скопируйте куданить в номальную папку и назовите ie.dat
Аналогично добываем кукисы: В %userz% папка с именем юзера а в ней папка Cookies (можно брать и из других мест)
Повторить операцию с index.dat и обозвать cookies.dat
Интересными могут оказаться папки истории болезни (винды в смысле) - %user%Local SettingsHistory – а в ней невидимая папочка history.ie5 – оттуда тоже заберём все index.dat и подпапки. Если не можете зайти – поставьте в начале и конце кавычки
Для 9х придётся полазить
c:windows empor~1
c:windowshistory
c:windowsprofiles\%user%...
c:windowsapplication data...
c:windowslocal settings...
c:windows emp...
Ваш вариант...
Ладно – закончили сбор файлА. Теперь бы прочитать. Просто так их смотреть неудобно – не plain текстом их писали. Для открытия будем использовать утильки(с ключами):
pasco.exe [-d если хотите восстановить запись активности- должно дать больше данных, но медленнее работает] <имя файла> а потом без пробела «>» и имя выходного файла
Пример: pasco –d index.dat>1.txt
Ждём пока нам создадут 1.txt и импортируем его в Excel или кто чем пользуется. Безграничные поля, разделитель TAB.
Получается симпатично. Можно почерпнуть много интересной инфы.
Например инфа о куках может быть заюзана для куки-spoof а а в файлах истории все запущенные и открытые доки/проги/файлы – бесценная инфа – особенно если ищешь полезняк на чужой машине.
На картинке я отобразил Web-Root и папку с копией сайта. И тут же пару доков и вход на сайт конфигурации сервака. Сессия правда закончилась – но подсказка есть.
На локальной машине заберите также ntuser.dat и .log из %user% - их мона забрать только под досом или погеммороившись!!! В них АФАИК храниться полный лог действий юзера. Я не видел в нете спеификаций структуры этих файлов – так что искать аналог паско будете сами - кто найдёт что-то полезное чиркните мне на WaReZ@TurboDownZ.DE
КАК?
Как удалить? Понимая что сейчас уже далеко не все знают что есть такая чтука как “dir /a /p” deltree итд итп – советую скачать себе EvidenceElliminator – говорят он это убивает – самому пробовать не довелось.
Как они это делают – всё довольно просто – Мелкие заСланцы с запада уже давно предусмотрели необходимость прятать от юзера что-то. Так например даже в DOS 6.22 эти папки можно увидеть только коммандой dir /a
Достигается это достаточно просто: в реестре эти папки записаны как системные + они скрыты и системны по аттрибутам. Но главный механизм скрыли в безобидных desktop.ini – это файл для кастомной настройки для папок (иконка там или картинка какая фоновая). Если хотите почитать о синтаксисе файлов – поищите в нете. У меня применить их для полезной задачи не вышло.
Судя по всему именно это перекачивают в нет MS, Adobe и прочее spyware/ Для избавления от этого всего КУПИТЕ Lavasoft AdAware6 и спите спокойно
Автор: TDz