密码、用户帐号、最近聚会时拍下的照片。这些被塞进计算机的个人数据本应该都只是归我们自己所有。不过事实却是在微软的Windows王国中,“隐私”这个词本身就是几乎不存在的东西。我们的Windows操作系统在工作之余还会忠实地记录所有的操作行为和信息,并且很可能会将这些信息乖乖地交给别有用心的黑客、微软、周围好奇的同事等所有对这些信息感兴趣的人。别灰心,我们仍旧有办法让这个喜欢喋喋不休四处传播隐私的长舌妇闭嘴。千万别将期望寄托在那些普普通通的防火墙或者杀毒软件上。我们将为大家介绍的是一些仍颇受争议的特殊方法,这些方法甚至被国外很多国家安全机构所采用。而且大家不需要太费周折就可以使用到这些方法,需要的工具都可以从我们随刊附赠的光盘中找到。
读取用户个人数据
看看XP都泄露了哪些秘密
在进行安全自救行动之前,我们首先需要知道计算机中哪些数据受到威胁和攻击,以及这些攻击行为是如何发生的。在大多数情况下,这些数据是通过互联网或用户个人数据文件夹泄露出去的。
经剪贴板外泄的密码工具:
JavaScript
不知道大家是否也曾通过复制、粘贴的方式在网站的登录对话框中粘贴过密码呢?
千万小心,这种行为是一种典型的错误,经过特别制作的网站页面可以读取Windows剪贴板中的内容,也就是说所有被复制的数据都将被其读取。不过目前这种问题仍只有在使用IE的时候才会发生。
我们使用一个简单的例子来向大家说明这一过程究竟是如何发生的。在记事本或者Word中输入一些文字,然后选中这些文字并按下复制的快捷键“Ctrl+C”,这样这些文字就会被复制到剪贴板中。接下来打开IE浏览器,并在浏览器的地址栏中输入下面的这个测试链接地址:http://www.novnet.org/pub/ie-clipboard-
test/ie-clipboard-test.html
如果IE是6.0或更早的版本的话,我们将很快看到刚才复制到剪贴板中的文字。不过如果IE浏览器的版本是7.0的话,浏览器在访问这个页面的时候将弹出提示对话框,它将询问用户是否允许这个页面访问剪贴板。
小窍门
这个网站的网页包含了一个使用JavaScript构建的脚本,这个脚本可以从剪贴板中将数据拷贝出来并显示在网页中。我们惟一的补救方案就是使用Firefox或者Opera浏览网页。
浏览器会泄露我们的上网记录 (工具:X- Ways Trace)
市场调查公司、数据分析公司和警察都希望知道我们访问了哪些站点,在某个网页上停留了多长时间,进行了什么操作或者下载了什么文件。我们同样可以使用工具X-Ways来完成这些跟踪工作,这个工具可以从我们的光盘或者www.x-ways.net上找到,在这个网站上我们还可以找到该工具的操作方法。它可以读取浏览器缓存中的索引文件,这个文件包含了我们浏览网页的记录信息。我们可以自己进行测试,将这个程序解压缩到USB闪存盘上,然后运行里边的程序“trace.exe”。
接下来我们就可以看到各种与浏览网页相关的信息,例如曾经打开过哪些网页,某个网页在什么时候打开以及浏览了多长时间,某个站点的浏览频率以及我们曾经在某个网站上下载过什么程序。
让我们继续尝试更进一步,在XWays-Trace中选择“File”-“
Open
datacarrier”,然后将路径指向Windows的安装分区。软件将列出这台计算机上所有帐号的网页浏览记录。例如,可以查看用户名为“Andi”的用户曾经从网站
www.kazaa.com/de上下载了一首名为“
musik.mp3”的音乐,我们甚至可以看到下载时间为12月16日,在10点到11点之间。
批处理文件可以读取系统文件 (工具: CHIPTrojaner.
bat)
一个4KB大小的小文件,运行之后可能仅需要短短不到一分钟的时间,就可以将所有隐藏的系统文件都罗列出来,而且我们计算机中的网络配置信息也会被其获取到。我们为大家提供的批处理文件就是一个简单的例子,它用来向大家说明制作这么一个间谍程序是多么容易。
大家从我们的光盘中可以找到文件“CHIP-Trojaner.bat”,将这个文件拷贝到桌面上,双击这个文件运行它,这个小小的间谍工具将建立一个文本文档文件,这个文件将会保存在C盘的根目录下并命名为“Ergebnis.txt”,这个文本文档中将记录我们在上边提到的这些信息。
下面我们从技术角度上来了解一下这个批处理文件的工作方式。这个批处理文件运行了“dir”命令,通过在该命令上加载参数,它可以读取所有隐藏的系统文件,并按照字母顺序进行分类和排列,同时每个文件的所有者以及这些文件最近一次的访问时间也都会被罗列和显示出来。我们使用类似的系统内置命令同样可以获得网络配置的相关信息,这条命令就是简单的:ipconfig/
all
注册表将用户出卖 (工具: AD Registry Viewer)
Windows非常勤劳和朴实,以至于它会记录那个用户已经登录了这台计算机,以及这个用户一般习惯什么时候登录和改变密码的频率。有趣的是,它甚至还会记录用户密码的有效期还有多久。
在使用
WindowsNT内核的操作系统中,Windows将我们上边提到的这些信息保存在SAM( Security Account
Manager)数据库中。如果使用光盘启动计算机并将这个文件删除,甚至会将用户的登录密码完全清除。因此这个文件在系统运行的状态下会被高度保护,甚至就连整个系统的管理员(
administrator)都无法访问SAM。尽管我们可以打开 Wi n d
ows的注册表编辑器,然后访问“HKEY_LOCAL_MACHINE\SAM”分支,但这完全无济于事。惟一可以有效的方法就是尝试使用我们下边为大家介绍的工具。它将帮助我们非常轻松地访问到这些“机密”数据。软件可以从我们的光盘或www.accessdata.com中找到,运行软件然后进入系统的安装分区定位到“windows\system32\config\sam.bak”路径下,然后展开子项目“SAM\
Domains\Account\Users”,我们将可以在这些16进制的项目中找到用户帐号的信息。例如在我们的测试机上,“
000001F4”就对应了这台计算机的管理员帐号名“Administrator”,在整个目录树中的“ Last
LogonTime”项目中我们还能够找到用户最近一次登录计算机的时间。当然我们还可以在“ Last Password
ChangeTime”中找到最近一次密码的修改时间。不过遗憾的是Demo版本的软件不允许我们保存这些有价值的结果,如果只是为了阅读这些信息,做个屏幕截图应该是不错的选择。
系统还原挽救了病毒 (工具: Restore
PointAnalyzer, MX)
系统还原绝对是一个彻头彻尾威胁数据安全的恶魔,这是Windows保存我们秘密的重要仓库,它保存了应用程序安装或删除的时间。不信?那就让我们用工具
Restore PointAnalyzer找找看吧。
我们第一个有价值的切入点是位于“C:\Windows\System32\Restore\”路径下的文件“filelist.xml”。使用资源管理器进入这个路径并双击打开这个文件。这个文件所罗列的内容已经明确地向我们指明了哪些文件和目录是包含(或不包含)在系统还原的范围内的。在保护范围的应用程序可以被这个程序自动进行恢复。当然,病毒也完全能够把自己写入这个文件,并随着每一次的系统还原死而复生。
在测试PC上,我们在使用上边的方法罗列所有被系统还原所包含的文件时,我们敏锐地发现一个可疑文件“C:\placeholder\ph.dll”,当我们打开C盘的根目录时可疑的现象表现的更为明显,在C盘的根目录下根本没有一个名为“placeholder”的文件夹。我们尝试显示并查看所有的隐藏文件和系统文件之后,这个可疑的家伙仍旧没有露面。
在网站www.programchecker.
com上我们了解到这个动态链接库程序ph.
dll本该归一个邮件客户端程序Eudora所有,而这个应用程序已经在我们的测试计算机上存在了一段时间了。我们本以为威胁警报已经暂时得到了解除,但是经过仔细辨别我们发现,尽管文件名正确,但是文件目录仍旧值得怀疑。通常情况下Eudora这个软件应该在“
qualcomm\eudora”下建立各种它需要的文件,而且它并不会建立“placeholder”目录。
为了弄清这个问题,我们接下来开始尝试对系统还原动手。默认情况下,所有的系统还原点都被保存在“
System
VolumeInformation”这个系统文件夹中,而也只有Windows能够打开这个文件夹。为了修改针对这个文件夹的访问权限,我们需要使用一些命令工具,选择“开始”-“运行”,输入“cmd”并回车后可以打开命令行提示窗口。然后输入下面的这些命令:caclsc:\
System Volume information/ E/
G用户名
在这个命令中我们使用“C:\”是因为Windows安装在这个分区中,如果系统安装在别的分区,这里也要进行对应的修改。而在用户名处则需要输入当前计算机中的真实用户名。
接下来运行工具
Restore Point Analyzer(www.mandiant.com/mrpa.htm),然后选择“File”-“
OpenFolder”在这里打开我们刚才用命令解除保护的
SystemVolume文件夹。这个工具将为我们罗列出一些更新的日志。这里包含了所有在我们创建了系统还原点之后,安装或者修改的程序文件。选择进入我们关心的Eudora条目,在这个例子中,这个条目中系统还原点提及到了一个文件的名字“A0397917.ini”。
找到目标之后,我们退出了
Restore PointAnalyzer,然后开始尝试在系统文件夹“ System
VolumeInformation”中搜索这个ini文件。接下来我们就需要工具 Hex- EditorMX(
www.nextsoft.de)的帮助了,通过这个工具打开这个ini文件,我们发现这个文件确实会调用“ph.dll”文件。此时我们不禁怀疑,是不是遭遇了一个恶意程序呢?这个恶意程序是不是在尝试改名或替换掉正常的程序呢?
在接下来的调查中,我们使用
Hex- EditorMX在软件Eudora中发现了一个删除命令,这个命令用于删除“
placeholder”文件夹。此时真相终于大白了,Eudora在安装时创建了这个文件夹并且这条信息被写入到了filelist.xml文件中,所以在我们查看这个文件中的内容是就发现了里边包含“placeholder”文件夹。但是我们在卸载这个软件时,我们并不会想的起在?lelist.xml中删除这项记录。
为了弥补这个过失,我们仍旧能够将这条记录删除。右击文件“
filelist.xml”然后选择“属性”,在里边取消对该文件的写保护。然后使用Windows自带的记事本编辑器打开这个文件,在里边找到记录“C:\placeholder\ph.dll”,只删掉这一条记录是不够的,我们需要将这条记录之前的“”,之后的“”以及它们之间的内容都统统删除掉。保存这个修改,并将文件属性改回为只读。接下来继续运行命令行窗口,用下面的命令恢复对
System Volume文件夹的保护: cacls C:\ System Volume
Information/ E/ R用户名
这样一来,这个文件夹将会又恢复到被保护状态,防止遭受到意外攻击。
间谍攻防战
掩盖我们的痕迹
在了解过哪些黑客、恶意程序、木马程序以及各种间谍软件如何通过各种手段获取我们的隐私之后,我们接下来要做的事情自然是想办法把自己保护起来。当然为了实现保护自己的目标,最好的方法就是使用我们光盘中提供的各种保护工具。
删除日志文件 (工具: CCleaner)
WindowsXP的日志绝对是我们首先需要面对和清理的对象,黑客们习惯去读取这些日志或者在日志中添加一些简单的内容,这些内容甚至可能是病毒,所以别犹豫,赶紧清理它。
提到选择清理工具,我们首先要为大家推荐的就是CCleaner,因为它可以彻底地清理我们的注册表,而且它提供了一个特殊的选项能够删除日志文件和浏览器的索引记录。选中“Cleaner”标签中所有的选项然后点击“Analyze”。这将告诉我们软件将要删除哪些文件和工具。如果这个屠杀名单中的某些家伙是需要进行赦免的良民,我们就需要选择“Settings”-“Exclude”以将它们从名单中去除。使用相同的方法清理注册表中我们哪些个人的信息,这些信息可能是会被间谍软件获取。
清理“干净”的磁盘空间 (工具: Space Eraser)
大家千万要明确的一点是,Windows中的完全删除并不意味着这些历史数据都已经离我们远去,删除操作只是在数据上加上了删除标记,而数据本身仍旧在磁盘上留存。那些别有用心的人只需要使用工具
PC Inspector File Recoverydata就可以将我们删除的数据统统恢复回来。为了解决这个问题,我们需要使用
SpaceEraser。这个工具将在磁盘上写入新的文件,这些文件将覆盖掉磁盘上那些已经被删除的文件,使它们彻底无法被恢复。
运行这个软件之后,选择需要彻底擦除数据的磁盘分区,然后将循环擦除次数至少增加到两次。
所有设置完成之后单击“
Start”按钮,然后等待软件完成它所有的工作。如果做完这些操作之后出现了磁盘空间不足的问题,可以在我们清理的磁盘分区中寻找文件“erazer.dat”,并把这个文件从磁盘分区和回收站中彻底删除即可。
清理磁盘文件碎片 (工具:defrag.exe, Disk Defrag)
现在我们的计算机几乎已经完全安全,并可以抵御各种类型的黑客攻击。但是如果使用目前非常流行的电子取证工具Encase,仍旧可以通过将磁盘上分散于各处的碎片组合起来找到我们的文件。
这里我们有一个非常简单的应对策略,当执行过一次磁盘碎片整理之后,Windows会主动将硬盘上的文件进行重新排列。它会将属于某个文件的所有分散在硬盘上各个角落的数据片断连续在一起。不管这种说法是否令人信服,不过所幸的是Windows确实不会为硬盘以往的状态建立日志文件。这样引发的结果就是,如果有人希望收集一些硬盘上的证据从一个刚刚进行过磁盘碎片整理的硬盘上的话,他将得到一个错误的结果。这是因为根据最初的硬盘索引结论是无法在找到位于硬盘物理位置的数据的。Windows自带的磁盘碎片整理工具已经可以帮助我们实现这个目标了,大家也可以选择使用
DiskDefrag。
寻求计算机安全
关闭Windows的危险入口
通过我们上边一系列的补救措施,现在几乎已经没有间谍软件可以找到我们的任何信息了。不过Windows仍然有可能主动地邀请间谍们进入。
我们接下来将告诉大家如何阻止来自Internet的各种威胁,以及如果让Windows这个长舌妇闭嘴,使它不再向外面传播我们的各种秘密信息。
使XP和Vista不再当卖国贼 (工具:xpy, Vispa)
为了保护我们的隐私,防止
Windows将隐私信息泄露出去,我们需要使用工具加强安全,在
WindowsXP下使用工具xpy,在Vista下则使用工具Vispa(这是专门用于运行在Vista下的xpy版本)。
安装好软件之后运行,我们将看到一个选择列表,在这里我们可以选择使用软件的哪些功能。不过,我们强烈建议大家不要选择“
AllSettings”,即不要将所有的功能都启用。我们可以关闭其中一些不一定用得到的功能,例如将在Internet环节中的用户身份验证功能取消,这个工具提供了缓存文件夹的功能。而且也不是所有人都希望使用
WindowsXP提供的美化界面,毕竟类似
Windows98的经典界面可以节省更多的资源。
防范敏感信息外流 (工具: Stream
Explorer)
具有灰色性质的恶意软件是一种特殊的威胁。它会尝试使用ADS技术将自己的数据流隐藏在NTFS文件系统中,这样别人轻易很难发现它们。而本期CHIP光盘中提供的应用程序
StreamExplorer工具可以帮助我们找到硬盘上这些隐藏的数据流,然后通过简单的方法将其删除。
我们接下来将使用一个无害的例子向大家介绍如何检测到这些隐藏的数据流。在我们这个例子中充当牺牲品的是AutoRuns。本例中AutoRuns信息是由程序Sysinternals所建立的。打开软件
StreamExplorer之后我们定位到目录“
Autoruns861”下,在设置窗口可以找到4个文件。而每一个都至少包含着两个ADS数据流。就是默认的主要NTFS数据流,在任何情况之下这种主要的数据流都不允许被删除。我们还会暂时不去管那些标示为<
noname>的数据流条目。而Eula.txt授权协议是第三方程序加入的数据流,理论上有可能包含恶意软件。如果它包含内容的话,可以通过单击这个条目看到里边的二进制代码或者ASCII的文本文档。
在这个例子中,二进制代码并不能给我们提供任何有用的线索。其实很多应用程序都会将自己的一些信息隐藏到ADS数据流中,例如最常见的程序的作者名字。为此,我们右击“Eula.
txt”文件然后选择“Properties”,为了保证安全,我们不应该让任何人在这个选项处看到任何有价值的信息。所以需要删除这些数据流文件以保证安全。运行“
Entryprompt”然后进入AutoRuns目录,接下来输入下面的命令将数据流中的内容清空。
ren
eula.txt temp.txt
type tmp.txt >eula.txt
del
temp.txt
当重名这个文件之后,ADS就会将这里的相关信息清除掉。之后再马上运行
StreamExplorer看看是否还能从ADS中找到什么信息?最终我们进入到相关的数据流项目中,当然,已经没有人能看出AutoRuns的文件作者是谁了。
当然如果大家遇到类似的问题,无法辨别ADS数据流中的信息,我们仍旧可以从注册表中找到解决方法。尝试一下吧,通过运行“Edit”-“
Search”,我们可以在这里搜索包含值为“ E u l
aAccepted”的“Streams”子键。隐藏的ADS数据流就这样被发现了,无论这个授权协议是否被接受。它被定义为无害的内容,并因此而可以继续在我们的系统中生存下去。
阻断隐私的传播途径 (工具: ProcX)
不幸的是,即使是我们安装在计算机中的正常程序和Windows内置的服务都被证明是叛国者。ProcX(
www.ghostsecurity.com/procx)网站向我们展示了这些犯人。这个工具不需要安装而且完全免费。双击“ProcX.exe”文件以运行程序,它将马上为我们显示系统中正在运行的程序和服务。所有可能向网络中传输数据的程序和服务都会被标有绿色的无线电标记。在所有的搜索结果中,有一个叫做“alg.exe”的空进程非常的有趣。根据微软官方的说明,这个程序是“
Gateway service on
applicationlevel”(应用程序层网关服务),这个空进程实际上形成了Windows一个对外开放的大门,使很多程序可以借助它访问Internet。这个服务本身并不危险,但是它真的有必要吗?
为了清楚地找出这个进程,我们终止了Firefox浏览器这个程序,这是我们目前惟一一个当前正在连接网络的程序。右击“alg.exe”这个进程然后选择“Terminate”命令,当选择这个命令之后,这个进程将被阻止,我们继续保持ProcX程序运行,然后运行Firefox并且访问一个网页。
网页可以正常地打开,但是与我们的期望相反的是,进程alg.exe并没有恢复运行。这说明了一个问题,这个进程并不是计算机连接网络时必备的进程。我们可以使用Windows内置的服务管理程序来管理这些服务,具体的操作方法是选择“开始”-“运行”,然后输入下面的命令:services.
msc
然后在这里边搜索
Gateway
service服务,双击这个服务在弹出的窗口中将这个服务停用并禁止。检查所有在ProcX中被标记为绿色的服务和程序,结束掉那些不需要的进程。
将windows加固得像堡垒一样
(工具:Comodo, AntiVirPE, Spamihilator)
最后一个保护我们系统不受黑客、烦人的广告骚扰的法宝是使用防火墙,病毒扫描软件和恶意软件阻挡工具。大家可以在我们本期随刊附送的光盘中找到
Comodo FirewallPro、Spamihilator以及
AntiVirPE,这些常规的安全软件是我们保护系统安全的最后一道防线。
各种间谍用工具
下面的这些间谍专用工具可以看到我们在计算机上的种种行踪,并一直能保持偷窥。
X-Ways Trace
可以监视和显示每个用户上网冲浪的各种信息。
CHIP-Trojaner.bat
向大家演示间谍软件获取我们的个人信息是多么容易。
AD Registry Viewer
帮助我们进入注册表的深处,窥探用户的信息。
Restore Point Analyzer
可以将数据还原点分类并加以分析。
Hex- Editor MX
可以显示二进制文件中所附带的信息。
CCleaner
删除出卖我们隐私的日志文件。
Space Eraser
将那些已经被我们删除的数据彻底从硬盘上清除。
Disk Defrag
将磁盘上的数据重新排列,整理上边的碎片,提高访问效率。
XPY
它能够防范机密数据从 WindowsXP系统中流出。
VispaXPY
在 WindowsVista上运行的版本。
Stream Explorer
发现NTFS数据流上的各种秘密。
ProcX
显示计算机中运行的各种程序和服务。
Comodo Firewall Pro
关闭系统中并不是必要的端口。
AntiVir PersonalEdition Classic
检测和清除病毒、木马等威胁。
Spamihilator
阻止间谍软件和广告软件的传播。
AD Forensic Tool Kit( Demo)
帮助获取各种犯罪信息。
责任编辑:李涛 li_tao@chip.cn
收稿日期:2008-01-14 |
加载中…