Показать сообщение отдельно

Как шпионить за пользователем используя винду
Старый 24.03.2012, 18:08   #1
Форумчанин
 
Аватар для Навуходоносор

 
Регистрация: 26.05.2010
Адрес: Россия
Сообщений: 2 950

Навуходоносор вне форума

Как шпионить за пользователем используя винду


Мало кто знает, чтобы шпионить за юзером вовсе не обязательно использовать разных троянов шпионов и прочую хрень.

Можно использовать самого главного трояна - это нашу винду !

Что ХР может рассказать о Вас ? ….

Windows ХР может рассказать о многом: о ваших паролях, посещенных вами сайтах, скачанных файлах, установленных и удаленных приложениях...
К счастью, скрыть всю эту информацию не очень сложно, достаточно использовать различные программы для чистки истории !

Буфер раскрывает пароли
Программа: JavaScript


Вы принадлежите к числу пользователей, которые копируют пароли в онлайновые формы через буфер обмена? От этой привычки стоит отказаться: дело в том, что некоторые веб-страницы могут считывать содержимое этого буфера. Правда, такое происходит лишь в том случае, если вы пользуетесь Internet Explorer.

Покажем, как это делается, на простом примере: введите пару слов в Блокноте или Word и скопируйте их с помощью комбинации клавиш «Ctrl+С». Теперь откройте internet Explorer и зайдите на сайт ie-clipboard-test. Там вы увидите содержимое собственного буфера. Правда, в Internet Explorer 7 сайт получает доступ к буферу только с вашего разрешения. Но если вы используете более ранние версии браузера, то скопированный текст сразу же появится перед вами.

Секрет этого сайта заключается в JavaScript-модуле, который копирует текст из буфера и показывает его. Наилучший выход — перейти на Firefox или Opera.

Данная уязвимость работает со старым эксплоррером !


Браузер показывает ваш маршрут в Сети:

И маркетологам, и правоохранительным органам хочется знать, какие сайты Вы посетили, сколько времени провели на них и какие файлы скачали. Чтобы узнать, что именно видят шпионы, воспользуйтесь программой X-Ways Trace (ссылка на закачку чуть выше). Она считывает индексный файл браузера и выдает подробную информацию о вашем поведении в Сети.

Попробуйте проделать это сами: распакуйте Trace ( Это программа X-Ways Trace (Описание найдёте сами, если кому нужно)) на USB-носитель и запустите с него файл trace.exe (так вы не оставите никаких следов на жестком диске). Затем откройте файл, который называется, в зависимости от браузера, index.dat (Internet Explorer), history.dat (Firefox) или dcache4.url (Opera). Обычно он хранится в папке Documents and Settings/Имя пользователя/Application Data/ Название браузера (Если лень возится то можно указать в поиске интересующий Вас файл с сужением диапазона поиска до папки Documents and Settings).

Вы увидите, какие сайты, когда и как долго были открыты, сколько именно раз посещалась та или иная страница (visit count) и какие файлы вы скачивали.

Это еще не все: выберите в X-Ways-Тгасе пункт меню «File | Open Disk» и укажите раздел Windows. Программа отобразит данные об учетной записи пользователя. Так, например, вы узнаете, что ваш сын под именем пользователя «Вова» 6 декабря между 10 и II часами вечера скачал с сайта "www.попки.рф" файл под названием попка-конделаки.avi.

Пакетный файл считывает системные данные:

Получить список всех скрытых системных файлов и полную сетевую конфигурацию компьютера совсем нетрудно. Просто запишите две приведенные ниже команды в файл с расширением .bat и запустите его, а затем откройте файл С:\результат.txt — все данные будут записаны в него.

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


С технической точки зрения происходит следующее: по команде «dir», за которой следует несколько параметров, пакетный файл считывает все скрытые системные файлы, сортирует их по названию в алфавитном порядке и ставит каждый в соответствие тому или иному пользователю, а также показывает время последнего обращения к документу. Сетевая конфигурация считывается простой командой «ipconfig /а11». Эти данные могут казаться бесполезными, но не для маркетологов или властей.

Предательский реестр:

Windows запоминает, какие пользователи работают на компьютере, когда они заходят в систему, как часто меняют пароль и, что особенно интересно, как долго текущий пароль будет действителен.
Все эти сведения Windows хранит в базе данных SAM (Security Account Manager), которая является составной частью реестра. Правда, доступа к SAM не имеют даже администраторы. Если запустить Regedit и вызвать HKEY_LOCAL_MACHINE\SAM, это ничего не даст. Однако существует несложный обходной путь: откройте в программе Registry Viewer (accessdata.com) файл windows\system32\config\sam.bak. Найдите подключ SAM\Domains\Account\Users. Вы увидите имеющиеся пользовательские учетные записи в шестнадцатеричном представлении. Например учетную запись администратора можно найти, просто щелкнув например по «000001F4». В поле под деревом каталогов показано время последнего входа в систему для данного пользователя — «Last Logon Time». В поле «Last Password Change Time» можно просмотреть время последней смены пароля.

Сохранить эти интересные сведения в демоверсии Registry Viewer нельзя. Но ничто не помешает вам просто сделать скриншот.

Восстанавливая систему, спасаешь вирусы:

Восстановление системы поистине можно назвать находкой для шпиона. Windows показывает, когда какие программы были установлены или удалены. Программа Restore Point Analyzer помогает разобраться во всей этой информации.

Отправным пунктом будет файл С:\Wrindows\System32\Restore\filelist.xml. Откройте его в браузере двойным щелчком. В списке файлов указано, какие файлы и папки были включены («Include») в процесс восстановления системы, а какие исключены («Exclude»). Тут приложения могут заносить себя в ту или иную категорию самостоятельно. Например, вирус может регенерироваться при каждом восстановлении системы.

Все точки восстановления хранятся в папке System Volume Information, открыть которую может только сама Windows. Чтобы изменить права доступа, вызовите Командную строку и введите следующую команду (в одну строчку):

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


где С:\ — это раздел с Windows. Не забудьте также подставить свое имя пользователя! Теперь запускаем программу Restore Point Analyzer (mandiant.com) и открываем только что разблокированную папку через пункт меню «File | Open Folder». Программа выведет содержимое нескольких changelog-файлов. В них перечисляются все инсталлированные или измененные программы и файлы, которые принимаются во внимание при создании точки восстановления.

Опять активировать защиту от записи можно если ввести в командной строке следующее:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


Таким образом, мы отказываемся от прав доступа к папке System Volume Information. Эта мера ограничит доступ злоумышленников.

Материал взят от "hackzone.ru" плюс добавил кое-что от себя !
  Ответить с цитированием
 
Яндекс.Метрика