РАССЫЛКИ ПОРТАЛА RFPRO.RU

Лучшие эксперты в разделе

Коцюрбенко Алексей aka Жерар Статус: Мастер-Эксперт Рейтинг: 301 ∙ повысить рейтинг »

CradleA Статус: Профессионал Рейтинг: 80 ∙ повысить рейтинг »

Evgen aka Chuma Статус: 5-й класс Рейтинг: 25 ∙ повысить рейтинг »

∙ Защита информации

Номер выпуска:	560
Дата выхода:	23.11.2017, 18:45
Администратор рассылки:	Коцюрбенко Алексей aka Жерар (Мастер-Эксперт)
Подписчиков / экспертов:	40 / 12
Вопросов / ответов:	3 / 8

Консультация # 112835:

Приветствую вас, коллеги!
Нужна консультация по следующему щепетильному вопросу.

Есть информация, что на ПК удаленного офиса присутствуют несанкционированные данные aka порнофильмы и всякого подобного рода увеселительные штуки =))
Задача - поймать нарушителя, такскать, на месте преступления с целью применения к нему в особо извращенной форме чего-либо из того, что он в этих несанкционированных данных успел узреть.

Есть подозрения, что для сокрытия вышеуказанного нерадивым пользователем применяются программные средства, типа FolderGuard или т.п.
С подобного рода ПО дела никогда не имел, поэтому и возникли вопросы (вполне возможно, что дурацкие). На всякого рода предварительные эксперименты нет ни времени, ни желания.

Поскольку выезд на место для проверки достаточно сложен, хотелось бы не потратить время и силы впустую (под хихиканье юзера за спиной), а заручиться хоть какой-то гарантией удачи в столь благородном деле.

Отсюда вопросы:
1. Хотелось бы узнать принцип действия подобного ПО (что используется для скрытия папок/файлов, каким образом и на каком этапе загрузки ОС запускается прога/сервис и т.п.).
2. Вытекает из первого: каким образом увидеть все скрытые этим ПО ресурсы ПК? Достаточно ли убить соответствующий процесс или нужны какие-то более сложные действия?
3. Подозреваю, что в случае загрузки с независимой ОС (например, с CD WinXPE) на защищенном hdd должно отображаться всё. Так ли это, или все же есть какие-то средства скрыть инфу и в этом случае (как, например, стандартное шифрование Windows)?

Буду очень признателен за любую инфу. Пордон за много букв...

Дата отправки: 07.12.2007, 16:40
Вопрос задал: ORW*Barmaley
Всего ответов: 5
Страница онлайн-консультации »

Консультирует Dan Ger:

Здравствуйте, ORW*Barmaley!
Ну для начала думаю стоит определится с разрешёными в удалённом офисе штучками... И если этими штучками будет пакет офис, 1С и ещё какие ни будь программы. (то соответственно всё остально запрещённый контент)То в полне можно попробовать загрузится в безопасном режиме(F8 перед згрузкой ОС). И если есть подозрения на фильмы, игры и пр. то думаю будет целосообразно поискать с дополнительными параметрами по размеру... по дате последних изменений... а дальше действовать исходя из результатов поиска... Ведь даже если использовались скрытые шифрованые диски, то шифрофайлы всё равно будут обнаружены(по дате изменений), а фильмаки по размеру например. Можно по расширению поискать...(хотя его могли сменить). Так же седует посмотреть какие процессы запущены на машине, думаю если там запущен даже тот же FolderGuard то это уже наталкивает на определённые мысли... да собствено и сам софт для скрытия данных(по любоу относится к запрещённым штучкам... во первых: прятать на рабочих компах ни чего не нужно, во вторых натащенное туда ПО скорее всего является пиратскими копиями... ) так что если очень захочетя взгреть сотрудников то вы это сможете сделать без проблем. В конце концов просто найдя FolderGuard , или PGP какойнить, можно посто попросить объяснить зачем установлены и исползуются программы для скрытия данных...
А насчёт принципов действия то может быть что угодно взависимости от софта, напримр можно просто скрыть, сменить каталоги, расширения, "замуровать" в картинку(целый фильм к примеру) и прочие... или в исполняемый файл ворда внедрить какуюнить игрушку... Поэтому собственно и посоветовал искать по размеру, а всё что не вписывается в привычные рамки, анализировать уже отдельно. Надеюсь хоть чем то вам помог...

Консультировал: Dan Ger Дата отправки: 07.12.2007, 20:22

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует Кэр Лаэда:

Здравствуйте, ORW*Barmaley!
Попробую как можно доходчиво ответить на вопросы.

На сколько мне известно есть 3 принципа работы таких программ

1) это блокировка (скрытие) файлов на уровне виндовс, т.е. на уровне системных файловых структур. есть два режима со скрытием в безопасном режиме и без скрытия в безопасном режиме. такого рода программы довольно легко взламываются простой загрузкой с альтернативной ОС. (наиболее безопасный способ в плане сохранности файлов при ошибках файловой системы)
2) это блокировка с созданием виртуального диска. т.е. создается файл (виртуальный раздел) куда помещаются ваши файлы и формат этого файла зависит от самой программы, т.е. где там что знает только сама программа, и показывает она это только в случае если введен правильный пароль, к плюсам можно отнести то что никакие загрузки под альтернативными ОС не помогут прочесть ваши файлы. минусом является то что если вы забыли пароль то уже никто вам не сможет помочь восст ановить ваши файлы.
3) изменение структуры файловой системы.
таких программ в наше время очень мало осталось, хотя раньше их было намного больше. это обусловлено принципом работы, и возможными последствиями от работы этой программы.
принцип работы как вы поняли что вносятся изменения в системные таблицы файловой системы из за чего ОС просто не видит этих файлов, в то же время программа благодаря своему алгоритму прекрасно их видит и читает.
в случае различных сбоев файловой системы ваши файлы могут быть безвозвратно потеряны.
По поводу вашего второго вопроса то лучше всего (если вы действительно админ) поставить на компьютер какой нибудь кейлоггер и узнать пароль на программу.

Чтобы более точно помочь вам нужно узнать конкретно какой программой пользуется пользователь.

Консультировал: Кэр Лаэда Дата отправки: 07.12.2007, 20:39

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует Сучкова Татьяна Михайловна (Администратор):

Здравствуйте, ORW*Barmaley!
"Есть информация, что не чай он там пьет" (С) Стругацкие
Мне не приходилось сталкиваться с такой проблемой (т.к. мои пользователи до такого еще не доросли - прятать что-то, максимум картинку какую в дальнюю папочку засунут). Но я, пожалуй, отвечу, думаю, меня дополнят или поправят более опытные администраторы.
С CD WinXPE (и др. типа WinAdminPak) должны быть видны все скрытые разными способами папки. Это можно проверить без выезда в удаленный офис, на своем компьютере.
Radmin их тоже видит удаленно (но как пустые). Можно, конечно, смотреть периодически на экран пользователя через Radmin, но он может его отключить (судя потому, что пользователь там у вас программы сам ставит, прав у него выше крыши), а на худой конец просто шнур сетевой вынет, и Вы его не увидите.
Есть вот одна милая программка, называется StatWin/ На 30 дней дают, наверное, хватит, чтоб отслед ить все, что Вам нужно, а если она понравится Вам, так, может, организация рискнет и приобрести. Недорого. Отечественный софт. Про ограничения возможностей триальной версии ничего не написано, может, их и нет.
Ну очень много чего умеет. Там три разновидности программы с разным набором возможностей.

Дополнение. Насчет удаления.
На том компьютере, в его диспетчере задач Вы процессов этих программ скорее всего не увидите, но сторонние просмотровщики процессов (например, Process Explorer )видят все. Так можно узнать, какое приложение их запускает, и деинсталлировать таковое, например, в безопасном режиме.

Ну а на будущее - ограничивайте пользователей в правах-то. Иначе они Вас под такой монастырь подведут - с прокуратурой расхлебываться будете, а не с тремя иксами...

Консультировал: Сучкова Татьяна Михайловна (Администратор) Дата отправки: 07.12.2007, 20:43

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует Spok:

Здравствуйте, ORW*Barmaley!
Во-первых, хочу обратить Ваше внимание, что в качестве примера вы привели весьма примитивные программы - FolderGuard, HideFolders и т.п.
1) Принцип действия просто так не объяснить, смысл - "подправляются" все вызовы почти всех WinAPI (и ниже)-функций - так, чтобы то, что указано, было скрыто. В зависимости от версии программы... либо прикладноый уровень (подревнее), либо сервис. FolderGuard полугодовой давности, например, стартовал как прикладное приложение, но с системными привелегиями. Самое главное, знайте: эти программы устроены очень просто. КОРОЧЕ, см. п.2.
2) Да, достаточно. То, что увидит и может уничтожить этот процесс: ProcessExplorer. ЕСЛИ программа не увидит (фу, какая глупость, такого быть не может... (если может - прогоните перед ProcessExplorer систему через AVZ), запустите её из безопасного режима - тогда точно ничего не скроется. Соответственно, найти потом не проблема: Alt+F7 + TotalCommaner или FAR + поуменее запрос (a la *.vob,*.avi,...).
3) Да, это так.
Альтернативный случай: использование криптографических программ вроде TrueCrypt, BestCrypt, StrongDisk и т.п., бесплатных и не очень... - они хранят зашифрованные данные (и подключаюися как диски) либо в файлах (просто ищите файлы немерянного объёма - контейнер-то должен вместить в себя всё + файловую систему + ... минимум, контейнер на несколько десятков мегабайт больше файлов, лежащих в нём), либо в неиспользуемых в ОС разделах, что легко заметить и так - Панель упрвления --> Администрировние --> Управление компьютером --> Управление дисками.
В случае криптоконтейнеров, конечно, улики будут только косвенными...

Консультировал: Spok Дата отправки: 07.12.2007, 20:57

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует Janpit:

Здравствуйте, ORW*Barmaley!
В дополнение ко всему вышесказанному, на мой взгляд, существенно "расширю" область Вашего поиска.
Обращу Ваше внимание на, казалось-бы, безобидные и вполне "законопослушные" программы, широко применяемые в практике. Ни для кого не секрет, что запрещенную к обороту взрывчатку легко изготовить из компонентов, которые легко приобрести практически в нескольких обычных магазинах. Так и в сфере программного обеспечения. Остановлюсь лишь на некоторых способах скрытия информации, т.к. часть из них легко интерпретировать к запрещенным правилами портала.
Acronis True Image 11 (за 10 - не ручаюсь, т.к. не работал) - нужная и полезная вещь. Но:
-создает зону безопасности, недоступную для других программ. Архив паролируется, а при соответствующей длине и сложности пароля подбор его не имеет смысла (факториал числа). При просьбе открыть его можно "включить "неумного" ". При удалении - улик нет.
-Режим mount image (подключение архива диском) допускает два режима: 1- с разрешением записи 2-без таковой. Т.о. - подключил и работай. Отключил - записи остались. Опять-же под паролем. Перезагрузил - диска нет.
-Позволяет включить виртуальную ОС. Отработал и после перезагрузки - ОС в предыдущем состоянии (а можно и принять изменения).
Практически недоказуемый вариант. Даже с использованием кейлоггера со стороны администрации (Юридически лог - текстовый файл, создается за N минут и этим все сказано, а прямых улик нет). А вот за использование кейлоггера без предупреждения (да письменного) грамотный юзер может большой скандал, вплоть до суда поднять, да еще и выиграть (типа - вторжение в личную жизнь). Преценденты были уже и известны (во всяком случае - у нас).

Super Utilities - пара десятков действительно полезных утилит, включая чистку реестра, antispyware, uninstaller, super shredder, чистка диска и пр. Но есть в нем и "Скрытие папок". И, что важно - ни эти папки, ни файлы в них не найдешь ни в реестре, ни на диске, и никаким поиском. "Шаром покати". Командами, по типу cd *** - аналогично. Антивирус - тоже. Проверено. В безопасном режиме - тоже.
Но: видны из-под другой ОС.
Так что не нужно искать супершпионские программы, а лучше присмотреться к реально стоящим.

Консультировал: Janpit Дата отправки: 08.12.2007, 00:39

Рейтинг ответа: 0 поблагодарить эксперта

Консультация # 45971:

Здравствуйте!
Объясните пожалуйста отличие Касперский Personal от Personal Pro.
А так же если установлен Personal при установке Pro той же версии проблем не возникнет, если использовать тот же ключ?
За ранее благодарю за ответ.

Дата отправки: 12.06.2006, 09:36
Вопрос задал: Владимир
Всего ответов: 1
Страница онлайн-консультации »

Консультирует Elinn:

Здравствуйте, Владимир!
Эти программы отличаются наличием в про версии дополнительных модулей, и ключи от Personal к Personal pro не должны подходить.
Но это уже не актуально, в 6.0 нет разделения антивируса на Personal и про

Консультировал: Elinn Дата отправки: 15.06.2006, 18:51

Рейтинг ответа: 0 поблагодарить эксперта

Консультация # 46887:

У меня после каждой перезагрузки, страница инета настроенная по умолчанию, меняется на какую-то типа start.traff.ru, что это может быть такое, и как с этим бороться. Антивир вроде установлен, обновляется раз в неделю. Norton Antivirus 2005.

Дата отправки: 21.06.2006, 08:23
Вопрос задал: Buratino
Всего ответов: 2
Страница онлайн-консультации »

Консультирует Elinn:

Здравствуйте, Buratino!
Это может быть результатом действия и вируса, и червя, и шпионского модуля и рекламного модуля... так что в безопасном режиме проверьте на вирусы, можно не одним антивирусом, а парой, но устанавливать на комп единовременно можно только один антивирусник, после этого проверьте компьютер на наличие шпионских и рекламных модулей, лучше специальными программами, а не встроенными в антивирус модулями, например AdAware, после чего почистите реестр, тоже специальной программой для очистки. Таким образом Вы убрете все возможные точки прописки этого адреса и думаю проблема уйдет
Удачи!

Консультировал: Elinn Дата отправки: 22.06.2006, 12:14

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует Valery N (Мастер-Эксперт):

Здравствуйте, Buratino!
Не растраивайтесь, бывает. Такое иногда случается при посещении некоторых страниц при низких настройках безопасности браузера...

Очистите временные файлы интернета (Cookies, Temporary Internet Files, историю посещений). Это можно сделать в свойствах обозревателя.
Посмотрите реестр, хотя-бы по поиску слов из адресов страниц, которые у Вас открываются вместо желаемых (аккуратно - не удалите лишнего). Да и повысьте настойки безопасности браузера.

Конечно, можно попробовать воспользоваться какой-либо утилитой для поиска шпионов в системе (SpyBot-Search & Destroy, Ad-Aware) или вот этой:Microsoft Windows AntiSpyware (Beta) и, соответственно, её описание . Эта прога и A ctiveX\'ы вычистит, и подмену ссылок и лишние автоматически загружаемые программы, да еще и мониторинг всех изменений в настройках системы обеспечит...

Можете почитать по поводу изменения стартовой страницы браузера IE и защититься этой прогой: >SP-Guard следит за стартовой страницей Internet Explorer и запрещает ее изменение.

Или почитать про gpedit.msc и запретить это в групповых политиках.

Консультировал: Valery N (Мастер-Эксперт) Дата отправки: 22.06.2006, 13:10

Рейтинг ответа: 0 поблагодарить эксперта

Оценить выпуск | Задать вопрос экспертам

главная страница  |  стать участником  |  получить консультацию
техническая поддержка