Методы сокрытия данных. Часть 1.
Информация для фанатов.
Сокрытие информации.
Информация на жестком диске скрывается несколькими методами. Мы будем говорить о них, начиная с простых и переходя к сложным. Статьи для тех, кто прячет, а не находит. Поэтому методы сокрытия лишь обозначены. Кому надо – нароет, и главное привнесет свой неповторимый аромат, за счет смешения приправ. А конкретные рецепты пойдут на пользу как раз тем, кто ищет, а не прячет.
1. Перемещение в папки «подальше».
Метод заключается в том, чтобы запихнуть информацию подальше, куда-нибудь в C:\Users\Walter\AppData\Local\Temp\018iasywq8\user\10ha1pg1vythz21ds778b0ycq9r2. Таким методом, пользуются… ну те кто в принципе знает что компьютер работает от сети и включается кнопочкой.
Как можно найти? Ну так как туда обычно прячут видео и изображения, то поиском через Тотал Командер *.jpg; *.avi и т.д. Ну или если комерс, тогда *.doc; *.xls и проч.
2. Прятание в архив. Метод понятен.
Заархивировать 10 фоток, назвать архив hjskdhklgd.zip и совместить с методом № 1. Тут уже должен быть пользователь, представляющий себе, что такое архиватор.
Как можно найти? Также как и в первом пункте, только указать «искать в архивах».
3. Переименовка файла.
Light. Метод хотя и прост на первый взгляд, но при углубленном использовании может дать некоторые результаты. Зависит от того, какого рода пользователь. Если знаем что уровень, описанный выше, тогда файл «моя черная бухгалтерия.doc» будет назван «кодекс строителя коммунизма.doc». Найти также как и выше.
Medium. Если человек знает, как включать расширения файлов или дружит с ТК или FAR, а также знает, что при переименовке файл не теряет своих вкусовых качеств, тогда может переименовать свои грязные делишки в intraweb.dat, совместив с первым + вторым способом получить некоторый эффект. Найти можно только запустив поиск по начальным символам содержания файла на предмет выявления нужного типа. *.* искать текст «II*» это tiff и проч.
4. Установка атрибутов.
Метод тоже понятен. Правая кнопка, скрытый и проч. В командной строке attrib –s –h. Очень распространенный совет при гугле «Hide files». Не знаю, на кого он рассчитан. Найти? Догадайтесь с 3-х раз, называется.
5. ALT-255.
Тоже один из самых смешных способов, но при его ярком визуальном эффекте начинающим перцам-шпионам кажется очень крутым. Рекомендуют папку на рабочем столе переименовать в 255, при нажатом ALT. При этом имя папки будет пустым. А иконку папки сменить на пустую картинку. И как по волшебству папка становится визуально невидимой. Найти? Открою страшный секрет: удерживая кнопку мыши выделить всю область рабочего стола.
Medium. Еще есть перцы которые переименовывают папку в системное имя. Она тогда принимает вид Fonts.{21EC2020-3AEA-1069-A2DD-08002B30309D}, например, панели управления и при 2-м клике действительно туда ведет. Найти можно, зная что в папке мои документы линка на панель управления обычных людей не бывает. Ну и способы 1-2 само собой.
6. Архив с шифрованием.
Сейчас мы говорим не о том, чтобы информацию просмотреть, а чтобы найти. Поэтому само шифрование и пароли не обсуждаются. Дело в том, что современные архиваторы имеют возможность скрывать название файлов в архиве при шифровании. Тут уже пахнет чем-то интересным. Субъект как минимум потратил несколько часов, чтобы узнать о таком методе и ему подучиться. Найти? Найти можно только сам архив, и что он зашифрован таким непростым способом. Файлы в нем ни за что не видны. То есть, обнаружится факт сокрытия инфы на компе. Этого уже достаточно для данной главы.
7. Установка спецпрограмм.
Методы программ такие же, как написано выше или в основном ниже. Но сам факт существования такой программы уже говорит о факте сокрытия инфы. И конечно после ее деинсталляции все файлы как на ладони. Этот метод полезен для тех, кому на комп попадают любопытные. Обычно такие проги под паролем, поэтому с наскоку, или получив доступ к компу по сети, их не анинсталишь. Но… все существующие программы для домохозяек трубят о факте сокрытия информации, больше чем сама такая информация. Они ставят огромные красные знаки кирпича на папках, запускаются в атозапуске и трее, имеют дибильные названия типа ЯПрячуТутИнфу. Самый крутой вендор в этой области Symantec делает папку с громандной вывеской NORTNON PROTECTED!!! Представьте себе ситуацию, когда барыги решили спрятать украденный двухкасетник на своей хате перед обыском. Они идут в магазин, берут паспорт (а именно так покупают проги за бугром) и покупают дорогой супер сейф. Ставят его посреди хаты и кладут туда двухкасетник. Приходят служивые, обходят всю хату, двухкасетника нет. Спрашивают у барыг, а что, мол, за сейф посреди хаты? А те им, дескать, не ваше дело! Это наша типа private property! Ну понятно, пальцы в дверном проем и сейф открыт…. Так что хуже таких программ может быть только положить всю секретную инфу на рабочий стол и написать «Это Моя Секретная Инфа!!!».
8. Виртуальные диски.
Метод очень распространенный и… очень беспонтовый. True Crypt например создает шифрованный файл эдак метров в 700 и потом монтирует его как диск. При этом вся инфа, а не только нужные сейчас файлы видны и по сетке и при получении негласного наблюдения. А главное, что если нужно скрыть сам факт сокрытия инфы, то это самый убогий способ. Найти файл размером 700 метров, при том весь зашифрованный особого ума не надо.
9. Скрывание логических дисков. Метод неплохой, учитывая что при этом больших файлов нет, поиском инфу не найдешь. Смысл в том, что Винда дает возможность подключать и отключать диски. Если он отключен - то невиден… до тех пор, пока не запустится любой дисковый редактор. А это конечно, не так сложно. И опять же, во время работы вся инфа открывается. И видна по сетке и удаленной атаке. Минус еще в том, что на ходу разбивать уже существующий диск дело небезопасное. То есть, лучше при форматировании учесть этот момент.
10. Стеганография.
Начиная с этого пункта мы поговорим об искусстве. Начнем с убогого рэпа и закончим арией из Турандота. Стеганографировать можно и руками, можно и специальными тулами. Прячут обычно в графических и видео файлах. Там, где можно подрезать цветовую гамму и на глаз разницы не увидишь. Начиная с этого пункта я не буду писать как можно найти, только буду говорить о том, какой нужен уровень специалиста для обнаружения инфы. Если неизвестно, каким тулом спрятана инфа, и если неизвестно в каком именно файле она спрятана, то я бы оценил уровень специалиста по нахождению как достаточно высокий. Отдельно о категориях людей, которые могут найти инфу, поговорим ниже.
11. Потоки данных NTFS (ADS).
NTFS позволяет цеплять к одному файлу сколько угодно потоков данных. Такие данные не видны невоуроженным глазом, не поможет и подключение другой ОС и безопасный режим и просмотр DOSом. С одной стороны обнаружить не так сложно, но… только для специалиста. Не специалист такую инфу не обнаружит. С другой стороны, метод не особо распространенный. Если учесть, что инфу можно повесить на служебные данные самого NTFS, то поиск вообще можно сильно усложнить. Если сочетать вместе с ADS другие способы, то задача становится просто сложной. Специалист высокого и среднего уровня, в зависимости от комбинирования разных способов с ADS.
сокрытие информации
сокрытие информации