Как скрытое становится явным

Bad_guy

Спецвыпуск: Хакер, номер #058, стр. 058-016-1

(создатель wWw.CRACKLAB.rU)

Проникновение в Protected Storage

На днях запускаю The Bat!, получаю новую почту, читаю очередное послание: "У тебя на сайте специально или нет есть вирус в одном архиве - троян. Я сканил свой комп и обнаружил, что был заражен экзешник pspv.exe. Делай выводы :)". "Бедные пользователи - совсем им антивирусники мозги замутили", - подумал я.

Теперь разбираться

Что же это за программа такая - PSPV? PSPV расшифровывается как Protected Storage PassView. Служит для того, чтобы залезать в защищенное хранилище паролей Windows и извлекать все его содержимое.

Скачать текущую версию Protected Storage PassView и узнать подробности о ней можно на сайте www.nirsoft.net/utils/pspv.html.

Еще есть программа Protected Storage Explorer, которая предоставляет те же возможности по извлечению паролей из защищенного хранилища. Но по сравнению с Protected Storage PassView она лучше (но помни: все на вкус и цвет), так как хранилище паролей отображается в виде древообразной структуры, что, в принципе, верно с точки зрения организации самого хранилища паролей. Пароли же отображаются не только в текстовом, но и в шестнадцатеричном виде, что также может быть полезно, к примеру, при несовместимости кодировок шрифтов.

Скачать Protected Storage Explorer можно с домашней страницы www.forensicideas.com/psexplorer2.htm.

Какие пароли можно найти в защищенном хранилище

Когда-то защищенное хранилище заинтересовывало многих прежде всего наличием паролей от ящиков Outlook Express. Не секрет, что у многих провайдеров логин и пароль доступа к предоставляемому ящику в точности соответствует данным для подключения к модемному пулу. И если некоторым людям придет в голову не сохранять пароль для подключения по dial-up в кеше, а вводить его каждый раз при необходимости подключиться, то мало кому придет в голову не сохранять пароль ящика в Outlook Express, иначе будет уж слишком неудобно. Значит, заполучив пароль от ящика, автоматом получаешь доступ и к самому соединению, и к личной переписке абонента провайдера. За примером провайдера, у которого как раз пароль на предоставляемый ящик и на подключение одинаковы, идти далеко не нужно – хотя бы весьма крупный и известный провайдер – "Россия-Он-Лайн" (ROL).

В защищенном хранилище также хранится несколько типов других паролей: на автоматический вход в разделы сайтов, закрытые для общего доступа, при помощи Internet Explorer, от MSN Explorer и т.п. Вот простой пример доступа к защищенной области сайта www.cracklab.ru/ps.php.

Поставив галочку "Сохранить пароль", ты сохраняешь его в "суперзащищенное" хранилище паролей и незамедлительно видишь соответственные изменения на скриншоте:

Где находится хранилище и как оно выглядит

Задавшись целью заполучить пароли ящиков от Outlook Express, настоящие индейцы первым делом пытаются понять, откуда же OE берет эти пароли. И делают это подсаживая "на хвост" Outlook'у шпионов Filemon (монитор взаимодействия приложений с файловой системой) и Regmon (монитор взаимодействия приложений с реестром Windows). В Windows 98 цель достигается легко, и выслеживается необходимое место в реестре, где находятся все данные хранилища. Под Windows XP это оказалось сложнее. Дело в том, что та ветвь реестра по умолчанию закрыта на доступ, разрешение на него приходится ставить вручную, сам же путь в реестре выглядит так: HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider. В нем находится подветвь вида S-1-5-21-1935655697-884357618-839522115-1003, внутри которой и будут видны древообразные структуры данных, которые держат в защищенном хранилище.