Матушкин Андрей Николаевич
Президент IAPD
Membre du Staff
Niveau d'accès privé
Full members of NP "MOD"
Methods of hiding information.
Information on the hard disk can be hidden in several ways. We will talk about them, starting with simple ones and going over to complex ones. An article for those who hide, but not find. Therefore, methods of concealment are only indicated. Who needs more detailed information on a particular method - he will find it and, most importantly, bring its own unique flavor by mixing seasonings. And specific recipes would be useful to those who seek, rather than hide.
#1. Moving to folders "away".
The method is to move the information somewhere to C: \ Users \ Walter \ AppData \ Local \ Temp \ 018iasywq8 \ user \ 10ha1pg1vythz21ds778b0ycq9r2. They use this method ... well, those who, in principle, know that the computer is working on the network and turns on with the button.
How can I find it? Well, since video and images are usually hidden there, then a search through Total Commander: * .jpg; * .avi or * .doc; * .xls and so on.
# 2 Hiding in the archive.
The method is clear. To archive 10 photos, name the archive hjskdhklgd.zip and combine with method number 1. There should already be a user who knows what the archiver is.
How can I find it? As in the first paragraph, only indicate "search in the archives."
# 3 Rename a file.
Light . The method, although simple at first glance, can, with in-depth use, give some results. Depends on how experienced the user is. If his knowledge is limited to the level described above, then the file "my_black_accounting.doc" will be called the "code_builder_communism.doc". You can find as well as above.
Medium . If a person knows how to include file extensions or is friends with TC or FAR, and also understands that when renaming a file, it does not lose its taste, then he can rename it, for example, in intraweb.dat, combining it with the first + second method and get some effect. You can only find it by running a search on the initial characters of the file's content to determine the desired type. *. * look for the text "II *" is tiff and so on.
#4. The use of attributes.
The method is also clear. Right mouse button, hidden attribute. At the command line attrib –s –h. Very common advice when requesting google "Hide files". I don’t know who it is intended for. To find? Guess with 3 times, called.
#five. Rename a folder.
Light One of the funniest ways, but with its vivid visual effect, it impresses many. It is recommended to rename the folder on the desktop to 255 while pressing ALT. The folder name will be empty. And change the folder icon to a blank picture. And as if by magic, the folder becomes visually invisible.
To find? Hold down the mouse button to select the entire area of the desktop.
Medium There are still users who assign the system name to the folder. It then takes the form of Fonts. {21EC2020-3AEA-1069-A2DD-08002B30309D}, for example, the control panel and with a 2nd click really leads there. You can find it, knowing that in the “My Documents” folder ordinary people don’t have links to the control panel. Well, methods 1-2, of course.
# 6 Archive with encryption.
Now we are not talking about how to view information, but how to find it. Therefore, encryption itself and passwords are not discussed. The fact is that modern archivers have the ability to hide the name of files in the archive during encryption. Here we come to something interesting. The user at least spent several hours to learn about this method and understand it.
To find? You can find only the archive itself, and determine that it is encrypted in such a difficult way. The files in it are never visible. That is, the fact of hiding information on the computer will be revealed. This is enough for this article.
# 7 Installation of special programs.
The methods of programs for hiding information are the same as described above or, basically, below. But the very existence of such a program already speaks of the fact of hiding information. And, of course, after uninstalling it, all the files are in full view. This method is useful for those who are curious on a computer. Typically, such programs have a password, so it’s so simple, even when accessing a computer via the network, they can’t be uninstalled.
But ... all existing programs designed for the average user give out the fact of hiding information, and attract more attention than such information itself. They put huge red signs on folders, run in autorun and tray, have silly names like "My hidden files."
One of the most famous vendors in this area, Symantec makes a folder with a huge signboard NORTNON PROTECTED !!! Imagine a situation where some attackers decided to hide a stolen two-cassette tape recorder in their home before a search. They go to the store, take a passport (that is how they acquire programs abroad) and buy an expensive super safe. They put him in the middle of his apartment and put a two-cassette player there. Servants come, go around the whole house, there is no two-cassette player. Naturally, they ask: “What kind of safe is it in the middle of the apartment?” And those to them: “Not your business! This is our Private property! ” Well, of course, the fingers are in the doorway and the safe is open ... So worse than such programs can only be the placement of all secret information on the desktop with the inscription: "My secret files are stored here !!!".
#8. Virtual disks.
The method is very common and ... very inefficient. True Crypt, for example, creates an encrypted file hundreds of megabytes in size and then mounts it as a disk. At the same time, all information, and not just the files that are currently needed, are visible both on the network and when receiving secret surveillance. And most importantly - if you need to hide the fact of hiding information, then this is the most primitive way. Finding a file of, say, 700 MB, which is encrypted, is not at all difficult.
#nine. Hide logical drives.
The method is not bad, considering that there are no large files, you will not find information by searching. The point is that Windows makes it possible to connect and disconnect drives. If the disk is disconnected, then it is invisible ... until any disk editor starts. And this, of course, is not so difficult. And again, during operation all information is opened. And it is visible both on the network and in a remote attack. The downside is that it is not safe to split an existing drive on the fly. That is, it is better to take this point into account when formatting.
#ten. Steganography.
You can shorthand either manually or using special tools. Information is usually hidden in graphic and video files. Where you can cut the color scheme and you will not see the difference. Starting from this point, I will not write how hidden information can be found, I will only talk about what kind of specialist level is needed to find it.
If it is not known with which tool information was hidden and in which file it was hidden, then I would rate the level of specialist in finding it as quite high. Separately, the categories of people who can find hidden information, we will talk below.
#eleven. NTFS Data Streams (ADS).
NTFS allows you to chain as many data streams to a single file. Such data is not visible to the naked eye, neither connecting to another OS, nor safe mode, nor viewing DOS will help. On the one hand, it is not so difficult to detect, but ... only for a specialist. Non-specialist will not find such information.
On the other hand, the method is not very common. If you consider that the information can be hung on the service data of NTFS itself, then the search in general can be greatly complicated. If you combine other methods with ADS, then the task becomes simply difficult. You will need a specialist of high and medium level, depending on the combination of different methods with ADS.
#12. Interception of native Windows functions.
Despite the fact that many programs use this method, it is so stupidly presented that all the charm is lost. But this real freedom, no boundaries, Windows is turning into an obedient ball of plasticine. She no longer depends on the will of old Gates, everything becomes in our hands.
The point is to intercept operating system requests for the disk and return values with a filter. Despite the fact that Windows is struggling to show the file "top-secret.doc", the applied "hook" makes it believe that this file does not exist. A healthy minus is that if our hook is demolished, Windows will again work correctly. Of course, when you start to create things, you also don’t really allow things like “demolish a hook” to be done by combining this method with other high-level methods.
#13. Games with MFT.
On NTFS there is such a bad file called MFT. So, he carefully logs all our recordings to disk. It is not difficult to guess what you can do, knowing how to restrain him in such zeal. Here are the indices of objects, and uplinks and substitution, and so on. But, starting from this point, there are no tools for this kind of magic. There should be brains. But the taste difference is like between a food service and an expensive restaurant.
#fourteen. Intervertebral hernia (IPH).
There are such spaces between files that are formed due to the fact that the file weighs 500 bytes and the sector size is 4 Kb. So this file occupies the whole sector. And then who will occupy the free space? Few people can put information there, but special tools should be forgotten. But the effect! Well and, of course, to suspect that the computer under study has an MPG ?! Therefore, specialists need the highest class.
#15. Removal.
Interestingly, this simple procedure is at our highest level. Yes, deleting the file, you hid it, and it is very reliable. I will not be here for a long time to spread the fact that only a blast furnace removes information from a hard disk. And I'm not talking about banal deletion to the trash (by the way, there are such users who hide files in RECYCLE). I am talking about average file deletion. When Windows and its applications will never find information ever. Of course, another question is how to work with such information. Here you need to know a lot, be able to. And, frankly, there is more theory here, but ... I will give this place of honor No. 15 to such art.
Who can find the hidden information.
Speaking of this, amateurs show off their erudition and impress others with a mystical phrase “special services”. Some, especially "approximate" ones, give the abbreviations NSA, while someone knows the decryption (National Security Agency), SVR, FSB, GRU and so on.
I always get ridiculous for 2 reasons. It is the special services that exist in 5-6 cities of the globe that will not be interested in the information and the persona of ordinary users. Therefore, we modestly keep silent about these services, their capabilities and methods.
In reality, information is hidden from the “merchants” in uniform, who seize the PC during the next “action”. To pay the standard amount, and not pay even for some secrets that may be discovered, you can hide the information. Or if unlicensed software is hidden from the same category of “employees”. The "merchants" knowledge in this area is usually not very deep, so 2+ methods can be considered sufficient in this case.
You can hide the personal, purely intimate part of your life just from everyone. If it’s home, then almost all methods will work, unless, of course, one of the home is not a representative of just the same NSA. If at work, where there is an admin, then the situation is complicated by the fact that usually there are no admin rights that are needed for simpler methods. So, of the simple ones, 6, 8 remains (for example, if TrueCrypt is configured to work without admin rights). And from real 10, 11. But, of course, to keep such information at work is stupid. Moreover, more and more organizations are secretly monitoring employee computers using many different utilities, such as ActualSpy. And then the meaning of concealment is generally lost.
But these are all routine and commonplace things. The real experts are not sitting in the intelligence services, but in the companies Toyota, Gazprom, Nokia, Adobe, Oriflame and so on. The real value is the information where there is a super competitive multi-billion dollar environment. Such companies spend a significant part of the budget on competitive intelligence and counterintelligence, and their specialists, methods and technologies are several years ahead of the Pentagon and MOSSAD. For such specialists, the methods described above are just a matter of short time.
Output.
The conclusion is very simple and unambiguous: no known methods of hiding information can prevent its discovery. So, if information needs 100% protection, it must be encrypted. However, if the information is securely encrypted and not hidden, I recommend that you study the chapter "Interrogation" of the immortal work of A.I. Solzhenitsyn "Gulag Archipelago" and it will immediately become clear to you that no one will engage in cryptanalysis if we live in a country with such "glorious" traditions of the Cheka.
[DLMURL] https://habrahabr.ru/company/cybersafe/blog/213543/ [/ DLMURL]
Information on the hard disk can be hidden in several ways. We will talk about them, starting with simple ones and going over to complex ones. An article for those who hide, but not find. Therefore, methods of concealment are only indicated. Who needs more detailed information on a particular method - he will find it and, most importantly, bring its own unique flavor by mixing seasonings. And specific recipes would be useful to those who seek, rather than hide.
#1. Moving to folders "away".
The method is to move the information somewhere to C: \ Users \ Walter \ AppData \ Local \ Temp \ 018iasywq8 \ user \ 10ha1pg1vythz21ds778b0ycq9r2. They use this method ... well, those who, in principle, know that the computer is working on the network and turns on with the button.
How can I find it? Well, since video and images are usually hidden there, then a search through Total Commander: * .jpg; * .avi or * .doc; * .xls and so on.
# 2 Hiding in the archive.
The method is clear. To archive 10 photos, name the archive hjskdhklgd.zip and combine with method number 1. There should already be a user who knows what the archiver is.
How can I find it? As in the first paragraph, only indicate "search in the archives."
# 3 Rename a file.
Light . The method, although simple at first glance, can, with in-depth use, give some results. Depends on how experienced the user is. If his knowledge is limited to the level described above, then the file "my_black_accounting.doc" will be called the "code_builder_communism.doc". You can find as well as above.
Medium . If a person knows how to include file extensions or is friends with TC or FAR, and also understands that when renaming a file, it does not lose its taste, then he can rename it, for example, in intraweb.dat, combining it with the first + second method and get some effect. You can only find it by running a search on the initial characters of the file's content to determine the desired type. *. * look for the text "II *" is tiff and so on.
#4. The use of attributes.
The method is also clear. Right mouse button, hidden attribute. At the command line attrib –s –h. Very common advice when requesting google "Hide files". I don’t know who it is intended for. To find? Guess with 3 times, called.
#five. Rename a folder.
Light One of the funniest ways, but with its vivid visual effect, it impresses many. It is recommended to rename the folder on the desktop to 255 while pressing ALT. The folder name will be empty. And change the folder icon to a blank picture. And as if by magic, the folder becomes visually invisible.
To find? Hold down the mouse button to select the entire area of the desktop.
Medium There are still users who assign the system name to the folder. It then takes the form of Fonts. {21EC2020-3AEA-1069-A2DD-08002B30309D}, for example, the control panel and with a 2nd click really leads there. You can find it, knowing that in the “My Documents” folder ordinary people don’t have links to the control panel. Well, methods 1-2, of course.
# 6 Archive with encryption.
Now we are not talking about how to view information, but how to find it. Therefore, encryption itself and passwords are not discussed. The fact is that modern archivers have the ability to hide the name of files in the archive during encryption. Here we come to something interesting. The user at least spent several hours to learn about this method and understand it.
To find? You can find only the archive itself, and determine that it is encrypted in such a difficult way. The files in it are never visible. That is, the fact of hiding information on the computer will be revealed. This is enough for this article.
# 7 Installation of special programs.
The methods of programs for hiding information are the same as described above or, basically, below. But the very existence of such a program already speaks of the fact of hiding information. And, of course, after uninstalling it, all the files are in full view. This method is useful for those who are curious on a computer. Typically, such programs have a password, so it’s so simple, even when accessing a computer via the network, they can’t be uninstalled.
But ... all existing programs designed for the average user give out the fact of hiding information, and attract more attention than such information itself. They put huge red signs on folders, run in autorun and tray, have silly names like "My hidden files."
One of the most famous vendors in this area, Symantec makes a folder with a huge signboard NORTNON PROTECTED !!! Imagine a situation where some attackers decided to hide a stolen two-cassette tape recorder in their home before a search. They go to the store, take a passport (that is how they acquire programs abroad) and buy an expensive super safe. They put him in the middle of his apartment and put a two-cassette player there. Servants come, go around the whole house, there is no two-cassette player. Naturally, they ask: “What kind of safe is it in the middle of the apartment?” And those to them: “Not your business! This is our Private property! ” Well, of course, the fingers are in the doorway and the safe is open ... So worse than such programs can only be the placement of all secret information on the desktop with the inscription: "My secret files are stored here !!!".
#8. Virtual disks.
The method is very common and ... very inefficient. True Crypt, for example, creates an encrypted file hundreds of megabytes in size and then mounts it as a disk. At the same time, all information, and not just the files that are currently needed, are visible both on the network and when receiving secret surveillance. And most importantly - if you need to hide the fact of hiding information, then this is the most primitive way. Finding a file of, say, 700 MB, which is encrypted, is not at all difficult.
#nine. Hide logical drives.
The method is not bad, considering that there are no large files, you will not find information by searching. The point is that Windows makes it possible to connect and disconnect drives. If the disk is disconnected, then it is invisible ... until any disk editor starts. And this, of course, is not so difficult. And again, during operation all information is opened. And it is visible both on the network and in a remote attack. The downside is that it is not safe to split an existing drive on the fly. That is, it is better to take this point into account when formatting.
#ten. Steganography.
You can shorthand either manually or using special tools. Information is usually hidden in graphic and video files. Where you can cut the color scheme and you will not see the difference. Starting from this point, I will not write how hidden information can be found, I will only talk about what kind of specialist level is needed to find it.
If it is not known with which tool information was hidden and in which file it was hidden, then I would rate the level of specialist in finding it as quite high. Separately, the categories of people who can find hidden information, we will talk below.
#eleven. NTFS Data Streams (ADS).
NTFS allows you to chain as many data streams to a single file. Such data is not visible to the naked eye, neither connecting to another OS, nor safe mode, nor viewing DOS will help. On the one hand, it is not so difficult to detect, but ... only for a specialist. Non-specialist will not find such information.
On the other hand, the method is not very common. If you consider that the information can be hung on the service data of NTFS itself, then the search in general can be greatly complicated. If you combine other methods with ADS, then the task becomes simply difficult. You will need a specialist of high and medium level, depending on the combination of different methods with ADS.
#12. Interception of native Windows functions.
Despite the fact that many programs use this method, it is so stupidly presented that all the charm is lost. But this real freedom, no boundaries, Windows is turning into an obedient ball of plasticine. She no longer depends on the will of old Gates, everything becomes in our hands.
The point is to intercept operating system requests for the disk and return values with a filter. Despite the fact that Windows is struggling to show the file "top-secret.doc", the applied "hook" makes it believe that this file does not exist. A healthy minus is that if our hook is demolished, Windows will again work correctly. Of course, when you start to create things, you also don’t really allow things like “demolish a hook” to be done by combining this method with other high-level methods.
#13. Games with MFT.
On NTFS there is such a bad file called MFT. So, he carefully logs all our recordings to disk. It is not difficult to guess what you can do, knowing how to restrain him in such zeal. Here are the indices of objects, and uplinks and substitution, and so on. But, starting from this point, there are no tools for this kind of magic. There should be brains. But the taste difference is like between a food service and an expensive restaurant.
#fourteen. Intervertebral hernia (IPH).
There are such spaces between files that are formed due to the fact that the file weighs 500 bytes and the sector size is 4 Kb. So this file occupies the whole sector. And then who will occupy the free space? Few people can put information there, but special tools should be forgotten. But the effect! Well and, of course, to suspect that the computer under study has an MPG ?! Therefore, specialists need the highest class.
#15. Removal.
Interestingly, this simple procedure is at our highest level. Yes, deleting the file, you hid it, and it is very reliable. I will not be here for a long time to spread the fact that only a blast furnace removes information from a hard disk. And I'm not talking about banal deletion to the trash (by the way, there are such users who hide files in RECYCLE). I am talking about average file deletion. When Windows and its applications will never find information ever. Of course, another question is how to work with such information. Here you need to know a lot, be able to. And, frankly, there is more theory here, but ... I will give this place of honor No. 15 to such art.
Who can find the hidden information.
Speaking of this, amateurs show off their erudition and impress others with a mystical phrase “special services”. Some, especially "approximate" ones, give the abbreviations NSA, while someone knows the decryption (National Security Agency), SVR, FSB, GRU and so on.
I always get ridiculous for 2 reasons. It is the special services that exist in 5-6 cities of the globe that will not be interested in the information and the persona of ordinary users. Therefore, we modestly keep silent about these services, their capabilities and methods.
In reality, information is hidden from the “merchants” in uniform, who seize the PC during the next “action”. To pay the standard amount, and not pay even for some secrets that may be discovered, you can hide the information. Or if unlicensed software is hidden from the same category of “employees”. The "merchants" knowledge in this area is usually not very deep, so 2+ methods can be considered sufficient in this case.
You can hide the personal, purely intimate part of your life just from everyone. If it’s home, then almost all methods will work, unless, of course, one of the home is not a representative of just the same NSA. If at work, where there is an admin, then the situation is complicated by the fact that usually there are no admin rights that are needed for simpler methods. So, of the simple ones, 6, 8 remains (for example, if TrueCrypt is configured to work without admin rights). And from real 10, 11. But, of course, to keep such information at work is stupid. Moreover, more and more organizations are secretly monitoring employee computers using many different utilities, such as ActualSpy. And then the meaning of concealment is generally lost.
But these are all routine and commonplace things. The real experts are not sitting in the intelligence services, but in the companies Toyota, Gazprom, Nokia, Adobe, Oriflame and so on. The real value is the information where there is a super competitive multi-billion dollar environment. Such companies spend a significant part of the budget on competitive intelligence and counterintelligence, and their specialists, methods and technologies are several years ahead of the Pentagon and MOSSAD. For such specialists, the methods described above are just a matter of short time.
Output.
The conclusion is very simple and unambiguous: no known methods of hiding information can prevent its discovery. So, if information needs 100% protection, it must be encrypted. However, if the information is securely encrypted and not hidden, I recommend that you study the chapter "Interrogation" of the immortal work of A.I. Solzhenitsyn "Gulag Archipelago" and it will immediately become clear to you that no one will engage in cryptanalysis if we live in a country with such "glorious" traditions of the Cheka.
[DLMURL] https://habrahabr.ru/company/cybersafe/blog/213543/ [/ DLMURL]
Original message
Методы сокрытия информации.
Информация на жестком диске может быть скрыта несколькими методами. Мы будем говорить о них, начиная с простых и переходя к сложным. Статья для тех, кто прячет, а не находит. Поэтому методы сокрытия лишь обозначены. Кому потребуется более подробная информация по тому или иному методу — тот ее найдет и, главное, привнесет свой неповторимый аромат за счет смешения приправ. А конкретные рецепты были бы полезны тем, кто ищет, а не прячет.
#1. Перемещение в папки «подальше».
Метод заключается в том, чтобы переместить информацию куда-нибудь в C:\Users\Walter\AppData\Local\Temp\018iasywq8\user\10ha1pg1vythz21ds778b0ycq9r2. Таким методом, пользуются… ну те, кто в принципе знает, что компьютер работает от сети и включается при помощи кнопки.
Как можно найти? Ну, так как туда обычно прячут видео и изображения, то поиском через Total Commander: *.jpg; *.avi или *.doc; *.xls и проч.
#2. Скрытие в архиве.
Метод понятен. Зархивировать 10 фотографий, назвать архив hjskdhklgd.zip и совместить с методом № 1. Тут уже должен быть пользователь, представляющий себе, что такое архиватор.
Как можно найти? Также как и в первом пункте, только указать «искать в архивах».
#3. Переименование файла.
Light. Метод хотя и прост на первый взгляд, но, при углубленном использовании, может дать некоторые результаты. Зависит от того, насколько опытен пользователь. Если его знания ограничены уровнем, описанным выше, тогда файл «моя_черная_бухгалтерия.doc» будет назван «кодекс_строителя_коммунизма.doc». Найти можно также, как и выше.
Medium. Если человек знает, как включать расширения файлов или дружит с ТК или FAR, а также понимает, что при переименовании файл не теряет своих вкусовых качеств, тогда он может переименовать его, например, в intraweb.dat, совместив с первым + вторым способом и получить некоторый эффект. Найти можно только запустив поиск по начальным символам содержания файла на предмет выявления нужного типа. *.* искать текст «II*» это tiff и проч.
#4. Применение атрибутов.
Метод тоже понятен. Правая кнопка мыши, атрибут «скрытый». В командной строке attrib –s –h. Очень распространенный совет при запросе в гугл «Hide files». Не знаю, на кого он рассчитан. Найти? Догадайтесь с 3-х раз, называется.
#5. Переименование папки.
Light. Один из самых смешных способов, но при его ярком визуальном эффекте он многих впечатляет. Рекомендуют папку на рабочем столе переименовать в 255 при нажатом ALT. При этом имя папки будет пустым. А иконку папки сменить на пустую картинку. И как по волшебству папка становится визуально невидимой.
Найти? Удерживая кнопку мыши выделить всю область рабочего стола.
Medium. Еще есть пользователи, которые присваивают папке имя системной. Она тогда принимает вид Fonts.{21EC2020-3AEA-1069-A2DD-08002B30309D}, например, панели управления и при 2-м клике действительно туда ведет. Найти можно, зная, что в папке «Мои документы» ссылки на панель управления у обычных людей не бывает. Ну и способы 1-2, само собой.
#6. Архив с шифрованием.
Сейчас мы говорим не о том, как информацию просмотреть, а о том, как ее найти. Поэтому само шифрование и пароли не обсуждаются. Дело в том, что современные архиваторы имеют возможность скрывать название файлов в архиве при шифровании. Здесь мы уже подошли к чему-то интересному. Пользователь как минимум потратил несколько часов, чтобы узнать о таком методе и в нем разобраться.
Найти? Найти можно только сам архив, и определить, что он зашифрован таким непростым способом. Файлы в нем ни за что не видны. То есть, обнаружится факт сокрытия информации на компьютере. Для данной статьи этого уже достаточно.
#7. Установка специальных программ.
Методы программ для скрытия информации такие же, как написано выше или, в основном, ниже. Но само существование такой программы уже говорит о факте сокрытия информации. И, конечно, после ее деинсталляции, все файлы как на ладони. Этот метод полезен для тех, к кому на компьютер попадают любопытные. Обычно такие программы под паролем, поэтому так просто, в том числе и при получении доступа к компьютеру по сети, их не деинсталлировать.
Но… все существующие программы, рассчитанные на рядового пользователя, выдают факт сокрытия информации, и привлекают к себе внимание больше, чем сама такая информация. Они ставят огромные красные знаки на папках, запускаются в автозапуске и трее, имеют глупые названия на подобие «Мои скрытые файлы».
Один из самых известных вендоров в этой области Symantec делает папку с громадной вывеской NORTNON PROTECTED!!! Представьте себе ситуацию, когда некие злоумышленники решили спрятать украденный двухкассетный магнитофон у себя дома перед обыском. Они идут в магазин, берут паспорт (а именно так приобретают программы за границей) и покупают дорогой супер сейф. Ставят его посреди своей квартиры и кладут туда двухкасетник. Приходят служивые, обходят весь дом, двухкасетника нет. Естественно, спрашивают: «А что это за сейф посреди квартиры?» А те им: «Не ваше дело! Это наша Private property!» Ну, понятно, пальцы в дверном проем и сейф открыт… Так что хуже таких программ может быть только размещение всей секретной информации на рабочем столе с надписью: «Здесь хранятся мои секретные файлы!!!».
#8. Виртуальные диски.
Метод очень распространенный и… очень неэффективный. True Crypt, например, создает шифрованный файл размером в сотни мегабайт и потом монтирует его как диск. При этом вся информация, а не только нужные на данный момент файлы, видны и по сети и при получении негласного наблюдения. А главное — если необходимо скрыть сам факт сокрытия информации, то это самый примитивный способ. Найти файл размером, скажем, 700 Мб, который при этом зашифрован, совсем не сложно.
#9. Скрытие логических дисков .
Метод неплохой, учитывая, что при этом больших файлов нет, поиском информацию не найдешь. Смысл заключается в том, что Windows дает возможность подключать и отключать диски. Если диск отключен — то он невиден… до тех пор, пока не запустится любой дисковый редактор. А это конечно, не так сложно. И опять же, во время работы вся информация открывается. И видна как по сети, так и при удаленной атаке. Минус еще в том, что на ходу разбивать уже существующий диск дело небезопасное. То есть, лучше при форматировании учесть этот момент.
#10. Стеганография.
Стенографировать можно как вручную, так и при помощи специальных инструментов. Информация обычно прячется в графических и видео файлах. Там, где можно подрезать цветовую гамму и на глаз разницы не увидишь. Начиная с этого пункта, я не буду писать, как сокрытую информацию можно найти, только буду говорить о том, какой нужен уровень специалиста для ее обнаружения.
Если неизвестно, при помощи какого инструмента была спрятана информация и в каком именно файле она спрятана, то я бы оценил уровень специалиста по нахождению как достаточно высокий. Отдельно о категориях людей, которые могут найти сокрытую информацию, поговорим ниже.
#11. Потоки данных NTFS (ADS).
NTFS позволяет цеплять к одному файлу сколько угодно потоков данных. Такие данные не видны невооруженным глазом, не поможет ни подключение другой ОС, ни безопасный режим, ни просмотр DOSом. С одной стороны обнаружить не так сложно, но… только для специалиста. Не специалист такую информацию не обнаружит.
С другой стороны, метод не особо распространенный. Если учесть, что информацию можно повесить на служебные данные самого NTFS, то поиск вообще можно сильно усложнить. Если сочетать вместе с ADS другие способы, то задача становится просто сложной. Потребуется специалист высокого и среднего уровня, в зависимости от комбинирования разных способов с ADS.
#12. Перехват родных функций Windows.
Не смотря на то, что этот метод используют многие программы, он так глупо преподнесен, что теряется вся прелесть. А ведь эта настоящая свобода, нет границ, Windows превращается в послушный шарик пластилина. Она больше не зависит от воли старика Гейтса, все становится в наших руках.
Смысл заключается в перехвате запросов операционной системы к диску и выдаче значений с фильтром. Не смотря на то, что Windows изо всех сил старается показать файл «совершенно_секретно.doc», примененный «хук» заставляет ее считать, что этого файла не существует. Здоровый минус в том, что если наш хук снести, Windows опять будет работать правильно. Конечно, когда начинаешь творить, то такие вещи, как «снести хук», тоже не особо позволяешь сделать, комбинируя этот метод с другими методами высокого уровня.
#13. Игры с MFT.
На NTFS есть такой нехороший файл, называется MFT. Так вот, он тщательно протоколирует все наши записи на диск. Не трудно догадаться, что можно делать, умея его приструнять в таком рвении. Здесь и индексы объектов, и аплинки и подмена и проч. Но, начиная с этого пункта, инструментов для такого рода волшебства нет. Тут должны быть мозги. Зато вкусовая разница — как между общепитом и дорогим рестораном.
#14. Межпозвоночная грыжа (МПГ).
Есть такие пространства между файлами, которые образуются за счет того, что файл весит 500 байт, а размер сектора составляет 4 Кб. Так вот этот файл весь-то сектор и занимает. А свободное пространство тогда кто займет? Поместить туда информацию вообще мало кому под силу, а про специальные инструменты вообще следует забыть. Зато эффект! Ну и, конечно, заподозрить, что исследуемый компьютер имеет МПГ?! Поэтому специалисты нужны высочайшего класса.
#15. Удаление.
Интересно, что эта простая процедура находится у нас на самом высоком уровне. Да, удалив файл, вы его спрятали, причем очень надежно. Не буду здесь долго распространяться на предмет того, что информацию с жесткого диска удаляет только доменная печь. И я не говорю про банальное удаление в корзину (кстати, есть такие пользователи, которые прячут файлы в RECYCLE). Я говорю о среднем удалении файла. Когда Windows и ее приложения не найдут информацию никогда. Конечно, другой вопрос — как с такой информацией работать. Тут надо много знать, много уметь. И, честно говоря, здесь больше теории, но… такому искусству отдам почетное место №15.
Кто может найти скрытую информацию.
Говоря об этом, любители блеснуть своей эрудицией и произвести впечатление на окружающих произносят мистическое словосочетание «спецслужбы». Некоторые, особенно «приближенные», выдают аббревиатуры NSA, а кто-то и расшифровку знает (National Security Agency), СВР, ФСБ, ГРУ и проч.
Мне всегда становится смешно по 2-м причинам. Именно специальные службы, которые существуют в 5-6 городах земного шара, не заинтересуются информацией и персоной рядовых пользователей. Поэтому об этих службах, их возможностях и методах, мы скромно умолчим.
В реальности информацию прячут от «коммерсантов» в погонах, которые изымают ПК во время очередной «акции». Чтобы уплатить стандартную сумму, а не платить еще и за некоторые секреты, которые могут быть обнаружены, можно информацию прятать. Или если от этой же категории «служащих» прячут нелицензионное ПО. У «коммерсантов» познания в этой области обычно не очень глубоки, поэтому методы 2+ можно считать достаточными в таком случае.
Можно прятать личную, сугубо интимную часть своей жизни просто от всех. Если это домашние, то подойдут почти все методы, если, конечно, один из домашних не представитель как раз той самой NSA. Если на работе, где есть админ, то ситуация усложняется тем, что обычно нет прав админа, которые нужны для более простых методов. Так что, из простых остается 6, 8 (например, если TrueCrypt настроить работать без прав админа). А из реальных 10, 11. Но, конечно, держать такую информацию на работе глупо. Тем более, что все больше организаций ведут негласное наблюдение за компьютерами сотрудников при помощи множества различных утилит, например ActualSpy. И тогда смысл сокрытия вообще теряется.
Но это все вещи рутинные и банальные. Настоящие специалисты сидят не в спецслужбах, а в компаниях «Toyota», «Газпром», «Nokia», «Adobe», «Oriflame» и проч. Реальную ценность представляет та информация, где есть супер конкурентная многомиллиардная среда. Такие компании тратят значительную часть бюджета на конкурентную разведку и контрразведку, а их специалисты, методы и технологии опережают Пентагон и МОССАД на несколько лет. Для таких специалистов методы, описанные выше, лишь вопрос непродолжительного времени.
Вывод.
Вывод очень прост и однозначен: никакие известные методы сокрытия информации не могут предотвратить ее обнаружения. Так что, если информация нуждается в 100% защите, она должна быть зашифрована. Однако, если информация надежно зашифрована и не спрятана, то рекомендую изучить главу «Допрос» бессмертного произведения А.И. Солженицина «Архипелаг ГУЛАГ» и вам сразу станет ясно, что никто не будет заниматься криптоанализом, если мы живем в стране с такими «славными» традициями ЧК.
[DLMURL]https://habrahabr.ru/company/cybersafe/blog/213543/[/DLMURL]
Информация на жестком диске может быть скрыта несколькими методами. Мы будем говорить о них, начиная с простых и переходя к сложным. Статья для тех, кто прячет, а не находит. Поэтому методы сокрытия лишь обозначены. Кому потребуется более подробная информация по тому или иному методу — тот ее найдет и, главное, привнесет свой неповторимый аромат за счет смешения приправ. А конкретные рецепты были бы полезны тем, кто ищет, а не прячет.
#1. Перемещение в папки «подальше».
Метод заключается в том, чтобы переместить информацию куда-нибудь в C:\Users\Walter\AppData\Local\Temp\018iasywq8\user\10ha1pg1vythz21ds778b0ycq9r2. Таким методом, пользуются… ну те, кто в принципе знает, что компьютер работает от сети и включается при помощи кнопки.
Как можно найти? Ну, так как туда обычно прячут видео и изображения, то поиском через Total Commander: *.jpg; *.avi или *.doc; *.xls и проч.
#2. Скрытие в архиве.
Метод понятен. Зархивировать 10 фотографий, назвать архив hjskdhklgd.zip и совместить с методом № 1. Тут уже должен быть пользователь, представляющий себе, что такое архиватор.
Как можно найти? Также как и в первом пункте, только указать «искать в архивах».
#3. Переименование файла.
Light. Метод хотя и прост на первый взгляд, но, при углубленном использовании, может дать некоторые результаты. Зависит от того, насколько опытен пользователь. Если его знания ограничены уровнем, описанным выше, тогда файл «моя_черная_бухгалтерия.doc» будет назван «кодекс_строителя_коммунизма.doc». Найти можно также, как и выше.
Medium. Если человек знает, как включать расширения файлов или дружит с ТК или FAR, а также понимает, что при переименовании файл не теряет своих вкусовых качеств, тогда он может переименовать его, например, в intraweb.dat, совместив с первым + вторым способом и получить некоторый эффект. Найти можно только запустив поиск по начальным символам содержания файла на предмет выявления нужного типа. *.* искать текст «II*» это tiff и проч.
#4. Применение атрибутов.
Метод тоже понятен. Правая кнопка мыши, атрибут «скрытый». В командной строке attrib –s –h. Очень распространенный совет при запросе в гугл «Hide files». Не знаю, на кого он рассчитан. Найти? Догадайтесь с 3-х раз, называется.
#5. Переименование папки.
Light. Один из самых смешных способов, но при его ярком визуальном эффекте он многих впечатляет. Рекомендуют папку на рабочем столе переименовать в 255 при нажатом ALT. При этом имя папки будет пустым. А иконку папки сменить на пустую картинку. И как по волшебству папка становится визуально невидимой.
Найти? Удерживая кнопку мыши выделить всю область рабочего стола.
Medium. Еще есть пользователи, которые присваивают папке имя системной. Она тогда принимает вид Fonts.{21EC2020-3AEA-1069-A2DD-08002B30309D}, например, панели управления и при 2-м клике действительно туда ведет. Найти можно, зная, что в папке «Мои документы» ссылки на панель управления у обычных людей не бывает. Ну и способы 1-2, само собой.
#6. Архив с шифрованием.
Сейчас мы говорим не о том, как информацию просмотреть, а о том, как ее найти. Поэтому само шифрование и пароли не обсуждаются. Дело в том, что современные архиваторы имеют возможность скрывать название файлов в архиве при шифровании. Здесь мы уже подошли к чему-то интересному. Пользователь как минимум потратил несколько часов, чтобы узнать о таком методе и в нем разобраться.
Найти? Найти можно только сам архив, и определить, что он зашифрован таким непростым способом. Файлы в нем ни за что не видны. То есть, обнаружится факт сокрытия информации на компьютере. Для данной статьи этого уже достаточно.
#7. Установка специальных программ.
Методы программ для скрытия информации такие же, как написано выше или, в основном, ниже. Но само существование такой программы уже говорит о факте сокрытия информации. И, конечно, после ее деинсталляции, все файлы как на ладони. Этот метод полезен для тех, к кому на компьютер попадают любопытные. Обычно такие программы под паролем, поэтому так просто, в том числе и при получении доступа к компьютеру по сети, их не деинсталлировать.
Но… все существующие программы, рассчитанные на рядового пользователя, выдают факт сокрытия информации, и привлекают к себе внимание больше, чем сама такая информация. Они ставят огромные красные знаки на папках, запускаются в автозапуске и трее, имеют глупые названия на подобие «Мои скрытые файлы».
Один из самых известных вендоров в этой области Symantec делает папку с громадной вывеской NORTNON PROTECTED!!! Представьте себе ситуацию, когда некие злоумышленники решили спрятать украденный двухкассетный магнитофон у себя дома перед обыском. Они идут в магазин, берут паспорт (а именно так приобретают программы за границей) и покупают дорогой супер сейф. Ставят его посреди своей квартиры и кладут туда двухкасетник. Приходят служивые, обходят весь дом, двухкасетника нет. Естественно, спрашивают: «А что это за сейф посреди квартиры?» А те им: «Не ваше дело! Это наша Private property!» Ну, понятно, пальцы в дверном проем и сейф открыт… Так что хуже таких программ может быть только размещение всей секретной информации на рабочем столе с надписью: «Здесь хранятся мои секретные файлы!!!».
#8. Виртуальные диски.
Метод очень распространенный и… очень неэффективный. True Crypt, например, создает шифрованный файл размером в сотни мегабайт и потом монтирует его как диск. При этом вся информация, а не только нужные на данный момент файлы, видны и по сети и при получении негласного наблюдения. А главное — если необходимо скрыть сам факт сокрытия информации, то это самый примитивный способ. Найти файл размером, скажем, 700 Мб, который при этом зашифрован, совсем не сложно.
#9. Скрытие логических дисков .
Метод неплохой, учитывая, что при этом больших файлов нет, поиском информацию не найдешь. Смысл заключается в том, что Windows дает возможность подключать и отключать диски. Если диск отключен — то он невиден… до тех пор, пока не запустится любой дисковый редактор. А это конечно, не так сложно. И опять же, во время работы вся информация открывается. И видна как по сети, так и при удаленной атаке. Минус еще в том, что на ходу разбивать уже существующий диск дело небезопасное. То есть, лучше при форматировании учесть этот момент.
#10. Стеганография.
Стенографировать можно как вручную, так и при помощи специальных инструментов. Информация обычно прячется в графических и видео файлах. Там, где можно подрезать цветовую гамму и на глаз разницы не увидишь. Начиная с этого пункта, я не буду писать, как сокрытую информацию можно найти, только буду говорить о том, какой нужен уровень специалиста для ее обнаружения.
Если неизвестно, при помощи какого инструмента была спрятана информация и в каком именно файле она спрятана, то я бы оценил уровень специалиста по нахождению как достаточно высокий. Отдельно о категориях людей, которые могут найти сокрытую информацию, поговорим ниже.
#11. Потоки данных NTFS (ADS).
NTFS позволяет цеплять к одному файлу сколько угодно потоков данных. Такие данные не видны невооруженным глазом, не поможет ни подключение другой ОС, ни безопасный режим, ни просмотр DOSом. С одной стороны обнаружить не так сложно, но… только для специалиста. Не специалист такую информацию не обнаружит.
С другой стороны, метод не особо распространенный. Если учесть, что информацию можно повесить на служебные данные самого NTFS, то поиск вообще можно сильно усложнить. Если сочетать вместе с ADS другие способы, то задача становится просто сложной. Потребуется специалист высокого и среднего уровня, в зависимости от комбинирования разных способов с ADS.
#12. Перехват родных функций Windows.
Не смотря на то, что этот метод используют многие программы, он так глупо преподнесен, что теряется вся прелесть. А ведь эта настоящая свобода, нет границ, Windows превращается в послушный шарик пластилина. Она больше не зависит от воли старика Гейтса, все становится в наших руках.
Смысл заключается в перехвате запросов операционной системы к диску и выдаче значений с фильтром. Не смотря на то, что Windows изо всех сил старается показать файл «совершенно_секретно.doc», примененный «хук» заставляет ее считать, что этого файла не существует. Здоровый минус в том, что если наш хук снести, Windows опять будет работать правильно. Конечно, когда начинаешь творить, то такие вещи, как «снести хук», тоже не особо позволяешь сделать, комбинируя этот метод с другими методами высокого уровня.
#13. Игры с MFT.
На NTFS есть такой нехороший файл, называется MFT. Так вот, он тщательно протоколирует все наши записи на диск. Не трудно догадаться, что можно делать, умея его приструнять в таком рвении. Здесь и индексы объектов, и аплинки и подмена и проч. Но, начиная с этого пункта, инструментов для такого рода волшебства нет. Тут должны быть мозги. Зато вкусовая разница — как между общепитом и дорогим рестораном.
#14. Межпозвоночная грыжа (МПГ).
Есть такие пространства между файлами, которые образуются за счет того, что файл весит 500 байт, а размер сектора составляет 4 Кб. Так вот этот файл весь-то сектор и занимает. А свободное пространство тогда кто займет? Поместить туда информацию вообще мало кому под силу, а про специальные инструменты вообще следует забыть. Зато эффект! Ну и, конечно, заподозрить, что исследуемый компьютер имеет МПГ?! Поэтому специалисты нужны высочайшего класса.
#15. Удаление.
Интересно, что эта простая процедура находится у нас на самом высоком уровне. Да, удалив файл, вы его спрятали, причем очень надежно. Не буду здесь долго распространяться на предмет того, что информацию с жесткого диска удаляет только доменная печь. И я не говорю про банальное удаление в корзину (кстати, есть такие пользователи, которые прячут файлы в RECYCLE). Я говорю о среднем удалении файла. Когда Windows и ее приложения не найдут информацию никогда. Конечно, другой вопрос — как с такой информацией работать. Тут надо много знать, много уметь. И, честно говоря, здесь больше теории, но… такому искусству отдам почетное место №15.
Кто может найти скрытую информацию.
Говоря об этом, любители блеснуть своей эрудицией и произвести впечатление на окружающих произносят мистическое словосочетание «спецслужбы». Некоторые, особенно «приближенные», выдают аббревиатуры NSA, а кто-то и расшифровку знает (National Security Agency), СВР, ФСБ, ГРУ и проч.
Мне всегда становится смешно по 2-м причинам. Именно специальные службы, которые существуют в 5-6 городах земного шара, не заинтересуются информацией и персоной рядовых пользователей. Поэтому об этих службах, их возможностях и методах, мы скромно умолчим.
В реальности информацию прячут от «коммерсантов» в погонах, которые изымают ПК во время очередной «акции». Чтобы уплатить стандартную сумму, а не платить еще и за некоторые секреты, которые могут быть обнаружены, можно информацию прятать. Или если от этой же категории «служащих» прячут нелицензионное ПО. У «коммерсантов» познания в этой области обычно не очень глубоки, поэтому методы 2+ можно считать достаточными в таком случае.
Можно прятать личную, сугубо интимную часть своей жизни просто от всех. Если это домашние, то подойдут почти все методы, если, конечно, один из домашних не представитель как раз той самой NSA. Если на работе, где есть админ, то ситуация усложняется тем, что обычно нет прав админа, которые нужны для более простых методов. Так что, из простых остается 6, 8 (например, если TrueCrypt настроить работать без прав админа). А из реальных 10, 11. Но, конечно, держать такую информацию на работе глупо. Тем более, что все больше организаций ведут негласное наблюдение за компьютерами сотрудников при помощи множества различных утилит, например ActualSpy. И тогда смысл сокрытия вообще теряется.
Но это все вещи рутинные и банальные. Настоящие специалисты сидят не в спецслужбах, а в компаниях «Toyota», «Газпром», «Nokia», «Adobe», «Oriflame» и проч. Реальную ценность представляет та информация, где есть супер конкурентная многомиллиардная среда. Такие компании тратят значительную часть бюджета на конкурентную разведку и контрразведку, а их специалисты, методы и технологии опережают Пентагон и МОССАД на несколько лет. Для таких специалистов методы, описанные выше, лишь вопрос непродолжительного времени.
Вывод.
Вывод очень прост и однозначен: никакие известные методы сокрытия информации не могут предотвратить ее обнаружения. Так что, если информация нуждается в 100% защите, она должна быть зашифрована. Однако, если информация надежно зашифрована и не спрятана, то рекомендую изучить главу «Допрос» бессмертного произведения А.И. Солженицина «Архипелаг ГУЛАГ» и вам сразу станет ясно, что никто не будет заниматься криптоанализом, если мы живем в стране с такими «славными» традициями ЧК.
[DLMURL]https://habrahabr.ru/company/cybersafe/blog/213543/[/DLMURL]