Абдукция скриншотов

2009-07-04T23:22:00+07:00

Набрёл в Сети на интересную,но невнятную статью под броским заголовком The Art of Electronic Deduction. Статья действительно интересная, но - слишком плохо написана. Автор начинает об одном, переходит на второе, описывает третье и по сути своей, не даёт ничего из того,что сам же обещал. К тому же, он делает несколько больших допущений в выкладках.Поэтому я забросил идею перевода статьи и хочу поделиться своим видением некоторых идей оттуда.

В частности, сегодня я хочу разобрать по косточкам применение логики для чтения скриншотов. Не секрет,что если вам надо получить информацию о человеке - это можно сделать миллиардом способов. Почему бы в том числе не проанализировать скриншот его рабочего стола?

Начнём с простейшего. Вы видите здесь жалкий обрезок чьего-то скрина, который я случайно нарыл через Google Images.Это просто отрезок таскбара.

Большинство читателей уже могут сделать первое предположение о всём скриншоте: это скрин операционной системы Windows XP. Действительно, эта система имеет уникальный быстро различимый интерфейс, и синий таскбар с тенью справа - это часть её интерфейса по умолчанию. Попробуем предположить иное. Возможно, это какая-то тема для Mac OS X или Linux, которая имитирует интерфейс Microsoft Windows XP. Хорошо, допустим. Теперь посмотрим на первую левую иконку в этом таскбаре…ага. Иконка отключаемого внешнего носителя. Тоже часть стандартного набора иконок Windows XP. Что ещё важнее: программа, которая имеет эту иконку, имеется только в этой системе. Предположение,что существует…скажем, скрипт для Linux,который тоже управляет монтированием внешних носителей и имеет эту же иконку, уже выглядит менее правдоподобным. По правде, вероятность такого исхода дел очень мала - и если мы не очень придирчивы, её можно отмести уже сейчас. (Если мы были бы вообще не придирчивы, мы бы не рассматривали вообще варианты с Linux и MacOS) Если мы очень придирчивы - что же, просмотрим дальше. Иконка Microsoft Outlook, иконка соединения с Интернетом. На кой чёрт кому-то ставить макось или линукс и имитировать другую систему вплоть до программ на ней?Да, пожалуй, этих звеньев в нашей цепи достаточно: мы приняли умозаключение,что перед нами - скриншот Microsoft Windows XP.

Что это даёт? Ну, пока что это даёт две вещи о неизвестной нам личности - то,что у неё на компе стоит винда и то,что она не меняла её темы оформления. Идём дальше. Я нарочито иду оооочень медленно,чтобы продемонстрировать полную логическую цепь. В цепи, которая у нас уже есть, существует одно допущение, которое может оказаться верным с вероятностью, близкой к 99%. В дальнейшем я буду делать больше догадок, и такой точности не гарантирую. С другой стороны, - я взял этот скрин с инета абсолютно случайно! Кто меня проверит? Продолжим.

Мы уже обратили внимание на иконки сменного носителя, Microsoft Outlook и подключения к сети. Первые две не дают достаточного количества информации для того,чтобы сделать какую-нибудь стоящую догадку - эти иконки достаточно распространены.Конечно, Outlook не стоит на всех компьютерах, но и не редко встречается.

Иконка №3 говорит о том,что компьютер подключён к локальной сети. Это может быть роутер, это может быть локалка, или соединение с Интернетом. Ничего определённого сказать пока невозможно. Но я всё-таки могу сказать, что этот компьютер имеет соединение с Сетью. Судите сами: если я нашёл этот скрин по Google, то как он попал туда? Вероятнее всего, этот компьютер соединен с Сетью и скрин был закачан на какой-нибудь сайт сразу после взятия. Мне представляется это вероятным. Мелочь, но позднее может оказаться полезной.

Идём дальше. Незнакомые мне иконки. Это уже интересно, поскольку каждая незнакомая программа - это редкая программа, а значит, это уже ценная информация.Осталось только найти и опознать каждую из иконок. Как? Любым доступным способом. Хотя наиболее верным здесь является метод научного тыка (ставить все программы мира и авось да встретите нужную), потому что поиск о-о-очень сложен.Но я не хочу ставить все программы мира и не имею понятия,как я могу найти программу по её иконке. В этом случае, теперь у нас будет больше допущений.

Прежде всего пройдёмся по знакомым иконкам. Иконка кабеля с вилкой и иконка драйвера для тачпада Synaptic недвусмысленно говорят мне о том, что скрин сделан с ноутбука и ноут подключён к сети. Это важно: в то время, когда декстопные компьютеры часто разделяются между многими членами семьи, ноутбуки принадлежат единственному человеку. Значит, речь идёт об одной личности, а не о смешении разных. Также я вижу,что включён звук. На часы стоит обратить внимание - видите, они выводят время в 12-часовом формате. Формат AM\PM понятен только людям,знающим английский и,по-моему, он не стоит в винде по умолчанию (не уверен, поэтому не утверждаю). Я уже могу сказать,что стоит английская версия Windows. Это даёт вероятность того,что владелец компьютера тоже из англоязычной страны, но - вероятность не настолько большую. Английская винда очень распространена у пиратов, и в какой-нибудь Камбодже может случиться так, что достать Windows на родном языке сложнее,чем на английском. Это всё довольно бесполезные мелочи, но каждая деталь может помочь.

Теперь, когда простые выкладки сделаны, перейдём на следующую ступень. Я опять же начну с простых случаев - посмотрите на иконку щита с буквой V и жёлтый замочек. Нетрудно догадаться о функционале таких программ - это криптография (ну или другая защита информации) и либо брандмауэр, либо антивирус.Кстати, программа может сочетать брандмауэр И антивирус, что тоже немаловажно.То,что на компьютере этого человека есть брандмауэр - это немаловажная деталь. И есть резон даже постараться и найти всё-таки эту программу, так как мы знаем примерно, где искать и не придётся ставить все программы мира - только антивирусы.

Иконка секундомера - это скорее всего, какой-нибудь таймер.Есть такой вид программок, которые помогают отмерять время или напоминать, когда у тебя вскипела каша на кухне.Это может быть и календарик с напоминателем, но ведь рядом есть Microsoft Outlook.Ничего нельзя сказать с уверенностью.

Вообще,очень сложно разбирать скриншоты Windows, потому что существуют мириады программ и очень много из них любят забираться в трей, прописывать себя в реестре - словом, оставлять за собой кучу непонятных следов. С другой стороны, эти скрины содержат намного больше информации, ведь если эти следы распутать, можно многое сказать о человеке. Скрины Linux и макоси не настолько информативны,поскольку в том же линуксе на других рабочих столах может располагаться ещё штук 10 рабочих программ, а в трее сидеть единицы; и ещё сотня выполняется в виде демонов.А выбор оконного менеджера и рабочей среды может мало о чём свидетельствовать.

Осталось пять иконок,причём две из них одинаковы.Это синий квадрат. Часть какого-то программного пакета. Офисным он быть не может, поскольку офисных пакетов не так уж много и мне они знакомы; к тому же, сидеть в трее,да ещё в двух ипостасях… Это что-то по работе. Какой-нибудь сервер и клиент,скорее всего.Если раскопать, что это, можно узнать область работы автора.

Совёнок - это может быть всё,что угодно, вплоть до наэкранного животного, что-то вроде прог Felix или AMOR.Красная иконка с непонятным рисунком…Если предположить,что на рисунке спутниковая тарелка,то можно предположить,что это - какой-нибудь вычурный интернет-пейджер - помните, что компьютер выходит в инет?Иконка красная, то есть, человек не залогинен в аське или что у него там…но это слишком, слишком много предположений.

Последнее - иконка двух прямоугольничков. Имеются в виду всё-таки окна, поскольку на заднем прямоугольничке угадывается какой-то диалог. Что это? Опять же,всё что угодно: от эффектов рабочего стола для комбинации Alt-Tab до программы для снятия скриншотов (что было бы логично).

Что мы имеем? Имеем ноутбук, питающийся от сети, подключённый к Интернету, с системой Windows XP и установленным брандмауэром (антивирусы меньше склонны использовать щиты в качестве иконок - в таком случае, возможно,что на системе не установлен антивирус). Помимо этого,на ноутбуке есть ценная зашифрованная информация. А также мы имеем краткий списочек установленных программ, в числе которых Microsoft Outlook,запущенный в трее. Если бы мне было надо взломать этот ноутбук, я бы начал с того,что просмотрел бы эксплойты именно на эту программу (это просто легче всего), а затем сочинил бы письмо - на английском языке - и приложил бы к нему вирус. Полученной информации вполне достаточно для атаки. А вот если бы я хотел, например, сделать этому человеку подарок на день рождения, я бы не получил какой-нибудь стоящей подсказки.Ценность информации различна, в каждой задаче свои акценты.

Как видите,я разобрал далеко не скриншот и далеко не полностью - но даже этого мне хватило. Разбор скрина тем интереснее, чем больше индивидуальности носит система.Фон рабочего стола и тема менеджера окон подскажут вам любимые цвета владельца.Установленные программы покажут его область деятельности, интересы и нужды. Человек, который ставит на систему пакет “100% Effects For Your Desktop” хочет сделать систему эффектнее; человек, который ставит на компьютер виртуальную кошку, возможно,не откажется от реальной.

Зачем это нужно? Могут быть самые разнообразные применения. Скажем, вы не знаете,что подарить другу и хотите узнать его интересы. Вы хотите взломать чей-то компьютер и хотите сделать это максимально эффективно. Вы собираетесь связаться с этим человеком и хотите понять,с кем вам предстоит беседовать.

Попробуйте сами. Посмотрите на свой рабочий стол или монитор соседа по работе.Там можно найти много интересного.Важно лишь не быть опрометчивым и понимать, где вы делаете допущение, а где - нет.Ведь должны же существовать те, кто берёт Linux XP и ставит на него Microsoft Outlook.