На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Поиск файлов

Один из шагов, следующих за получением доступа к системе и отключением аудита,— просмотр всех файлов и каталогов системы в поиске критически важных данных, например, ведомостей выплат и стратегических документов, зашифрованных паролей, которые можно взломать, и просто паролей, сохраненных в файле. Совершенно верно, мы имеем в виду па­роли, хранящиеся в обычном текстовом файле. Вы не поверите, сколько раз мы встречались с тем, что владелец системы записывал пароли учетных записей администраторов и пользова­телей или серверов SQL, пароли PGP, причем все это делалось в целях "улучшения админи­стрирования", чтобы "подсказать пользователю пароль, если тот его забудет".
Существует два основных метода поиска: через командную строку и через графический интерфейс.
Поиск файлов через командную строку и графический интерфейс ■


Популярность

7

Простота

7

Опасность

9

Степень риска

8

Для поиска файлов через командную строку Windows 2003 хакер либо воспользуется средства­ми операционной системы, либо загрузит собственные программы. В средства операционной сис­темы W2K, которые можно использовать для выполнения этого типа атак, входят команды dir, find и f indstr.
Команда dir рассматривается как внутренняя команда DOS, поскольку се код не существует в виде отдельного исполняемого файла на диске. Эта команда встроена в командный процессор операционной системы command, exe (DOS/Windows 9х) или cmd. exe (Windows NT/2000/2003).
Команда find — более упрощенная версия UNIX-утилиты grep. Утилита find для Win­dows выполняет поиск файлов по заданным ключевым словам. Она может пригодиться для об­наружения файлов, в которых есть пароли или другая критически важная информация. Напри­мер, для поиска всех текстовых (* . txt) файлов в текущем каталоге, которые содержат слово "password", необходимо использовать следующую команду.
C:4>fiind "password" *.txt
Команда find имеет жестко ограниченные функции, поэтому ее можно использовать, только если нет другого выбора либо просто не нужны дополнительные функции типа рекур­сивного поиска в подкаталогах. Команда find прекрасно справляется с простыми задачами, когда требуется поиск строки в файлах текущего каталога.
Программа f indstr — шаг в верном направлении, она ближе к таким утилитам, как программа grep для UNIX. Удобство этой программы в ее многофункциональности. Напри­мер, программа может выполнять поиск заданной строки только в начале (/в) или конце (/Е) строки. Мы часто пользуемся возможностью поиска в подкаталогах (/S). Все функции про­граммы f indstr перечислены в следующем отчете из файла справки (3).
Листинг 8.3. Функции программы £indstr Щ:
Searches for strings in files.
FIHDSTR [/В] [/E] [/L] [/R] [/S] [/I] [/X] [/V] [/Ы] [/M] I/O] [/PJ [/F:file] [/C:string] [/G:fileJ [/D:dir list] [/Arcolor attributes] 4> [strings]   [ [drive: ] [path] filename [  . . . ] 1
/В Matches pattern if at the beginning of а Иде.
/Е Matches pattern if at the end of a line.
/L Dses search strings literally.
/R Uses search strings as regular expressions.
/S Searches for matching files in the current directory and all subdirectories.
/I Specifies that the search is not to be case-sensitive.
/X Prints lines that match exactly.
/V Prints only lines that do not contain a match.
/К Prints the line number before each line that matches.
/М Prints only the filename if a file contains a match.
ft
/О Prints character offset before each matching line.
/Р Skip files with non-printable characters.
/A:attr     Specifies color attribute with two hex digits. See "color /7° /F:file     Reads file list from the specified file(/ stands for console).
/C=string Uses specified string as a literal search string. /G:fiie     Gets search strings from the specified file!/ stands for console).
/D:dir       Search a semicolon delimited list of directories strings     Text to be searched for. [drive:)[path)filename
Specifies a file or files to search.
Use spaces to separate multiple search strings unless the argument is prefixed with /С.     For example,   1FINDSTR "hello  there"  x.y' searches for "hello" or "there" in file x.y.     1FINDSTR /с:"hello there" x.y
searches for "hello there" in file x.y.
Regular expression quick reference: Wildcard:   any character
* Repeat: zero or more occurrences of previous character or class
* Line position: beginning of line S Line position:   end of line
[class]    Character class:  any one character in set ["class] Inverse class: any one character not in set [x-y]        Range: any characters within the specified range \x Escape: literal use of metacharacter x
\<xyz <N   Word position: beginning of word xyz\.»       Word position: end of word
For full information on FINPSTR regular expressions refer to the online Command Reference.
Итак, чтобы найти асе файлы Excel (.xis) на диске С, которые содержат слово payroll (платежная ведомость), необходимо вызвать программу f indstr с такими параметрами.
C:\>findetr /в "payroll" *.xla
Несколько поставщиков программного обеспечения выпустили бесплатные версии для Windows таких популярных утилит UNIX, как grep, sed, awk и т.п. Некоторые из них вошли в пакет Windows Resource Kit, в том числе и программа grep. exe. Также некоторые фирмы (например Mortice Kern Systems, Inc. и Cygwin) перенесли утилиты UNIX на платформу Windows. Каждый серьезный специалист по Windows NT должен иметь в своем арсенале сле­дующие программы.
grep [-clqinsvxEF]   [-Ы]   [-е pattern]   [-f patternfile] [pattern!
Usage: . -]
Licensed from the MKS Toolkit. Copyright: Mortice Kern Systems Inc. All rights reserved.
(www.mks.com) 1985-1999.
Для использования утилиты grep на удаленной системе необходимо просто загрузить файл в удаленный каталог и набрать следующую команду.
C:\>grep  "password" *.*
В результате будет выполнен поиск всех файлов в текущем каталоге, которые содержат слово "password".
Графический аналог программ, работающих через командную строку, — использование вашей любимой программы для просмотра файлов — такой как Microsoft Explorer или сам поисковый механизм. Смонтировав диск на исследуемом компьютере (Н:), можно элемен­тарно провести поиск файлов на диске по заданным ключевым словам.
CirtMOTg lent
tpdtfc
on 101.13 IttJ I SmidiNtin|     SteeSgacb [
Г ЕаВ Г Тге Г Slje
П Advnad Qp&ni
Indeano Seitflce H cun елИ» disabled
[ijmsoe.bxt
есв tit fm-?
21 tB TXT №
9 KB IXTFfe
] KB ТТЛЧс-
Теперь нужно просто сделать двойной щелчок мышью на каждом файле, в результате чего будет получено нечто подобное:


1 Sitj,^ lul . hd^=n:H

 

 

 

iUsername : ad mi m st га tor bassword: nQt4u2c
I -
Ура! Мы нашли имя пользователя и пароль.
Противодействие поиску файлов


Популярность

Нет

Простота

Пет

Опасность

Нет

Степень риска

Нет

Пока не существует способа обнаружить, что кто-то ворует из вашей системы критически важные файлы, но слишком часто мигающая лампочка обращения к жесткому диску должна вас насторожить (хотя это может быть И нормальным проявлением работы Windows 2003).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика