Анализ активности: Microsoft Office
Вторым приоритетным направлением Microsoft в разработке программного обеспечения был пакет Microsoft Office. Развитие Microsoft Office привнесло с собой много новшеств в реализации интерфейса и пользовательских функций, что предоставило дополнительное удобство для пользователей и, одновременно, для любителей чужих секретов. В статье будут описаны простейшие способы "анализ активности" применительно к пакету Microsoft Office, которые могут быть воспроизведены среднеподготовленным пользователем.
Введение
"Анализ активности", в другой терминологии "статистика", это способ сбора сведений, применяемый для предварительного сбора информации об "объекте", его окружении, также применяемый, когда доступ к объекту, содержанию сообщения затруднен или исключен.
Из всего пакета Microsoft Office необходимо выделить отдельно текстовый редактор Microsoft Word. Этому редактору было уделено повышенное внимание разработчиков Microsoft, что вылилось в то, что Word сохраняет свои параметры, вернее, параметры, заданные пользователем при работе, иначе, чем остальные приложения, входящие в Office. Там, где это будет необходимо, на эти отличия будет указано.
Для поиска следов активности в системном реестре искались подстроки "DIC" (dictionary) - расширения пользовательских словарей Microsoft Office, "Recent File List" (недавно открывавшиеся файлы) - ключи системного реестра Windows, хранящие список документов, открывавшиеся последними, "File Name MRU" (недавно использовавшиеся команды меню с именами файлов) - операции с файлами в Microsoft Office, "Settings" (установки) - установки приложений.
Для испытаний использовался Norton Registry Editor, Microsoft Office 97 (rus), Windows 95 OSR2 (rus). Для обзора результаты поиска сведены в таблицу.
Списки недавно открывавшихся документов MS Office
Списки недавно открывавшихся документов видны внизу меню "Файл" в MS Word. Изначально это задумано для удобства работы пользователя - можно просмотреть список последних документов и быстро загрузить необходимый в данный момент документ. MS Word хранит список недавно отрывавшихся документов в параметре реестра Windows:
"HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Data". В этом параметре Word в двоичном формате хранит полные имена открывавшихся файлов (вместе с путем расположения документа), параметры сеансов, измененные пользователем значения по умолчанию настройки, пути расположения вспомогательных средств редактирования (словари и т.п.).
Для MS Access список файлов находится в разделе реестра "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Access\Settings".
Для электронных таблиц Excel список расположен в разделе: "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Excel\Recent File List".
В остальных приложениях Office хранение списка документов сделано в едином стиле. Меняется лишь название приложения в разделе: "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0".
Списки документов продублированы в корне "HKEY_USERS". Кроме раскрытия имен файлов с документами, которым пользователи часто дают вполне осмысленные и раскрывающие содержание названия, текстовые и бинарные строки в системном реестре раскрывают сетевую топологию, если документы хранятся на сетевых или виртуальных шифродисках.
Необходимо сделать поправку: если документы хранятся в каталоге Microsoft Office "по умолчанию". Обычно это каталог "C:\Мои документы". Если папка для размещения документов указана другая, ее расположение можно отыскать в реестре: "HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders", параметр "Personal". Есть смысл поискать в реестре параметры с именем "DefaultPath", "LocalPath" и т.д., в которых может также указываться путь к папке для хранения документов.
В случае если документ хранится в "Personal" или "DefaultPath", в реестре будет указано только имя без пути к файлу.
Противодействие
В MS Word можно открыть настройки "Сервис\ Параметры\ Общие\" и сбросить флажок "помнить список из". Это закроет список недавно открывавшихся файлов от обозрения и обнулит список файлов.
В MS Access команды, отменяющей напрямую хранение и загрузку последних документов (баз данных), не предусмотрено.
Для Excel есть опция, отменяющая хранение списка последних документов в меню: "Сервис\ Параметры...\", страница блокнота "Общие". Обнуление флажка "Список ранее открывавшихся файлов содержит элементов не более:" уничтожит не только список документов, но и сам раздел реестра "Recent File List".
Можно удалять или перезаписывать сами параметры реестра для противодействия анализу активности.
Списки документов MS Office сохранявшихся командой "Сохранить как"
Определенный интерес могут представлять названия документов, которые пользователь ввел вручную, задействовав пункт меню "Файл\ Сохранить как..." или "Открыть...". Список измененных пользователем имен файлов виден в диалоговом окне "Сохранить как" в комбинированном окне с выпадающим списком "Имя файла:". Для диалога "Открыть..." это же будет в комбинированном списке "Найти файлы, отвечающие условиям\ Имя файла:". Для MS Word списки имен файлов находятся в разделе реестра: "HKEY_CURRENT_USER\Software\ Microsoft\Office\8.0\Common\Open Find\Microsoft Word\ Settings\Сохранение документа\File Name MRU" для диалога открытия и "HKEY_CURRENT_USER\Software\ Microsoft\Office\8.0\Common\Open Find\Microsoft Word\ Settings\Сохранение документа\File Name MRU" для диалога сохранения в параметре "Value".
Для остальных программ из пакета Microsoft Office разделы реестра будут иметь похожие названия, поменяется лишь название приложения после "Open Find".
Эти разделы системного реестра продублированы в корне "HKEY_USERS".
Противодействие
Мерой противодействия может быть либо удаление параметра "Value", либо его редактирование вручную или программно.
Анализ словаря Microsoft Office
В Microsoft Office встроена проверка грамматики и орфографии. Хотя встроенный словарь достаточно объемный, в повседневной работе пользователь вынужден работать с иной лексикой, которую невозможно предусмотреть создателям компьютерных словарей. В словарь не входят многие профессиональные термины, сленг, фамилии или названия предприятий, географические названия, постоянно возникающие неологизмы. Тем более, что словарь Office - это не самообучающийся интеллектуальный фильтр "Мемекс". Незнакомое слово Office подчеркивает и предлагает его "Добавить". Место, где расположен на диске этот постоянно пополняемый словарь, можно найти, пройдя в Word по пунктам меню: "Сервис\ Параметры", далее страница блокнота "Расположение". Если Office ставился на диск "C:" и при инсталляции не менялись настройки, то путь будет таким: "C:\Program Files\Microsoft Office\Office".
В том же меню, на странице "Правописание" есть кнопка "Словари...", где можно зайти в режим редактирования словаря. Поиск можно упростить, запустив через меню "Пуск\Поиск\Файлы и папки..." поиск файла с названием "CUSTOM.DIC" для поиска словаря "по умолчанию" или поиск с маской "*.DIC" для локализации всех словарей. В системном реестре ссылка на него хранится в разделе: "HKEY_LOCAL_MACHINE\SOFTWARE\Shared Tools\Pro-ofing Tools\Custom Dictionaries". В него и помещаются все термины, не распознанные встроенной проверкой правописания. Необходимой информации, хранящейся там, для анализа более чем достаточно: имена, фамилии, названия предприятий, банков, названия товаров или сырьевых ресурсов и т.п.
Противодействие
Первое - отказаться от использования словарей или автоматической проверки орфографии, что не удобно. Второе шифровать/расшифровывать файл при запуске/закрытии сеанса Windows или помещать словарь на виртуальный шифродиск, поменяв соответственно настройки Office.
Werewolf
Введение
"Анализ активности", в другой терминологии "статистика", это способ сбора сведений, применяемый для предварительного сбора информации об "объекте", его окружении, также применяемый, когда доступ к объекту, содержанию сообщения затруднен или исключен.
Из всего пакета Microsoft Office необходимо выделить отдельно текстовый редактор Microsoft Word. Этому редактору было уделено повышенное внимание разработчиков Microsoft, что вылилось в то, что Word сохраняет свои параметры, вернее, параметры, заданные пользователем при работе, иначе, чем остальные приложения, входящие в Office. Там, где это будет необходимо, на эти отличия будет указано.
Для поиска следов активности в системном реестре искались подстроки "DIC" (dictionary) - расширения пользовательских словарей Microsoft Office, "Recent File List" (недавно открывавшиеся файлы) - ключи системного реестра Windows, хранящие список документов, открывавшиеся последними, "File Name MRU" (недавно использовавшиеся команды меню с именами файлов) - операции с файлами в Microsoft Office, "Settings" (установки) - установки приложений.
Для испытаний использовался Norton Registry Editor, Microsoft Office 97 (rus), Windows 95 OSR2 (rus). Для обзора результаты поиска сведены в таблицу.
Списки недавно открывавшихся документов MS Office
Списки недавно открывавшихся документов видны внизу меню "Файл" в MS Word. Изначально это задумано для удобства работы пользователя - можно просмотреть список последних документов и быстро загрузить необходимый в данный момент документ. MS Word хранит список недавно отрывавшихся документов в параметре реестра Windows:
"HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Data". В этом параметре Word в двоичном формате хранит полные имена открывавшихся файлов (вместе с путем расположения документа), параметры сеансов, измененные пользователем значения по умолчанию настройки, пути расположения вспомогательных средств редактирования (словари и т.п.).
Для MS Access список файлов находится в разделе реестра "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Access\Settings".
Для электронных таблиц Excel список расположен в разделе: "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Excel\Recent File List".
В остальных приложениях Office хранение списка документов сделано в едином стиле. Меняется лишь название приложения в разделе: "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0".
Списки документов продублированы в корне "HKEY_USERS". Кроме раскрытия имен файлов с документами, которым пользователи часто дают вполне осмысленные и раскрывающие содержание названия, текстовые и бинарные строки в системном реестре раскрывают сетевую топологию, если документы хранятся на сетевых или виртуальных шифродисках.
Необходимо сделать поправку: если документы хранятся в каталоге Microsoft Office "по умолчанию". Обычно это каталог "C:\Мои документы". Если папка для размещения документов указана другая, ее расположение можно отыскать в реестре: "HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders", параметр "Personal". Есть смысл поискать в реестре параметры с именем "DefaultPath", "LocalPath" и т.д., в которых может также указываться путь к папке для хранения документов.
В случае если документ хранится в "Personal" или "DefaultPath", в реестре будет указано только имя без пути к файлу.
Противодействие
В MS Word можно открыть настройки "Сервис\ Параметры\ Общие\" и сбросить флажок "помнить список из". Это закроет список недавно открывавшихся файлов от обозрения и обнулит список файлов.
В MS Access команды, отменяющей напрямую хранение и загрузку последних документов (баз данных), не предусмотрено.
Для Excel есть опция, отменяющая хранение списка последних документов в меню: "Сервис\ Параметры...\", страница блокнота "Общие". Обнуление флажка "Список ранее открывавшихся файлов содержит элементов не более:" уничтожит не только список документов, но и сам раздел реестра "Recent File List".
Можно удалять или перезаписывать сами параметры реестра для противодействия анализу активности.
Списки документов MS Office сохранявшихся командой "Сохранить как"
Определенный интерес могут представлять названия документов, которые пользователь ввел вручную, задействовав пункт меню "Файл\ Сохранить как..." или "Открыть...". Список измененных пользователем имен файлов виден в диалоговом окне "Сохранить как" в комбинированном окне с выпадающим списком "Имя файла:". Для диалога "Открыть..." это же будет в комбинированном списке "Найти файлы, отвечающие условиям\ Имя файла:". Для MS Word списки имен файлов находятся в разделе реестра: "HKEY_CURRENT_USER\Software\ Microsoft\Office\8.0\Common\Open Find\Microsoft Word\ Settings\Сохранение документа\File Name MRU" для диалога открытия и "HKEY_CURRENT_USER\Software\ Microsoft\Office\8.0\Common\Open Find\Microsoft Word\ Settings\Сохранение документа\File Name MRU" для диалога сохранения в параметре "Value".
Для остальных программ из пакета Microsoft Office разделы реестра будут иметь похожие названия, поменяется лишь название приложения после "Open Find".
Эти разделы системного реестра продублированы в корне "HKEY_USERS".
Противодействие
Мерой противодействия может быть либо удаление параметра "Value", либо его редактирование вручную или программно.
Анализ словаря Microsoft Office
В Microsoft Office встроена проверка грамматики и орфографии. Хотя встроенный словарь достаточно объемный, в повседневной работе пользователь вынужден работать с иной лексикой, которую невозможно предусмотреть создателям компьютерных словарей. В словарь не входят многие профессиональные термины, сленг, фамилии или названия предприятий, географические названия, постоянно возникающие неологизмы. Тем более, что словарь Office - это не самообучающийся интеллектуальный фильтр "Мемекс". Незнакомое слово Office подчеркивает и предлагает его "Добавить". Место, где расположен на диске этот постоянно пополняемый словарь, можно найти, пройдя в Word по пунктам меню: "Сервис\ Параметры", далее страница блокнота "Расположение". Если Office ставился на диск "C:" и при инсталляции не менялись настройки, то путь будет таким: "C:\Program Files\Microsoft Office\Office".
В том же меню, на странице "Правописание" есть кнопка "Словари...", где можно зайти в режим редактирования словаря. Поиск можно упростить, запустив через меню "Пуск\Поиск\Файлы и папки..." поиск файла с названием "CUSTOM.DIC" для поиска словаря "по умолчанию" или поиск с маской "*.DIC" для локализации всех словарей. В системном реестре ссылка на него хранится в разделе: "HKEY_LOCAL_MACHINE\SOFTWARE\Shared Tools\Pro-ofing Tools\Custom Dictionaries". В него и помещаются все термины, не распознанные встроенной проверкой правописания. Необходимой информации, хранящейся там, для анализа более чем достаточно: имена, фамилии, названия предприятий, банков, названия товаров или сырьевых ресурсов и т.п.
Противодействие
Первое - отказаться от использования словарей или автоматической проверки орфографии, что не удобно. Второе шифровать/расшифровывать файл при запуске/закрытии сеанса Windows или помещать словарь на виртуальный шифродиск, поменяв соответственно настройки Office.
Werewolf
Компьютерная газета. Статья была опубликована в номере 16 за 2000 год в рубрике разное :: страна советов