Поиск строк в файлах утилитой BinText

Утилита BinText из комплекта инструментов foundstone_tools компании Foundstone Inc. (http://www.foundstone.com) позволяет находить текстовую информацию там, где ее искать не принято - в исполняемых файлах, файлах DLL, архивах и так далее. На Рис. 3 представлен диалог программы BinText, содержащий три вкладки - Search (Поиск), Filter (Фильтр) и Help (Справка). Чтобы просмотреть файл в программе BinText, выполните такие шаги:

Рис. 3. Главный диалог программы BinText может отображать очень интересную информацию

• Щелкните на кнопке Browse (Просмотр) и с помощью открывшегося стандартного диалога выбора файлов найдите SAM базу в своей папке Файлы по безопасности.

• Щелкните на кнопке Go! (Исполнить). В диалоге BinText 3.00 отобразится содержимое файла.

Установка флажка Advanced view (Расширенное отображение) приводит к построчному отображению содержимого файла (Рис. 1).

В диалоге на Рис. 1 в колонке File pos (Позиция в файле) отображаются позиции строки в файле. Колонка Mem pos (Позиция в памяти) отмечает место в памяти компьютера, отводимое для ресурсов исполняемых фалов Windows. Колонка ID содержит идентификатор, указывающий на тип отображаемого ресурса. Значение 0 указывает на то, что строка не относится к ресурсам исполняемых файлов.

Исследование файлов с помощью BinText подчас приводит к весьма интересным результатам, поскольку все файлы Windows хранят множество полезной информации, скрытой от пользователей.

Ну а что, если какой-то сообразительный пользователь защитит свои секреты, поместив все секретные файлы в архив, защищенный паролем? Ну что же, и тут не все потеряно. Защиту архивов .rar можно взломать, и мы еще опишем применяемую с этой целью программу в следующем разделе. Однако вначале неплохо бы узнать, что в этом самом архиве хранится, чтобы не тратить время попусту. На Рис. 4 представлен диалог программы BinText, отображающий содержимое архивного файла, созданного программой WinRAR с применением парольной защиты.

Рис. 4. В верху диалога отображается имя архивированного файла

Программа BinText дает возможность искать различные строки в открытом файле путем их ввода в поле внизу диалога (см. Рис. 4) и щелчка на кнопке Find (Найти). Чтобы облегчить этот поиск, вкладка Filter (Фильтр) предоставляет обширный набор параметров, задающих режим поиска строки (Рис. 5).

Рис. 5. Набор параметров для задания режима поиска

Вкладка Filter (Фильтр) диалога на Рис. 5 содержит три области, которые позволяют установить три группы параметров для управления режимом поиска.

• В области Stage 1 - Characters included in the definition of a string (Шаг 1 - Символы, включенные в определение строки) следует с помощью флажков указать, какие символы могут входить в искомую строку.

• В области Stage 2 - String size (Шаг 2 - Размер строки) следует указать минимальный и максимальный размер искомой строки.

• В области Stage 3 - Essentials (Шаг 3 - Основа) следует установить флажок MUST contain these (Должна содержать это) и в ставшем доступным поле указать искомую строку.

Настройкой фильтра можно выделить различные компоненты файла и попытаться раздобыть полезную информацию, или хотя бы понять, насколько интересен для хакера данный файл. Это тем более важно, что один из приемов сокрытия файлов заключается в присвоении файлу имени, не соответствующего содержимому, например, файлу документа MS Office - имени с расширением .ехе.

В дополнение к программе BinText имеются и другие инструменты хуверинга, к примеру, входящие в состав инструментов W2RK утилит srvinfo.exe для отображения общих ресурсов и запущенных служб сервера, и regdmp.exe позволяющих исследовать содержимое системного реестра Windows 2000/XP. Особенный интерес представляет раздел реестра HKEY_LOCAL_MACHINE\SECURITY\POLICY\SECRETS, где хранятся ненадежно шифрованные пароли служб Windows, кэшированные пароли последних десяти пользователей Windows и другая полезная информация. Для извлечения этих данных можно использовать широко известную утилиту lsadump2.exe (http://razor.bindview.com), однако ее применение требует административных привилегий и углубленных знаний по диспетчеру LSA системы Windows, поскольку отчет о своей работе утилита lsadump2.exe предоставляет в весьма запутанной форме.

Итак, вы долго исследовали файлы и папки компьютера и нашли что-то полезное. Но что делать, если это «что-то» - шифрованный документ MS Office или защищенный паролем архив WinRAR? Тогда можно попробовать взломать их защиту, для чего существуют специальные программы.