24
招贴海报
Computer Knowledge and Technology
相信现在仍有不少人对2011年底互联网上大规模的泄密事件记忆犹新,当时黑客窃取了约1亿用户的账号和密码等相关信息,几乎影响到了所有网民。的确,网络信息安全与每个人的隐私息息相关,很多时候一个小疏忽就会导致泄密。所以,一旦发现有异常情况出现,我们必须要迅速采取合理的亡羊补牢防治措施,追根溯源,或堵或疏,以免遭受更大程度的损失。在此,笔者与大家共享一例U盘窃密事件的“侦破”过程及后期反思。
一、窃密事件的“案情分析”
前几天,一个在职校工作的杨老师谈起这样一件事:在刚刚结束的一次阶段性专业课测试中,有三个平时成绩处于班级下游的学生竟然非常意外地得了“优秀”,很不正常。在排除了在考试过程中作弊的可能性后,杨老师怀疑一定是提前设计好的试题被窃密了,因为这些保存于自己笔记本电脑中的试题并未进行压缩加密,是可以直接打开查看的Word文件。但问题来了——这几个学生是如何窃取到这个试题文件的呢?左思右想,杨老师怀疑是自己那次考前在电教室上课的课间“空档”,有人用U盘把试题从笔记本电脑中复制走了(因为两节课连着上,未关电脑),而且电脑与外网未连接,排除了从邮箱发附件的可能。
但怀疑归怀疑,目前最有说服力的是必须能拿出他们“作案”的证据才行。假设窃密事件的过程果真是通过U盘复制的方式来进行的话,笔者很自然地想到在杨老师的笔记本电脑上检查“设备范例ID”信息。幸运的是,该电脑的操作系统长期运行正常,并未做过Ghost系统恢复,所以只需将疑似作案U盘拿到手进行比对,信息吻合的话就能“定罪”。
复联4剧透二、施计揪出作案的“狐狸尾巴”
笔者让杨老师在某节课后给学生布置了个特别任务:“明天大家把自己的U盘都交给科代表,我想分小组将不同的微课学习视频复制给大家,大家可以在假期中好好学习一下,体积大约1个G,不便于发邮件。”很快,第二天我们手中就有了全班各贴有自己姓名的50多个U盘。接下来就是见证奇迹的时刻:
上班时间更改通知首先,我们直接从中将那三个成绩反常学生的U盘挑选出来,一个金士顿,一个台电,一个联想,这些就是重点嫌疑对象。接着,打开那台笔记本电脑(Windows 7系统),运行“开始→命令提示符”,输入命令“reg query Hklm\System\CurrentControlSet\Enum\Usbstor /s”。说明一下:“reg query”命令是Windows 控制台注册表查询命令,后面跟的“Hklm\System\CurrentControlSet\Enum\Usbstor”参数是待查询的路径;其中,前半部分的HKLM代表HKEY_LOCAL _MACHINE;“/s”的作用是查询所有的子项和值。也就是说,该命令的作用是在命令行中查询“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR”的内容,不必进入注册表编辑器。回车之后,很快就有了许多返回结果,经过拖动滚动条进行一番仔细的搜索,我们将目标锁定于其中的一处“FriendlyName”,后面显示有“Teclast CoolFlash USB Device”的字样,对应的应该是“台电科技酷闪”(图1)。现在结果已经很明显了,接着我们又在命令提示符窗口返回的信息中查看,上方的“Class GUID”处后面显示的是“{4d36e965-e325-11ce-bfc1-08002be10318}”,这个值就是所谓的“设备范例ID”,又称“装置列项识别码”,固定且具有唯一性。
旧房装电梯需要多少钱接下来,我们将那个“台电酷闪”U盘插入笔记本电脑的USB口,打开“计算机”
并右击此U盘选
●文/图 孙晓庆
25
2019 06
择“属性”项,在弹出的“属性”窗口中切换到“硬件”选项卡。双击其中的“Teclast CoolFlash USB Device”弹出“属性”窗口,切换至“详细信息”选项卡,选择“属性”中的“设备类 GUID”,很快下方的“值”处
就显示出了U盘的“身份证”ID。看到了吧?第二个U盘的ID就是“{4d36e965-e325-11ce-bfc1-08002be10318}”,与在命令提示符窗口读取注册表得到的数值是一模一样的。(图2)
“铁证”如山了,再看U盘上贴的姓名标签,原来作案者是刘某某。立刻将他来开门见山地询问他,结果他马上就乖乖“投降”并承认错误,供出了另外两个同样得“优秀”的同伙。经过进一步的询问后我们还发现,这个学生还是稍有些安全意识的,“窃
密”后曾经将自己的U盘反复进行过多次的数据删除和写入,就怕露出“狐狸尾巴”来,谁知最终还是输在了“设备范例ID”上。后来,笔者又上网查了下,发现有个1.8MB的“”绿小软件(下载地址链接:pan.baidu/s/1wgkC3HceW8_FgyYNxgt6cw;提取码:14u2)也能实现相同的目的,避免了输入那个长命令的麻烦。这个“USB移动存储设备使用记录查看器”是的增强版,图形化界面,使用非常简单。只需点击第一个“查看痕迹”按钮即可快速显示出“reg query”命令查询注册表的信息,而且分门别类显得非常有条理。看,刘某某的“台电酷闪”以及对应的“ClassGUID”仍然是“榜上有名”(图3)。当然,UsbViewer还提供了将查询的结果保存生成文本文件的功能——点击“生成报告”按钮即可。
三、反思
不过,如果当初该学生能更进一步的话,其实是完全可以藏起自己的“狐狸尾巴”的。因为不管是“reg q
uer y”命令还是UsbViewer工具,它们都是通过读取系统的注册表才得到相关信息的,如果将对应项值删除的话,不就无据可查了吗?也就是在“窃密”后直接在笔记本电脑上右击
“计算机”选择“注册表”,然后定位于“HKEY_LOCAL _MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR”(就是“reg query”中带的路径),曾经在该电脑上使用过U盘以及3G上网卡的“脚
印”都在这里。当然,那个“台电酷闪”对应的是“CdRom&Ven_Teclast&Prod_CoolFlash&Rev_0.00” ,其下的“0000000000003F&1”项中就有个“ClassGUID”,其值正是“{4d36e965-e325-11ce-bfc1-08002be10318}”(图4)。这里的信息被删除的辞旧迎新的优美句子
图1
图2
图3
婚姻维持技巧26
Computer Knowledge and Technology
话,窃密的“铁证”就消失了。反思整个“窃密”事件,在杨老师离开课堂的短短几分钟之内就发生了,看来信息安全确实是与每个人都密切相关的。有时看似小小的一个邮箱账号密码,却有可能被顺藤摸瓜地查看到与QQ、淘宝有关的敏感信息,或者是很多私人照片甚至是公司的机密文件等,绝对不能大意。在该事件中,如果杨老师能够给自己的笔记本电脑加上一道屏保密码的话,在转
身离开电脑时就可以直接按下Win+L组合键,学生也就不会在短短几分钟内复制走试题了。
在Windows 7/8/10中,可以存在多个账户。点击“Win+R”键,执行“lusrmgr.msc”程序,在用户管理窗口中即可显示已经存在的账户信息。但是,这仅仅是对于常规账户而言的,实际上,在系统中还存在一些隐藏的账户,例如TrustedInstaller、SYSTEM账户等,这些账户拥有很大的权限,对于系统的正常运行起着举足轻重的作用。如,当试图访问或者删除一些系统文件时,我们往往因为权限不足而无法实现,这其实就是这些隐藏账户对系统起到的保护作用。对这些隐藏账户进行有效管理,对于维护系统稳定运行是很重要的。
一、管理和使用TrustedInstaller 账户
TrustedInstaller账户深藏于系统之中,其实际上和Windoww的资源保护功能(简称WRP )紧密相关。和以前的系统相比,Windows 7/8/10中内置了更加严格的权限保护机制。很多重要的系统文件夹(例如“c:\windows”“c:\programs file”“c:\windows\system32”等)都受到了严格的保护,WRP就是其中一种非常重要的保护手段。只有TrustedInstaller账户,才拥有执行
WRP保护的权限。TrustedInstaller账户的全称是“NT SERVICE\TrustedInstaller”,该账户实际上是Windows 内置的虚拟账户,因此无法直接使用该账户登录系统。
对于受到W R P 保护的重要文件夹来说,只有TrustedInstaller账户才具有完全控制权,而Administrator账户是没有这种完全控制权的。例如,当您以Administrator身份登录系统后,试图删除“c:\windows\system32”路径下的某个系统文件夹时,就会遭到系统的拦截(图1)。在“help”文件夹右键菜单中点击“属性”项,在其属性窗口的“安全”面板(图2)中的“组或用户名”栏中选择“Administrator”账户,
可
●文/图 郭建伟
图4
图1
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论