В первую очередь, системы логов предназначены для анализа и выявления неполадок. Рассмотрим, важны ли эти логи, что они из себя предоставляют, нужны они вообще? Полученные знания помогут с очисткой "интересной" информации в системе. В конце будет практический кейс с анализом данным с помощью демо-софта.
Системная информация позволяет узнать, какие приложения запускались и когда запускались, какие службы запускались, были инициированы ручные отключения и включения пользователей, какие ошибки возникали.
Исчезающие улики
Что происходит, когда на месте преступления обнаруживается работающий компьютер? В большинстве случаев следователь просто его выключит. В дальнейшем изучать этот компьютер будет эксперт по исследованию компьютерной информации, а вовсе не следователь. Все, что останется «на руках» у эксперта, — это жесткий диск. К сожалению, при таком подходе навсегда утрачивается доступ к огромному количеству «эфемерных» улик, безвозвратно исчезающих при выключении питания. Эти улики — данные, хранящиеся в ОЗУ.
Выключая компьютер, не сняв предварительно слепок оперативной памяти, следственные органы могут никогда не увидеть последних сообщений, отправленных подозреваемым через социальные сети. Пропадут ключи, с помощью которых могут быть зашифрованы криптоконтейнеры. Если использовался режим «приватности», эксперт никогда не увидит сайтов, открытых в момент выключения питания. Будут безвозвратно утрачены и многие другие данные.
Все, что нужно, чтобы не потерять эти и многие другие улики, — сохранить образ оперативной памяти в файл.
Что можно найти в оперативной памяти
Если хорошенько поискать, в оперативной памяти компьютера можно найти самые неожиданные вещи. К примеру, ключи, с помощью которых получится мгновенно расшифровать содержимое криптоконтейнеров TrueCrypt, BitLocker и PGP Disk. Такая функция присутствует, например, в программе отечественной разработки Elcomsoft Forensic Disk Decryptor. А вот атака на зашифрованные данные «в лоб» займет миллиарды лет — в конце концов, профессионалы своего дела работали долгие годы, стараясь защититься в первую очередь именно от атаки перебором.
В оперативной памяти содержатся последние сообщения, полученные и отправленные через социальные сети; комментарии, оставленные на форумах; сообщения, переданные с помощью программ мгновенного обмена сообщениями или с использованием чатов, встроенных в электронные игры. Там можно найти информацию о последних скачанных файлах. В памяти компьютера какое-то время хранятся страницы и изображения с веб-сайтов — даже если в браузере включен режим защиты приватности, отключен кеш и сохранение истории посещений. Кроме того, доступно большое количество системной информации, загруженные ветки реестра, распакованные и расшифрованные версии защищенных программ, информация об открытых сетевых соединениях. Если компьютер заражен вирусом или на нем запущена троянская программа, то при исследовании образа памяти их будет хорошо видно.
Примеры Криминалистического анализа
Пример первый. Это реальный пример из жизни. Полицией был задержан гражданин, подозреваемый в сексуальном насилии над ребенком, которое он снял на камеру и сохранил у себя на компьютере. К моменту получения криминалистами доступа к компьютеру подозреваемого видео уже было удалено с помощью специального программного обеспечения и восстановить удаленный файл не было никакой возможности. Специалистами был проведен комплексный криминалистический анализ компьютера, где была найдена сохранившаяся в системе миниатюра видеофайла. Размер миниатюры был незначительным, но по ней прекрасно можно было понять - подозреваемый действительно совершал действия сексуального характера с несовершеннолетним. Злоумышленник надежно удалил видео, но он не знал, что от просмотренных изображений и видеофайлов в системе остаётся информация в виде миниатюр. Это и помогло изобличить его в содеянном.
Пример второй. Это также известный пример из реальной жизни. Была задержана банда, подозреваемая в подделке банковских купюр. На компьютере у подозреваемого был обнаружен размонтированный криптоконтейнер TrueCrypt. Подозреваемые отказались выдать пароль, атака перебором паролей по словарю провалилась, ситуация казалась безвыходной. Тогда эксперты при помощи криминалистического софта изучили содержимое жесткого диска компьютера и обнаружили миниатюры всех открытых на нем картинок, как вы понимаете, они содержали поддельные купюры. Система бережно сохранила их и именно они помогли собрать доказательную базу.
Пример третий. Еще одна реальная история использования криминалистического анализа изображений, приведшая к разоблачению мошенника. Владелец небольшого хостинг-провайдера получил на электронный ящик уведомление, что один из его клиентов утратил доступ к почте и хочет восстановить доступ к своему аккаунту. Владелец хостинга отправил письмо на регистрационный email, но в течение недели ответа не было, тогда он решил начать процедуру восстановления, так как у него были регистрационные данные владельца. Он запросил ксерокопию паспорта и квитанцию оплаты услуг ЖКХ на имя владельца аккаунта, данные которого он имел, и в течение трёх дней получил их. Пришло время выдать доступ к аккаунту, но сомнение не покидало владельца хостинга, и он проверил отксерокопированные документы на предмет подделки, так называемой “отрисовки”. В результате и ксерокопия паспорта, и отсканированная квитанция оказались сделаны с использованием редактора изображений, это было хорошо видно благодаря изучению текстуры пикселей в местах с данными пользователя (все изменённые места неестественно выделяются на фоне общей картины)
Немного о фингерпринтинге (полезно)
/ Идентифицирует пользователя не по специальным меткам, сохраненным на его системе, а по уникальным особенностям его браузера, системы и устройства
1.Временные файлы
С:/Windows/Temp
По этому адресу у вас будут храниться временные системные файлы. Как правило, в данной папке содержится более 1000 файлов общим объемом от 500 мб. Большинство из этих файлов подлежат анализу и экспертизе. Как следствие, эти файлы могут нанести много вреда. Поэтому, обязательно нужно чистить эти файлы.
2. Временные файлы пользователя
%TEMP%
Для запуска этой директории нужно ввести соответствующую комбинацию в окне «Выполнить». В этой папке хранятся документы пользователей. Например, документы продуктов Microsoft Office, части приложений, системные логи и т.д. Файлы добавляются после каждого использования компьютера. В среднем объем данных активного пользователя увеличивается на 500 мб в месяц.
3. Приложения
%appdata%
После установки любого приложения в этой папке остаются данные. В этой директории хранятся временные и постоянные файлы приложений. Также можно найти логи переписок в мессенджерах. Можно посмотреть информацию по Telegram. Можно восстановить список пользователей в скайпе.
Поэтому стоит внимательно относиться к этим файлам. Так как после попадания этой информации в умелые руки узнать с кем вы переписывались или обменивались файлами не составит труда, даже если будут удалены программы.
4. Собственные логи приложений
Каждое приложение может вести свои логи, которые невозможно будет найти ни в журналах, ни в системных папках. Они могут находиться в папке с приложением или в отдельной директории. Как правило, место расположение зависит от разработчика. Например, если пользователь использует программу TeamViewer, то можно посмотреть файл «Connections» со всеми подключениями, которые осуществлялись.
Также интересная ситуация с приложениями для обмена мгновенных сообщений (Jabber) по протоколу XMPP. Например, если вы используете PSI, то история с пользователями хранится в отдельном файле без какого-либо шифрования. Таким образом, можно посредством стандартного блокнота проанализировать все сообщения.
5. Журналы событий
Панель управления - Администрирование - Журнал событий
Основная утилита по сбору логов. Можно получить информации о работе служб, приложений, а также другие действия, которые привели к критическим ошибкам. Также можно найти информацию о том, когда был запущен компьютер, сколько она работал и какие приложения запускались во время эксплуатации. Информации очень много, которая может существенно навредить.
Чтобы постоянно не удалять информацию можно настроить ограничение по размеру. Можно выбрать любой объект, по которому ведутся логи и правой кнопкой мыши открыть свойства и указать значения параметра «Максимальный размер журнала КБ» - 0. После это журнал не будет собирать логи. Можно отключить журнал событий, как отдельную службу.
6. Точки восстановления системы
System Volume Information/Recovery
При установке операционной системы автоматически создается возможность для создания точек восстановления. Если ее целенаправленно не отключать, то можно посмотреть, существуют ли точки восстановления на вашем компьютере. Как правило, точки восстановления создаются автоматически через заданный период. Иногда точки восстановления создаются при установке игр. С помощью этой точки можно узнать какой софт был установлен на момент создания, какие параметры и службы использовались.
Для более новых операционных систем информацию можно найти, написав в поиск «Восстановление». В моем случае автоматическое создание точек восстановления отключено.
Для того, чтобы очистить все точки восстановления нужно перейти в пункт «Настроить» и нужно выбрать «Удалить». После этого удаляться все точки восстановления. Также можно отключить функцию создания точек восстановления системы в этом меню.
7. Недавно открытые файлы
%appdata%/microsoft/windows/recent/automaticdestinations/
В этой папке хранятся файлы, которые отображают части или полное содержимое открытых файлов. С помощью этого раздела можно узнать какие приложения запускались больше всего. Дальше можно анализировать с помощью других разделов.
8. Файл подкачки
pagefile.sys
В файлах подкачки храниться достаточно много информации. Простыми словами, файлы подкачки – это информация, которая записывается на жесткий диск для уменьшения и более рационального использования оперативной памяти. Учитывая то, что для полного удаления нужно пройтись 35 раз по HDD, то информация о вашей системе может храниться в течение полугода. Сюда могут входить логи переписки, информация о пк, данные по мессенджерам и т.д. Дополнительно можно посмотреть сайты, которые были открыты через сеть TOR. Также отображается вся информация о браузерах и т.д. Для анализа можно использовать программное обеспечение от компании «Белка софт», что будет проанализировано в конце статьи.
Как отключить файл-подкачки?
Для этого достаточно найти диски, которые имеют эти файлы и перезагрузить компьютер. Для Windows 10 нужно перейти в режим «Настройка представления и производительности системы»-«Дополнительно» и в пункте «Виртуальная память» выбрать изменить. Далее в этом меню можно посмотреть на каких дисках разрешено создавать файлы подкачки и какой размер.
9. Файлы режимов гибернации
hiberfil.sys
После закрытия крышки или обычного выключения компьютер переходить в режим гибернации. После этого компьютер перемещает всю информацию с оперативной памяти на жесткий диск. Все данные остаются в системы, которые позволяют найти очень много информации.
Для того, чтобы разобраться с режимом гибернации нужно удалить старый файл. Для этого нужно использовать программы-шредеры, которые используют метод Питера Гутмана (35 проходов). Чтобы отключить гибернацию, в командной строке введите powercfg -h off и нажмите Enter. Это отключит данный режим, удалит файл hiberfil.sys с жесткого диска, а также отключит опцию быстрого запуска Windows 10 (которая также задействует данную технологию и без гибернации не работает).
Как можно посмотреть интересную информацию? Практический кейс с помощью демо-софта
Протестируем, какая информация храниться в нашей виртуальной памяти. Для этого воспользуемся софтом компании «БелкаСофт». Используемые версии можно загрузить с сайта в качестве ознакомительной версии. В работе будем использовать программы Belkasoft Live RAM Capturer и Belkasoft Evidence Center. После открытия программы Belkasoft Live RAM Capturer нам нужно выбрать «Capture» и создать дамп.
Далее необходимо запустить Belkasoft evidence center.
Belkasoft Evidence Center
Далее необходимо указывать параметры анализа. На этом этапе можно выбрать какие файлы наиболее интересны. Если это устройство-ПК, то нет смысла анализировать файлы на базе операционных систем Android и iOS.
Выбор файлов для настройки
Вот можно посмотреть, что удалось получить после анализа.
Информация полученная после анализа
Частично были получены сообщения в скайпе. Также можно посмотреть логин отправителя и получателя, текст сообщения время и дату. Отдельно хочу заметить, что из мессенджеров использовался только Skype.
Переписка в скайп
Сообщения в Gmail
Больше всего было получено информации в Google Chrome. Сайты, время посещения и дополнительная информация.
История посещения сайтов в Google Chrome
Системные логи с указанием идентификатора проекта и описанием
Документы
Картинки
История Проводника
Работа с файлами (изменение, открытие, копирование, создание)
Заключение
Необходимо не оставлять информации после себя. Она может существенно навредить, если компьютер попадет в чужие руки. Помните об этом и не забывайте чистить системные файлы.
Системная информация позволяет узнать, какие приложения запускались и когда запускались, какие службы запускались, были инициированы ручные отключения и включения пользователей, какие ошибки возникали.
Исчезающие улики
Что происходит, когда на месте преступления обнаруживается работающий компьютер? В большинстве случаев следователь просто его выключит. В дальнейшем изучать этот компьютер будет эксперт по исследованию компьютерной информации, а вовсе не следователь. Все, что останется «на руках» у эксперта, — это жесткий диск. К сожалению, при таком подходе навсегда утрачивается доступ к огромному количеству «эфемерных» улик, безвозвратно исчезающих при выключении питания. Эти улики — данные, хранящиеся в ОЗУ.
Выключая компьютер, не сняв предварительно слепок оперативной памяти, следственные органы могут никогда не увидеть последних сообщений, отправленных подозреваемым через социальные сети. Пропадут ключи, с помощью которых могут быть зашифрованы криптоконтейнеры. Если использовался режим «приватности», эксперт никогда не увидит сайтов, открытых в момент выключения питания. Будут безвозвратно утрачены и многие другие данные.
Все, что нужно, чтобы не потерять эти и многие другие улики, — сохранить образ оперативной памяти в файл.
Что можно найти в оперативной памяти
Если хорошенько поискать, в оперативной памяти компьютера можно найти самые неожиданные вещи. К примеру, ключи, с помощью которых получится мгновенно расшифровать содержимое криптоконтейнеров TrueCrypt, BitLocker и PGP Disk. Такая функция присутствует, например, в программе отечественной разработки Elcomsoft Forensic Disk Decryptor. А вот атака на зашифрованные данные «в лоб» займет миллиарды лет — в конце концов, профессионалы своего дела работали долгие годы, стараясь защититься в первую очередь именно от атаки перебором.
В оперативной памяти содержатся последние сообщения, полученные и отправленные через социальные сети; комментарии, оставленные на форумах; сообщения, переданные с помощью программ мгновенного обмена сообщениями или с использованием чатов, встроенных в электронные игры. Там можно найти информацию о последних скачанных файлах. В памяти компьютера какое-то время хранятся страницы и изображения с веб-сайтов — даже если в браузере включен режим защиты приватности, отключен кеш и сохранение истории посещений. Кроме того, доступно большое количество системной информации, загруженные ветки реестра, распакованные и расшифрованные версии защищенных программ, информация об открытых сетевых соединениях. Если компьютер заражен вирусом или на нем запущена троянская программа, то при исследовании образа памяти их будет хорошо видно.
Примеры Криминалистического анализа
Пример первый. Это реальный пример из жизни. Полицией был задержан гражданин, подозреваемый в сексуальном насилии над ребенком, которое он снял на камеру и сохранил у себя на компьютере. К моменту получения криминалистами доступа к компьютеру подозреваемого видео уже было удалено с помощью специального программного обеспечения и восстановить удаленный файл не было никакой возможности. Специалистами был проведен комплексный криминалистический анализ компьютера, где была найдена сохранившаяся в системе миниатюра видеофайла. Размер миниатюры был незначительным, но по ней прекрасно можно было понять - подозреваемый действительно совершал действия сексуального характера с несовершеннолетним. Злоумышленник надежно удалил видео, но он не знал, что от просмотренных изображений и видеофайлов в системе остаётся информация в виде миниатюр. Это и помогло изобличить его в содеянном.
Пример второй. Это также известный пример из реальной жизни. Была задержана банда, подозреваемая в подделке банковских купюр. На компьютере у подозреваемого был обнаружен размонтированный криптоконтейнер TrueCrypt. Подозреваемые отказались выдать пароль, атака перебором паролей по словарю провалилась, ситуация казалась безвыходной. Тогда эксперты при помощи криминалистического софта изучили содержимое жесткого диска компьютера и обнаружили миниатюры всех открытых на нем картинок, как вы понимаете, они содержали поддельные купюры. Система бережно сохранила их и именно они помогли собрать доказательную базу.
Пример третий. Еще одна реальная история использования криминалистического анализа изображений, приведшая к разоблачению мошенника. Владелец небольшого хостинг-провайдера получил на электронный ящик уведомление, что один из его клиентов утратил доступ к почте и хочет восстановить доступ к своему аккаунту. Владелец хостинга отправил письмо на регистрационный email, но в течение недели ответа не было, тогда он решил начать процедуру восстановления, так как у него были регистрационные данные владельца. Он запросил ксерокопию паспорта и квитанцию оплаты услуг ЖКХ на имя владельца аккаунта, данные которого он имел, и в течение трёх дней получил их. Пришло время выдать доступ к аккаунту, но сомнение не покидало владельца хостинга, и он проверил отксерокопированные документы на предмет подделки, так называемой “отрисовки”. В результате и ксерокопия паспорта, и отсканированная квитанция оказались сделаны с использованием редактора изображений, это было хорошо видно благодаря изучению текстуры пикселей в местах с данными пользователя (все изменённые места неестественно выделяются на фоне общей картины)
Немного о фингерпринтинге (полезно)
/ Идентифицирует пользователя не по специальным меткам, сохраненным на его системе, а по уникальным особенностям его браузера, системы и устройства
Фингерпринтинг конкретного ПК с точностью 99,24%
Практика смены браузера, чтобы сменить личность в интернете, является популярным советом от экспертов и специалистов по безопасности. Согласно опросу, около 70% пользователей установили и регулярно используют по меньшей мере два браузера. Так они надеются избежать слежки и нежелательного распознавания на сайтах
В работе группы американских исследователей новая техника именуется CBF, то есть кросс-браузерный фингерпринтинг (Cross-Browser Fingerprinting). Она учитывает характеристики компьютерной системы, которые проявляют себя независимо от версии браузера при рендеринге и обработке графики.
Вот список некоторых параметров, которые можно использовать для кросс-браузерного фингерпринтинга.
Разрешение экрана. Как выяснилось, если задействовать зуммирование, то можно получить надёжный результат независимо от версии браузера.
Количество ядер процессора. Браузерный параметр hardwareConcurrency выдаёт максимальный порог для конкретного компьютера в операциях Web Worker. Даже если браузер пытается изменить этот параметр (например, Safari делит его на два), можно легко вычислить истинное значение.
AudioContext. Набор задач по обработке звука в операционной системе и звуковой карте. Фингерпринтинг осуществляется путём замера времени выполнения этих операций.
Список шрифтов. Стандартная техника фингерпринтинга, которую исследователи адаптировали для кросс-браузерного варианта. Список установленных шрифтов можно определить по рендерингу глифов в браузере.
Линии, кривые и антиалиасинг. Рендеринг линий, прямых и антиалиасинг в HTML5 Canvas и WebGL выполняется средствами GPU.
Vertex Shader. Ещё один элемент, который рендерится графической подсистемой и графическим драйвером. Он используется при создании теней и освещения в 3D-объектах и задействуется в WebGL.
Fragment Shader. Отслеживается таким же способом, как и Vertex Shader.
Прозрачность в альфа-канале. Выдача этих графических элементов зависит от GPU и драйвера и является одинаковой во всех браузерах.
Установленные письменности (языки). Некоторые письменности вроде китайской, корейской и арабской, требуют установки специальных библиотек.
Моделирование. Рендеринг 3D-моделей.
Освещение и построение теней (Lighting and Shadow Mapping). Ещё одна особенность 3D-графики, связанная с обработкой света и теней.
Камера. Имеется в виду не установленная на компьютере веб-камера, а другая техника, специфичная для 3D-моделирования. Она производит построение 2D-представлений для 3D-объектов.
Отсечение плоскостей (Clipping Planes). Операция WebGL, связанная с вычислением координат 3D-объектов с ограниченной видимостью.
Все перечисленные техники в совокупности позволяют составить довольно надёжный и точный профиль конкретного компьютера. В таблице ниже перечислена надёжность и энтропия, которую обеспечивает каждый метод и все они вместе.
В совокупности, техники CBF позволяют точно идентифицировать около 99,24% всех компьютеров. Исследователи проводили тесты с использованием браузеров Chrome, Firefox, Edge, IE, Opera, Safari, Maxthon, UC Browser и Coconut.
Обход:
VPN и прокси-серверы
Здесь коротко.
VPN - самый простой метод обхода региональных запретов. Меняет ваш IP на доступный на сервисе. Не защищает от множества трекеров и не влияет на уже подхваченные куки.
Прокси - бесплатная прокладка, которая не шифрует ваш трафик.
Не скупитесь на хороший многоканальный ВПН - и включайте его даже переходя на выделенный сервер о котором мы поговорим дальше
Браузеры.
Самым надежным считается Firefox. На него устанавливаем плагины:
User Agent Swither - плагин осуществляет подмену идентификации браузера.
Antidetect - аналогичный предыдущему плагин с более расширенными настройками. Платный и достаточно дорогой.
Ghoster - плагин блокирующий трекеры аналитики, рекламы и остальные маячки.
Multiloginapp - платформа, созданная для подмены разных браузерных футпринтов. Программа создана для работы с большим количеством браузерных профилей. Каждый профиль находится в своем "контейнере" и вариант того, что с одного браузерного перейдет история, куки и фингерпринты исключена.
Также существуют специально собранные браузеры для анонимного веб серфинга
TOR - самый известный и популярный среди таких браузер.
Pale Moon - браузер с открытым кодом на основе Firefox
Вручную
Сделать свой цифровой след менее уникальным помогут ручные изменения.
Использование дедиков до сих пор считается одним из самым эффективных способов сохранить свою анонимность. Представляет собой отдельную физическую машину, с которой не передаются никакие данные на вашу основную и рабочую.
Еще немного полезного:
Многие используют популярный сервис CloudFlare с целью замести следы своей PBN. Однако считать сервис панацеей от модерации нельзя.
В хорошо описаны футпринты CloudFlare и как их лечить.
Тест
После всех манипуляций необходимо проверить все актуальные футпринты, которые отправляет ваш браузер. На этих сайтах вся актуальная информация на текущий момент.
При использовании Multiloginapp проверяйте каждый профиль
Практика смены браузера, чтобы сменить личность в интернете, является популярным советом от экспертов и специалистов по безопасности. Согласно опросу, около 70% пользователей установили и регулярно используют по меньшей мере два браузера. Так они надеются избежать слежки и нежелательного распознавания на сайтах
В работе группы американских исследователей новая техника именуется CBF, то есть кросс-браузерный фингерпринтинг (Cross-Browser Fingerprinting). Она учитывает характеристики компьютерной системы, которые проявляют себя независимо от версии браузера при рендеринге и обработке графики.
Вот список некоторых параметров, которые можно использовать для кросс-браузерного фингерпринтинга.
Разрешение экрана. Как выяснилось, если задействовать зуммирование, то можно получить надёжный результат независимо от версии браузера.
Количество ядер процессора. Браузерный параметр hardwareConcurrency выдаёт максимальный порог для конкретного компьютера в операциях Web Worker. Даже если браузер пытается изменить этот параметр (например, Safari делит его на два), можно легко вычислить истинное значение.
AudioContext. Набор задач по обработке звука в операционной системе и звуковой карте. Фингерпринтинг осуществляется путём замера времени выполнения этих операций.
Список шрифтов. Стандартная техника фингерпринтинга, которую исследователи адаптировали для кросс-браузерного варианта. Список установленных шрифтов можно определить по рендерингу глифов в браузере.
Линии, кривые и антиалиасинг. Рендеринг линий, прямых и антиалиасинг в HTML5 Canvas и WebGL выполняется средствами GPU.
Vertex Shader. Ещё один элемент, который рендерится графической подсистемой и графическим драйвером. Он используется при создании теней и освещения в 3D-объектах и задействуется в WebGL.
Fragment Shader. Отслеживается таким же способом, как и Vertex Shader.
Прозрачность в альфа-канале. Выдача этих графических элементов зависит от GPU и драйвера и является одинаковой во всех браузерах.
Установленные письменности (языки). Некоторые письменности вроде китайской, корейской и арабской, требуют установки специальных библиотек.
Моделирование. Рендеринг 3D-моделей.
Освещение и построение теней (Lighting and Shadow Mapping). Ещё одна особенность 3D-графики, связанная с обработкой света и теней.
Камера. Имеется в виду не установленная на компьютере веб-камера, а другая техника, специфичная для 3D-моделирования. Она производит построение 2D-представлений для 3D-объектов.
Отсечение плоскостей (Clipping Planes). Операция WebGL, связанная с вычислением координат 3D-объектов с ограниченной видимостью.
Все перечисленные техники в совокупности позволяют составить довольно надёжный и точный профиль конкретного компьютера. В таблице ниже перечислена надёжность и энтропия, которую обеспечивает каждый метод и все они вместе.
В совокупности, техники CBF позволяют точно идентифицировать около 99,24% всех компьютеров. Исследователи проводили тесты с использованием браузеров Chrome, Firefox, Edge, IE, Opera, Safari, Maxthon, UC Browser и Coconut.
Обход:
VPN и прокси-серверы
Здесь коротко.
VPN - самый простой метод обхода региональных запретов. Меняет ваш IP на доступный на сервисе. Не защищает от множества трекеров и не влияет на уже подхваченные куки.
Прокси - бесплатная прокладка, которая не шифрует ваш трафик.
Не скупитесь на хороший многоканальный ВПН - и включайте его даже переходя на выделенный сервер о котором мы поговорим дальше
Самым надежным считается Firefox. На него устанавливаем плагины:
User Agent Swither - плагин осуществляет подмену идентификации браузера.
Antidetect - аналогичный предыдущему плагин с более расширенными настройками. Платный и достаточно дорогой.
Ghoster - плагин блокирующий трекеры аналитики, рекламы и остальные маячки.
Multiloginapp - платформа, созданная для подмены разных браузерных футпринтов. Программа создана для работы с большим количеством браузерных профилей. Каждый профиль находится в своем "контейнере" и вариант того, что с одного браузерного перейдет история, куки и фингерпринты исключена.
Также существуют специально собранные браузеры для анонимного веб серфинга
TOR - самый известный и популярный среди таких браузер.
Pale Moon - браузер с открытым кодом на основе Firefox
Вручную
Сделать свой цифровой след менее уникальным помогут ручные изменения.
- Изменение часового пояса устройства;
- Установка другого языка операционной системы устройства;
- Установка другого языка браузера;
- Изменение разрешения экрана устройства;
- Изменение масштаба веб-страницы;
- Установка либо удаление плагинов браузера
- Отключение исполнения Flash, Javascript и WebGL
Использование дедиков до сих пор считается одним из самым эффективных способов сохранить свою анонимность. Представляет собой отдельную физическую машину, с которой не передаются никакие данные на вашу основную и рабочую.
Плюсы: Настройка HTTP/SOCKS-прокси или SSH/VPN-соединения на выбор; Контроль истории запросов; Спасает при атаке через Flash, Java, JavaScript, если использовать удаленный браузер;
Минусы: Относительно высокая стоимость Необходимы технические знания для правильной настройки
Главная причина популярности и эффективности такого метода заключается в том, что такой виртуальный компьютер является совершенно новыми и чистым для интернета, работает круглосуточно и не передает никакой информации о конечном пользователе и характеристиках его компьютераМинусы: Относительно высокая стоимость Необходимы технические знания для правильной настройки
Еще немного полезного:
Многие используют популярный сервис CloudFlare с целью замести следы своей PBN. Однако считать сервис панацеей от модерации нельзя.
В хорошо описаны футпринты CloudFlare и как их лечить.
Тест
После всех манипуляций необходимо проверить все актуальные футпринты, которые отправляет ваш браузер. На этих сайтах вся актуальная информация на текущий момент.
При использовании Multiloginapp проверяйте каждый профиль
1.Временные файлы
С:/Windows/Temp
По этому адресу у вас будут храниться временные системные файлы. Как правило, в данной папке содержится более 1000 файлов общим объемом от 500 мб. Большинство из этих файлов подлежат анализу и экспертизе. Как следствие, эти файлы могут нанести много вреда. Поэтому, обязательно нужно чистить эти файлы.
2. Временные файлы пользователя
%TEMP%
Для запуска этой директории нужно ввести соответствующую комбинацию в окне «Выполнить». В этой папке хранятся документы пользователей. Например, документы продуктов Microsoft Office, части приложений, системные логи и т.д. Файлы добавляются после каждого использования компьютера. В среднем объем данных активного пользователя увеличивается на 500 мб в месяц.
3. Приложения
%appdata%
После установки любого приложения в этой папке остаются данные. В этой директории хранятся временные и постоянные файлы приложений. Также можно найти логи переписок в мессенджерах. Можно посмотреть информацию по Telegram. Можно восстановить список пользователей в скайпе.
Поэтому стоит внимательно относиться к этим файлам. Так как после попадания этой информации в умелые руки узнать с кем вы переписывались или обменивались файлами не составит труда, даже если будут удалены программы.
4. Собственные логи приложений
Каждое приложение может вести свои логи, которые невозможно будет найти ни в журналах, ни в системных папках. Они могут находиться в папке с приложением или в отдельной директории. Как правило, место расположение зависит от разработчика. Например, если пользователь использует программу TeamViewer, то можно посмотреть файл «Connections» со всеми подключениями, которые осуществлялись.
Также интересная ситуация с приложениями для обмена мгновенных сообщений (Jabber) по протоколу XMPP. Например, если вы используете PSI, то история с пользователями хранится в отдельном файле без какого-либо шифрования. Таким образом, можно посредством стандартного блокнота проанализировать все сообщения.
5. Журналы событий
Панель управления - Администрирование - Журнал событий
Основная утилита по сбору логов. Можно получить информации о работе служб, приложений, а также другие действия, которые привели к критическим ошибкам. Также можно найти информацию о том, когда был запущен компьютер, сколько она работал и какие приложения запускались во время эксплуатации. Информации очень много, которая может существенно навредить.
Чтобы постоянно не удалять информацию можно настроить ограничение по размеру. Можно выбрать любой объект, по которому ведутся логи и правой кнопкой мыши открыть свойства и указать значения параметра «Максимальный размер журнала КБ» - 0. После это журнал не будет собирать логи. Можно отключить журнал событий, как отдельную службу.
6. Точки восстановления системы
System Volume Information/Recovery
При установке операционной системы автоматически создается возможность для создания точек восстановления. Если ее целенаправленно не отключать, то можно посмотреть, существуют ли точки восстановления на вашем компьютере. Как правило, точки восстановления создаются автоматически через заданный период. Иногда точки восстановления создаются при установке игр. С помощью этой точки можно узнать какой софт был установлен на момент создания, какие параметры и службы использовались.
Для более новых операционных систем информацию можно найти, написав в поиск «Восстановление». В моем случае автоматическое создание точек восстановления отключено.
Для того, чтобы очистить все точки восстановления нужно перейти в пункт «Настроить» и нужно выбрать «Удалить». После этого удаляться все точки восстановления. Также можно отключить функцию создания точек восстановления системы в этом меню.
7. Недавно открытые файлы
%appdata%/microsoft/windows/recent/automaticdestinations/
В этой папке хранятся файлы, которые отображают части или полное содержимое открытых файлов. С помощью этого раздела можно узнать какие приложения запускались больше всего. Дальше можно анализировать с помощью других разделов.
8. Файл подкачки
pagefile.sys
В файлах подкачки храниться достаточно много информации. Простыми словами, файлы подкачки – это информация, которая записывается на жесткий диск для уменьшения и более рационального использования оперативной памяти. Учитывая то, что для полного удаления нужно пройтись 35 раз по HDD, то информация о вашей системе может храниться в течение полугода. Сюда могут входить логи переписки, информация о пк, данные по мессенджерам и т.д. Дополнительно можно посмотреть сайты, которые были открыты через сеть TOR. Также отображается вся информация о браузерах и т.д. Для анализа можно использовать программное обеспечение от компании «Белка софт», что будет проанализировано в конце статьи.
Как отключить файл-подкачки?
Для этого достаточно найти диски, которые имеют эти файлы и перезагрузить компьютер. Для Windows 10 нужно перейти в режим «Настройка представления и производительности системы»-«Дополнительно» и в пункте «Виртуальная память» выбрать изменить. Далее в этом меню можно посмотреть на каких дисках разрешено создавать файлы подкачки и какой размер.
9. Файлы режимов гибернации
hiberfil.sys
После закрытия крышки или обычного выключения компьютер переходить в режим гибернации. После этого компьютер перемещает всю информацию с оперативной памяти на жесткий диск. Все данные остаются в системы, которые позволяют найти очень много информации.
Для того, чтобы разобраться с режимом гибернации нужно удалить старый файл. Для этого нужно использовать программы-шредеры, которые используют метод Питера Гутмана (35 проходов). Чтобы отключить гибернацию, в командной строке введите powercfg -h off и нажмите Enter. Это отключит данный режим, удалит файл hiberfil.sys с жесткого диска, а также отключит опцию быстрого запуска Windows 10 (которая также задействует данную технологию и без гибернации не работает).
Как можно посмотреть интересную информацию? Практический кейс с помощью демо-софта
Протестируем, какая информация храниться в нашей виртуальной памяти. Для этого воспользуемся софтом компании «БелкаСофт». Используемые версии можно загрузить с сайта в качестве ознакомительной версии. В работе будем использовать программы Belkasoft Live RAM Capturer и Belkasoft Evidence Center. После открытия программы Belkasoft Live RAM Capturer нам нужно выбрать «Capture» и создать дамп.
Далее необходимо запустить Belkasoft evidence center.
Belkasoft Evidence Center
Далее необходимо указывать параметры анализа. На этом этапе можно выбрать какие файлы наиболее интересны. Если это устройство-ПК, то нет смысла анализировать файлы на базе операционных систем Android и iOS.
Выбор файлов для настройки
Вот можно посмотреть, что удалось получить после анализа.
Информация полученная после анализа
Частично были получены сообщения в скайпе. Также можно посмотреть логин отправителя и получателя, текст сообщения время и дату. Отдельно хочу заметить, что из мессенджеров использовался только Skype.
Переписка в скайп
Сообщения в Gmail
Больше всего было получено информации в Google Chrome. Сайты, время посещения и дополнительная информация.
История посещения сайтов в Google Chrome
Системные логи с указанием идентификатора проекта и описанием
Документы
Картинки
История Проводника
Работа с файлами (изменение, открытие, копирование, создание)
Заключение
Необходимо не оставлять информации после себя. Она может существенно навредить, если компьютер попадет в чужие руки. Помните об этом и не забывайте чистить системные файлы.