Windows может хранить всю вашу электронную почту и документы как незашифрованный обычный текст

Windows может хранить всю вашу электронную почту и документы как незашифрованный обычный текст

Судебный аналитик и специалист по восстановлению данных Барнаби Скеггс обнаружил тревожное дизайнерское решение в Windows 8.1 и Windows 10, которое могло бы открыть некоторым пользователям кражу данных, если бы упомянутые пользователи не были мудрее. Выполняя подробный системный анализ, чтобы определить, было ли когда-либо определенное электронное сообщение на компьютере, Skeggs обнаружил запись названия электронной почты в необычном файле - WaitList.dat. Он написал:

Я обнаружил артефакт «WaitList.dat» при исследовании ПК под управлением Windows 8.1 на наличие известного электронного письма. Мне была предоставлена ​​копия этого письма, и часть расследования включала определение того, существовало ли это письмо на компьютере хранителя. После обработки архивов почтовых ящиков .PST и .OST на ПК я не идентифицировал наличие электронной почты. Затем я обрабатывал теневые копии, вырезал и обрабатывал различные хранилища почтовых ящиков и файлы электронной почты, и до сих пор не идентифицировал электронное письмо. В качестве последней попытки я провел строковый поиск строки темы письма по всему судебному изображению. Я получил 1 удар в 'WaitList.dat'. Исследование этого файла размером 140 Мбайт выявило метаданные и полный текст более 36 000 электронных писем и документов, охватывающих 3 года.

WaitList.dat - это не файл, который вы найдете в каждой системе Windows 10, например, моей собственной установке не хватает этого файла. Его можно найти только в том случае, если вы включили распознавание рукописного ввода в Windows 8.1 или Windows 10. Затем Skeggs подробно описывает функцию системы распознавания рукописного ввода в Windows 8.1 и Windows 10 и как система ввода данных (IPS) собирает пользовательские данные, который затем настраивается «текстовым тренером» и хранится в «блоках лексики». Microsoft утверждает, что ее система постоянно улучшает точность почерка, что может, но ее функция WaitList.dat не просто собирает рукописную информацию.

Windows может хранить всю вашу электронную почту и документы как незашифрованный обычный текст

WaitList.dat содержит электронные письма Outlook, контактную информацию и содержимое различных типов документов, включая дату / время, идентификаторы документов, тело файлов, о которых идет речь, и компанию, из которой были созданы эти файлы. Скеггс пишет:

WaitList будет хранить несколько индексов для одного документа с течением времени. Это позволяет судебному эксперту возможность просматривать исторические итерации файла, даже если теневая копия не включена или когда файл был удален / вытерт с жесткого диска ... Письмо или документ можно записать в WaitList без чтения или открытый пользователем.

Поскольку данные, хранящиеся в WaitList.dat, не удаляются при удалении документов, его также можно использовать для восстановления информации с ПК. Данные в файле WaitList.dat заполняются индексом поиска Windows. Skeggs написал программу в Python, WLrip, которая может использоваться для экспорта данных в файл в файлы TXT, причем каждая запись в файле получает свой собственный TXT. Метаданные сообщаются в отдельный файл CSV. Вы можете скачать утилиту и просмотреть его отчет здесь.

Там нет ни слова о том, почему Microsoft думала, что было бы неплохо создать систему распознавания рукописного ввода, которая частично функционировала путем создания всеобъемлющего индекса каждого документа на ПК. Хотя это будет влиять только на системы с распознаванием рукописного ввода, тот факт, что это произошло вообще, относится к вопросу о неизбирательном характере сбора данных.

Читать далее

Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows

Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.

Apple: «Это дело Microsoft», чтобы запустить Windows на новых компьютерах Mac ARM
Apple: «Это дело Microsoft», чтобы запустить Windows на новых компьютерах Mac ARM

По заявлению Apple, вопрос о поддержке Windows на M1 полностью решается Microsoft.

Как Windows использует несколько ядер ЦП?
Как Windows использует несколько ядер ЦП?

В наши дни мы воспринимаем многоядерность как должное, но как вообще процессор и операционная система взаимодействуют друг с другом?

Minecraft с функцией трассировки лучей теперь доступен для всех игроков с Windows 10
Minecraft с функцией трассировки лучей теперь доступен для всех игроков с Windows 10

Обычно вы не думаете о Minecraft как о реалистичной игре, но разработчики усердно работали над добавлением трассировки лучей RTX в игру в течение последних восьми месяцев. Сегодня он наконец-то вышел из бета-версии, и он действительно работает с блочным внешним видом Minecraft.