Windows може зберігати всю вашу електронну пошту та документи як незашифрований звичайний текст
Фахівець зі судово-криміналістичного аналізу та відновлення даних Барнабі Скєггс виявив тривожне конструктивне рішення в Windows 8.1 та Windows 10, які могли б відкрити певні користувачі для крадіжки даних, незважаючи на те, що ці користувачі є чимось більш розумними. Під час виконання детального системного аналізу, щоб визначити, чи був певний електронний лист коли-небудь переглянутий на комп'ютері, Skeggs знайшов запис назви електронної пошти в незвичайному файлі - WaitList.dat. Він пише:
Я визначив артефакт 'WaitList.dat' при дослідженні комп'ютера Windows 8.1 для наявності відомих електронних листів. Мені було надано копію цього електронного листа, і частина розслідування передбачала з'ясування того, чи існувало це повідомлення на комп'ютері зберігача. Після обробки архівів поштових скриньок .PST і .OST на ПК я не визначив наявність електронної пошти. Потім я обробив тіньові копії, вирізав і обробляв для різних магазинів поштової скриньки та файли електронної пошти, але ще не ідентифікував електронну пошту. В якості остаточної спроби я провів пошук по рядку по темі електронної пошти по всьому судовому образу. Я отримав 1 хіт в "WaitList.dat". Дослідження цього 140-меграбельного файлу визначало метадані та повний текст тексту понад 36 тис. Листів та документів, що охоплюють 3 роки.
WaitList.dat - це не файл, який ви можете знайти на кожній системі Windows 10, наприклад, у мене відсутній цей файл. Це буде знайдений лише у тому випадку, якщо ви включили розпізнавання рукописного тексту в Windows 8.1 або Windows 10. Тоді Skeggs деталізує функцію розпізнавання рукописного тексту в Windows 8.1 та Windows 10 та як система IIS збирає користувацькі дані, який потім налаштовується "Текстовим тренером" і зберігається в "лексиконі". Microsoft стверджує, що її система постійно покращує точність рукописного тексту, яку вона може, але функція WaitList.dat не просто збирає рукописну інформацію.
WaitList.dat містить електронні листи Outlook, контактну інформацію та вміст різних типів документів, включаючи дату / час, ідентифікатори документів, тіло цих файлів та компанію, з яких створені ці файли. Скегс пише:
WaitList буде зберігати кілька індексів для одного документа протягом певного часу. Це забезпечує судово-медичного експерта можливість перегляду історичних ітерацій файлу, навіть якщо тіньова копія не ввімкнена, або коли файл був видалений / витертий із жорсткого диска ... Електронна пошта або документ можуть бути записані в WaitList без прочитання чи відкритий користувачем.
Оскільки дані, що зберігаються в WaitList.dat, не видаляються після видалення документів, його також можна використовувати для відновлення інформації з ПК. Дані в файлі WaitList.dat заповнюються індексатором пошуку Windows. Skeggs написала програму в Python WLrip, яка може бути використана для експорту даних в файл у файли TXT, при цьому кожна запис у файлі отримує власний TXT. Метадані надсилаються в окремому файлі CSV. Ви можете завантажити програму та переглянути його звіт тут.
Не існує жодного слова про те, чому Microsoft вважає за доцільне побудувати систему розпізнавання рукописного тексту, яка частково функціонувала шляхом створення всеосяжного індексу кожного документа на ПК. Хоча це вплине лише на системи з розпізнаванням рукописного вводу, той факт, що це взагалі сталося, пов'язаний з тим, що враховується невибірковий характер збирання даних.