С помощью маленьких программ —клавиатурных шпионов (key¬board loggers) вы можете узнать, что делали на вашем компьютере, пока вас не было в офисе или дома (последнее для параноиков и жильцов ком¬мунальных квартир). Если же вы сумеете подложить их на чужой ком¬пьютер, то получите возможность узнавать практически обо всех дей¬ствиях хозяина компьютера.
Метод работы таких программ очень напоминает способ, о кото¬ром не раз рассказывали в какой-то детской передаче про частных детек¬тивов, вы наверняка его помните: под скатерть на столе вы кладете лист обычной бумаги, а на него лист копирки. Теперь все, что будет написано за этим столом, через копирку отпечатывается на листе бумаги. Здесь главное — незаметно подложить копирку под скатерть, а потом так же незаметно вытащить результат. В нашем случае сделать это обычно не составляет труда, потому что программы эти очень маленькие (обычно не больше 100 килобайт вместе с описанием и help^, но встречаются исключения, дотягивающие почти до 500) и скопировать их с дискеты на «винт» «клиента», а также периодически (можно раз в несколько дней, но чем дольше, тем труднее потом разобраться) «снимать» результаты — минутное дело, достаточно лишь на некоторое время остаться наедине с компьютером.
С программами подобного рода я познакомился впервые лет, на¬верное, пять назад. Когда я получил в свое распоряжение настоящий IBM-совместимый компьютер — деск-топ с 286 процессором, цветным монитором и винчестером на целых 40 мегабайт, — радости моей не бы¬ло предела, Он был гораздо больше похож на настоящий современный компьютер, чем все то барахло, что было у меня до него. Компьютер, ра¬зумеется, был далеко не новый, куплен, что называется, с рук. Таким об¬разом, я унаследовал кучу полезного и не очень софта, потом незаметно, сами собой, проявились приятели, тоже имеющие компьютеры, и начал¬ся процесс «обмена информацией».
С детства испытывая тягу потрогать, понюхать, попробовать на вкус, в общем, испытать на себе все интересные вещи, которые попадут¬ся под руку, я методично изучал программу за программой: все от Dbase III Plus до коллекции исходных текстов вирусов на Паскале, от SuperCalc 3 до Windows 3.1 (да, на той самой, на «двойке», тоже работает). И вот од¬нажды, роясь в этом барахле, я нашел странный файл с именем, если не ошибаюсь, spylog.log, который оказался на поверку текстовым и содер¬жал довольно странную информацию.
В тот момент у меня, еще не понимающего, что же это все значит, возникло странное ощущение, похожее на манию преследования (что-то вроде: «За мной постоянно кто-то следит и даже наблюдает, что я делаю в...»). Дело в том, что в этом огромном (на тот момент что-то около 400 килобайт) отвратительном spylog.log было записано все, что я набирал с клавиатуры за последние несколько месяцев. Но это еще не все: здесь были отмечены все файлы, которые я создавал, удалял, открывал и т.п. с указанием времени и даты. Кстати, даты в начале файла говорили о том, что все это началось у первого хозяина компьютера примерно за пару не¬дель до того, как мы купили его.
Моих поверхностных, на тот момент, знаний о компьютерах IBM PC хватало, чтобы понять — ведение таких файлов (я бы сказал, прото¬колов допроса) не входит в их стандартные обязанности. Появившиеся параноидальные мысли о том, что он, мой электронный друг, вниматель¬но следит за своим хозяином и молчит (или пока молчит), были посте¬пенно отвергнуты, и я занялся выяснением причин столь странного по¬ведения машины.
Первым делом я просмотрел autoexec.bat и config.sys на предмет присутствия «лишних» строчек, но, как назло, ничего постороннего там не было: драйвер мыши, русификатор, Norton Commander и т.п. — в об¬щем, все как обычно. Затем ненавистный файл был удален, и я с отвра¬щением понаблюдал, как он вновь появился в том же месте. Как оказа¬лось, он был создан заново и начал вновь запоминать все мои действия. Следующим, что пришло мне в голову, было позвать какого-нибудь кру¬того спеца, чтобы он навсегда отучил моего электронного друга подгля¬дывать. Итак, был приглашен знакомый дядька, обслуживающий не¬сколько компьютеров в местной организации. После нескольких чашек чая и тарелки съеденного печенья (наверное, надо было угощать twix'om) дядька развел руками и, опозоренный, ушел восвояси. После этого я сде¬лал еще несколько попыток понять, в чем же, собственно, дело, но все они оказались безрезультатными, тотальный контроль продолжался.
Я уже намыливал веревку, как шутят в подобных случаях амери¬канцы, когда проблема разрешилась почти сама собой. Купив по случаю новую мышку, я, как водится, переписал с прилагаемой дискеты драй¬вер — mouse.com или что-то в этом роде — и вписал его в autoexec.bat вместо старого мышиного драйвера. Через некоторое время я случайно заглянул в spylog.log и с удивлением обнаружил, что записи прервались в тот день, когда я поменял мышку.
Сопоставив факты, я понял, что дело, конечно, не в самой мышке, а в драйвере. Как я узнал впоследствии, на моем компьютере была уста¬новлена и запущена программа SPY, которая, вероятно, запускалась от драйвера мыши.
Далее я хочу рассказать о трех испробованных мной лично про¬граммах этого класса. Начать позвольте с многострадальной (...ного) SPY.
SPY
Программа SPY (Security Log System), написанная Алексом Ле-менковым, предназначена для записи в специальный текстовый Log-файл информации о всех производимых на компьютере действиях с автоматической регистрацией даты и времени. Запись происходит неза¬метно для пользователя, т.е. человек, работающий на компьютере, ско¬рее всего, никогда не узнает о том, что за его действиями может наблю¬дать посторонний. Все сказанное ниже относится к версии 4.4, но, судя по документации, справедливо для всех версий, начиная с 3.4 (различа¬ются они, в основном, несколькими исправленными ошибками и мелки¬ми опциями).
Подозреваю, что испортившая мне столько нервов программа бы¬ла версии 3.4 или старше. Так как первые версии программы написаны достаточно давно (во всяком случае, самая старая версия, которую я ви¬дел, — 1.3 — была датирована в документации 1992 годом), работает она под MS-DOS версии 4.0 и старше на любом компьютере, начиная с «двойки».
SPY обладает несколькими интересными свойствами: программа загружается в память компьютера по типу вируса, маскируется под DOS и не видна таким программам, как MEM, RELEASE и т.д. Кроме загруз¬ки из командной строки или файла autoexec.bat, SPY может запускаться из любого исполняемого файла (.сom или .ехе). Для того, чтобы реализо¬вать этот метод, в состав пакета, кроме собственно SPY, входит програм¬ма SPYEXE, запустив которую, вы автоматически припишете к выбран¬ному исполняемому файлу команду запуска SPY.
Таким образом, заставив SPY запускаться, к примеру, вместе с драйвером мыши, вы не оставите никаких следов в autoexec'e. Теперь, если вы надежно спрятали Log-файл, в который будут выводиться ре¬зультаты слежки, и дали ему какое-нибудь неприметное имя, вроде mouse.log (или сделали его невидимым), то обнаружить, что за всеми ва¬шими действиями наблюдают, вряд ли сможете. Разве что, «роясь» в сво¬ем винчестере, случайно «набредете» на весьма странный текстовый файл — и на всю жизнь заречетесь пускать посторонних за клавиатуру своего компьютера.
HookDump
HookDump, написанная Ильей Осиповым, самая лучшая, на мой взгляд, программа этого класса. Она предназначена для работы под Windows. Программа обладает широким набором функций и гибкой си¬стемой настройки.
Интерфейс HookDump достаточно прост и позволяет указать, от¬метив соответствующие пункты меню, нажатие каких клавиш регистри¬ровать (возможен выбор: буквенно-цифровые клавиши + клавиши уп¬равления курсором или же регистрация всех нажатий, включая Caps Lock, Shift, Tab, все функциональные клавиши и т.п.), какую информа¬цию о работающих программах запоминать (возможна регистрация вре¬мени, активных окон и т.п.).
Кроме текста, набираемого с клавиатуры, в Log-файле записыва¬ется даже такая информация, как скрытый пароль Dial-Up Networking, который вообще не набирался. Возможна также регистрация нажатий на кнопки мыши (непонятно, правда, как же потом определить, в каких ме¬стах и на что «кликали» мышью).
Чтобы установить программу, нужно лишь целиком скопировать ее каталог (размер каталога чуть больше 50 килобайт) на винчестер. Для автоматического запуска HookDump достаточно отметить в меню Startup строчку AutoStartUp (т.е. нет необходимости включать программу в пап¬ку Автозагрузка). После этого программа будет автоматически запус¬каться вместе с Windows, никак не проявляя при этом своего присут¬ствия. Конечный текстовый файл с расширением .hk может находиться в любом каталоге на ваш выбор. Для этого нужно указать в файле hook-dump.ini желаемый каталог и имя файла, которые будут созданы про¬граммой. Кроме того, есть довольно приличный Help, правда, только на английском. Программа HookDump оставляет самое приятное впечатле¬ние, не могу сказать, что я в щенячьем восторге, но все же... Она проста в установке (для этого хватает и полминуты), имеет массу настроек, а бу¬дучи запущенной, остается совершенно незаметной.
Конечно, список «клавиатурных шпионов» не ограничивается опи¬санными здесь программами, существует еще SECRET AGENT Алексея Черненко (программа работает на любом «тостере» с 8086 процессором) и многие другие, рассказывать о которых можно достаточно долго. В заклю¬чение хочу сказать, что целью этой главы было рассмотрение еще одного аспекта privacy, о котором не подозревает большинство пользователей.
Узнать о том, что вы делаете на своем компьютере, можно даже в том случае, если вы и рядом с Internet^ом не стояли. А рассказал о том, как можно заполучить чужую информацию, я лишь для того, чтобы чита¬тель знал, каким образом «не наши» могут узнать что-то о нем. Для того, чтобы уберечься от подобных шпионских закладок, нужно соблюдать ба¬нальные правила, известные всем: следить за тем, чтобы вашим компью¬тером не пользовались в ваше отсутствие, и «избегать случайных связей».