Надежно прячем файлы и папки в системе

Заныкать гейму от начальства и «клубничку» от родителей — весьма потребное дело. В Сети существует большое количество утилит, специально предназначенных для этих целей (как коммерческих, так и бесплатных), но качество маскировки и удобство использования в большинстве случаев оставляют желать лучшего, однако при желании «шапку невидимку» можно смастерить и самостоятельно! Штатные средства операционной системы таят в себе множество удивительных возможностей, о которых догадываются далеко не все пользователи.

Степень скрытости информации — один из важнейших критериев, гарантирующий, что спрятанный файл или каталог не будет найден посторонним человеком. Тут следует сделать небольшое отступление и обозначить два подхода к криптографии: шифрование и стеганографию. Шифрование ставит перед собой задачу кодирования информации таким образом, чтобы прочитать ее без знания ключа было невозможно или чрезвычайно трудно. Идея же стеганографии заключается в скрытии самого факта наличия информации в том или ином месте. Естественно, эти методы можно комбинировать друг с другом, в результате чего, даже если присутствие информации окажется твердо установленным фактом, без знания ключа ее все равно не удастся расшифровать, разве что применив ректотермальный криптоанализ (паяльник в точку пересечения двух прямых в смысле ног).

Таким образом, утилиты, шифрующие файлы, папки (и даже целые дисковые разделы), для наших целей совершенно непригодны. У незашифрованной папки с «клубничкой», заныканной в неприметном каталоге с огромной степенью вложенности, есть хорошие шансы долгое время оставаться незамеченной. Но стоит только ее зашифровать (например, спрятать в rar-архив), как антивирусы тут же начнут ругаться на всех языках, под которые они локализованы, и у «посторонних человеков» возникнет вопрос: а с чего бы это вдруг вам потребовалось шифроваться? Честным людям скрывать нечего. Напротив, если человек постоянно пользуются услугами криптографии, значит, он либо параноик (это хреново, но поправимо), либо что-то заныкал (а вот за это могут уже и побить!). Чтобы не погореть, мы должны скрывать сам факт наличия сокрытых данных! Вот такая рекурсия получается!

Другим критерием оценки эффективности криптографических механизмов является их стойкость ко взлому. Начинающие часто спрашивают: стоит ли устанавливать утилиты типа PGP Disk или аналогичные ему шифровальные средства, против которых бессилен даже Пентагон? Ответ зависит от того, какую именно информацию мы собираемся скрывать и насколько часто планируем работать с ней. Работать с зашифрованной информацией все равно, что хранить золото в сундуке, зарытом под яблоней. Понадобилась сотня баксов — откопал, достал, закопал. И так каждый раз. Слишком утомительно, да и небезопасно, поскольку набираемый пароль могут подсмотреть из-за спины или увести кейлоггером, причем короткий словарный пароль элементарно подбирается по словарю, а длинный бессмысленный пароль легко забыть, навсегда лишив себя доступа к зашифрованным данным. А пароль, записанный на листок (или брелок с flash-памятью), может стать добычей взломщика.

Надежно защитить свои данные от спецслужб практически невозможно, да мы и не собираемся этим заниматься. Наши задачи гораздо скромнее: дети, жена, коллеги по работе, начальник, администратор и прочие продвинутые пользователи. Что же касается людей в погонах, то тут все зависит от «повезет» или «не повезет». Если экспертизой изъятого компьютера будет заниматься обычный администратор, то обмануть его проще простого. А вот если жесткий диск передадут фирме, специализирующейся на восстановлении данных, для скрупулезного изучения на секторном уровне, то тут дело труба, однако подобные «клинические» случаи мы не рассматриваем.

Существует масса относительно простых, но достаточно эффективных механизмов сокрытия информации (для большинства из которых не требуется никаких дополнительных приспособлений, кроме самой операционной системы). Автор пользуется ими далеко не первый год и за это время хорошо изучил их достоинства и недостатки и потому предлагает лишь отборные хакерские трюки. Вот!


Как это работает, или обзор маскировочных утилит
Несмотря на то что мы собираемся рассматривать способы сокрытия файлов и папок, не требующие установки дополнительного программного обеспечения (что в некоторых случаях попросту невозможно), знать, что у них находится «под капотом», никому не помешает.

Имеющиеся на рынке утилиты можно разделить на два больших и практически непересекающихся класса. Первые устанавливают свой драйвер (службу, резидентную программу), перехватывающий системные вызовы, прямо или косвенно относящиеся к поиску, удалению, открытию файлов. После этого им остается всего лишь подчистить содержимое каталогов, исключая из них всякое упоминание о сокрытых файлах и подкаталогах, а также блокируя прямое открытые/удаление файлов по их имени. Это достаточно надежный механизм, однако, ввиду множества присущих ему недостатков, большой популярности он так и не приобрел.

Из-за своей схожести с руткитами файловые маскировщики обозначенного типа плохо уживаются с антивирусами, попадая под «статью» «вредоносная программа неизвестного типа». А кому это понравится?! Администраторы тут же устраивают суровые разборки с раздачей по обе стороны от технического прогресса (раздачей занимается бригада каратистов быстрого реагирования). К тому же корректный перехват системных функций реализовать очень сложно и за каждую ошибку приходится расплачиваться нестабильной работой оси и прочими глюками, от которых пользователи совсем не в восторге.

Среди коммерческих продуктов, работающих на «топливе» этого вида, наибольшую популярность завоевал Symantec SystemWorks, поддерживающий опцию Norton Protected Recycle Bin и создающий скрытый каталог NPROTECT в обычной корзине. «Скрытый» не в смысле атрибута hidden, а реально скрытый от системы и доступный только ему одному. Подробнее об этом и многом другом можно прочитать в блоге Марка Руссиновича: ).

Другой класс утилит вообще не касается системных функций и прячет файлы с каталогами путем помещения их в специальный контейнер, как правило, представляющий собой обычный файл данных, с которым маскировочная программа работает через свой собственный интерфейс, выполненный в стиле проводника. А чтобы посторонние люди не добрались до спрятанных файлов, они защищаются паролем. Грубо говоря, это то же самое, что и обычный запароленный RAR. Факт сокрытия никак не маскируется, и чтобы работать с файлами, их нужно извлечь на диск, что не только непрактично, неудобно, но еще и небезопасно (поскольку, следы присутствия извлеченных файлов на диске легко обнаружить любой утилитой типа R-Studio, умеющей восстанавливать удаленные файлы).

Тем не менее, в силу чрезвычайной простоты технической реализации, такой принцип сокрытия очень популярен среди разработчиков маскировочных программ. Знать устройство операционной системы, владеть ассемблером, уметь писать драйверы не требуется. Достаточно поерзать мышью в Delphi - и программа готова! Типичным представителем этого класса утилит является условно-бесплатная программа HidesFiles, ознакомиться с которой можно на .

Однако ни ей, ни легионом ее сородичей пользоваться не рекомендуется, поскольку качество шифрования оставляет желать лучшего. В некоторых случаях (для достижения наивысшего быстродействия) никакого шифрования вообще не производится и эталонный пароль хранится в «архиве» открытым текстом. Ну или не сам пароль, а его контрольная сумма. Несмотря на то что восстановить пароль по контрольной сумме невозможно, для доступа к данным пароль не нужен, поскольку они лежат в незашифрованном виде. Достаточно дизассемблировать программу, чтобы реконструировать формат файла данных, и дальше можно работать с ним в обход пользовательского интерфейса. Разумеется, домашние пользователи на такое не способны, а потому для защиты от них хватит и HidesFiles.


Монтирование и демонтирование дисковых томов
Операционные системы семейства NT (к числу которых относится сама NT, W2K, XP и Vista) поддерживают механизм монтирования (mount) дисковых томов (аналогичный тому, что имеется в UNIX). Однако, в отличие от UNIX, в NT диски монтируются автоматически при их подключении (для несъемных носителей это означает, что они монтируются всегда), и пользователю нет никакой нужды задумываться об этом.

Между тем, если размонтировать дисковый том (грубо говоря, отобрать у него букву), он исчезнет из «Моего компьютера», FARа. И чтобы получить доступ к его содержимому, необходимо выполнить операцию монтирования (о которой осведомлены далеко не все администраторы, не говоря уже о рядовых пользователях). Причем это совершенно законная и абсолютно безопасная операция!

Хорошая идея — при разбивке диска выделить один раздел под секретные файлы, монтируя его только на время работы с ними. Ни антивирусы, ни дисковые доктора, ни прочие антихакерские средства не заподозрят и следов «измены». В принципе, изменить разбивку диска можно и на лету - достаточно воспользоваться PQMagic или аналогичной программой. Внимание: все программы, разбивающие диск на лету, не застрахованы от ошибок и могут угробить один или несколько разделов без малейших шансов на восстановление, поэтому обязательно зарезервируйся перед разбиением.

Монтировать диски можно как из командной строки, так и через графический интерфейс, что намного нагляднее. Вот с него-то мы и начнем! Итак, «Пуск - Настройка - Панель управления - Администрирование - Управление компьютером». Во вкладке «Структура» находим «Управление дисками» и смотрим, какие диски есть на нашем компьютере.

Допустим, мы хотим демонтировать диск D:. Щелкаем по нему левой клавишей мыши, в открывшемся контекстом меню выбираем пункт «Изменение буквы диска и пути