注意了!这个系统文件可能会秘密存储用户密码

关注 2018-09-20 16:45:14 查看数 5903 ,评论数 0 资讯
一个鲜为人知的Windows功能将创建一个文件,用于存储从计算机上所有电子邮件和纯文本文件中提取的文本,有时可能会泄露用户密码或私人对话。 如果您使用的Windows系统计算机带有手写笔或支持触摸屏,那么有可能您计算机上的一个小文件可以已经偷偷记录了过去几个月乃至几年的敏感数据。 根据数字取证和事故响应(DFIR)专家Barnaby Skeggs的说法,这个文件名为WaitList.dat,并不是在每一台计算机上都有。要生成这一文件需要满足两个条件:1.Windows系统的计算机需要具有触摸屏功能;2.用户已经启用了手写识别功能。只有这样才能自动将手写笔/触摸屏输入的内容转换为格式化文本。 在上一代Windows 8系统中就添加了手写输入的格式化文本转换功能,这意味着WaitList.dat文件已存在多年。此文件的作用是存储文本以帮助Windows改进其手写识别功能。 “在测试中,WaitList.dat会在用户开始手写后开始记录,”Skeggs 在接受采访时说,“按下这个开关(注册表项)可以开启文本收集器功能(生成WaitList.dat文件)。一旦开启了,不仅仅是通过触摸屏写入功能转换的手写内容,Windows Search Indexer检索出来的每个文档和电子邮件中的文本都会被存储在WaitList.dat中,”Skeggs说。 Windows Search Indexer能在整个系统里进行检索,这意味着计算机上所有文本类型的文件,如电子邮寄、Office文档等,都会被收集在WaitList.dat文件中。 “只要磁盘上有该文件的副本,并且Microsoft Search Indexer服务支持该文件格式,用户甚至都不必打开文件/电子邮件。”Skeggs还补充道,“在我个人使用的计算机上,经过数次测试,发现WaitList.dat文件包含了系统上每个文档或电子邮件的文本摘录,即使源文件已被删除。” 此外,Skeggs表示WaitList.dat文件可用于从已删除的文档中恢复文本,这算是意外的收获了。“如果源文件被删除,检索副本仍会保留在WaitList.dat文件中。”这就为包括Skeggs在内的研究人员提供了重要的依据,证明了某个文件及其内容曾经出现在计算机上。 该项技术或WaitList.dat文件的存在一直是DFIR和信息安全界保守最好的秘密之一。Skeggs 在2016年曾写了一篇关于WaitList.dat文件的博客文章,但几乎没有引起任何重视。原因主要在于他最初的分析侧重于DFIR方面,而不是隐私方面。 但是上个月,Skeggs在Twitter上提出了一个有趣的假设。例如,如果攻击者可以访问某个系统或者已经使用恶意软件感染了该系统,并且他截取了尚未存储在浏览器数据库或密码管理库中的密码,那么WaitList.dat提供了另一种快速恢复大量密码数据的方法。 Skeggs同时也强调,攻击者或恶意软件应用程序可以轻松抓取WaitList.dat文件并使用简单的PowerShell命令搜索密码,而不是在整个磁盘中搜索可能包含密码的文档。 Skeggs并为就这一调查结果与微软公司联系,因为他自己也认识到这是Windows操作系统预期功能的一部分,而不是漏洞。 除非用户启用手写识别功能,否则WaitList.dat文件并不会产生威胁。即使启用了这一功能,攻击者也必须通过恶意软件或物理接触来破坏用户的计算机系统,才能实现窃取密码信息的目的。 虽然这可能不是一个实际的安全问题,但关注数据隐私的用户应该意识到,通过使用手写识别功能,他们可能在无意间创建了一个巨大的数据库,其中包含在其系统上可以检索到的所有文本类文件。 根据Skeggs的说法,WaitList.dat文件的默认位置是:
C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat
并非所有用户都会将密码存储在计算机上的电子邮件或文本类文件中,但以防万一,我们建议有过这样做法的用户可以删除该文件,或在操作系统的设置面板中禁用“个性化手写识别”功能。 早在2016年,Skeggs还发布了两个应用程序,用于分析、提取WaitList.dat files文件中的文本信息。下载地址如下:
https://github.com/B2dfir/wlrip https://github.com/B2dfir/wlripEXE
交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...