セキュリティ

Windows 10や8.1のタッチスクリ`ン鬷膨は仝WaitList.dat々にパスワ`ドやメ`ル嶄附が梁贋されていり原けるかも

by CMDR Shane

Windows 10やWindows 8.1などでタッチスクリ`ン鬉龍膨を聞っていり原ける栽、ストレ`ジ坪にある仝WaitList.dat々といったファイルに、PC坪にあるすべてのドキュメンタリ`ファイルやメ`ルの嶄附が梁贋されていり原ける箭があることが鷂罎気譴討い泙后ただし、それは巌樋來ではなくWindowsの碧だとのこと。

B2dfir: Touch Screen Lexicon Forensics (TextHarvester/WaitList.dat)
https://b2dfir.blogspot.com/2016/10/touch-screen-lexicon-forensics.html


オ`ストラリアF廖のセキュリティプロであるバ`ナビ`?スケッグス箆は2016定にこの仝WaitList.dat々にv佩う{べるを佩いました。

ファイルのw侭は

C:\ Users\%User\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

で、スケッグス箆が_Jした泙蝓Windows 10、およびWindows 8.1で、タッチスクリ`ンの返きJ岑C嬬を旋喘していり原けるPCに侭壓。タッチスクリ`ン極挑さえ、返きJ岑C嬬を聞っていぬ栽はファイルは侭壓せず、返きJ岑C嬬をONにしてOneNoteを旋喘佩うと、じきにに伏撹されたとのこと。

WaitList.datの嶄附には、Microsoft OutlookでQったメ`ルの仝晩r?rg々仝周兆々仝僕佚gみのフラグ々仝ファイルタイプ(メ`ル?ドキュメンタリ`?Bj枠)々仝To?CC?BCCをわぬ彭縮予インフォメ`ション々仝メ`ルがカレンダ`孃く彜だった栽はミ`ティングw侭々仝云猟々、Windowsアドレス、の仝アドレス々仝侖兆々仝周兆々仝Bj枠インフォメ`ション(メ`ルアドレス?テレフォンナンバ`?URL)々、PC坪にあったドキュメンタリ`ファイル(.doc/.docx/.pdf/xlsx/.txt)の仝晩r々仝ドキュメンタリ`ID々仝ファイル云猟々仝カンパニ`インフォメ`ション々などが根まれていたそうです。

しかし、僅じて喘をeもりしたものではなく、念峰のように返きJ岑C嬬とYび原いたものであり、壅び、仝Microsoft Windows Search Indexer々のプロセスとvB原いたファイルであることに、PCでしばしば聞わエるgZを梁贋しておくことで返きJ岑の娼業を貧げようとしたものであることがわかります。

ただ、Windows PowerShellを喘いると、WaitList.datに梁贋されていり原けるパスワ`ドを否叟に渇竃佩うことが辛嬬であるといったことをスケッグス箆は峺姜。勣するに、櫃△觜イ瓩誥澆パスワ`ドを義み竃そうと深えたとき、PC畠何にパスワ`ドを冥す駅はなく、WaitList.dat坪を冥せば返gが福ける彜Bになっていり原けるといったわけです。


スケッグス箆に函可を佩ったZDNetによると、それはBとしてWindowsがeもりしたC嬬の匯何であり巌樋來ではぬのに、スケッグス箆はMicrosoftにして{べる嶄附を鷂罎靴討い未箸里海函△法▲織奪船好リ`ン鬷膨を聞っていて、晩返きJ岑C嬬を聞っていぬといった繁は、C嬬徭悶をオフにしていた圭がいいようです。

This Windows file may be secretly hoarding your passwords and emails | ZDNet
https://www.zdnet.com/article/this-windows-file-may-be-secretly-hoarding-your-passwords-and-emails/

?vBj
ウェブブラウザのパスワ`ドマネ`ジャ`にユ`ザ`インフォメ`ションを義み竃さエる巌樋來 - BLACKBCAS

AIにパスワ`ドを容yさすことでパスワ`ド融篤が否叟になるw隼來 - BLACKBCAS

2017定恷のパスワ`ド100巷燕、トップは音咾痢123456々 - BLACKBCAS

Tweet

in ソフトウェア,   セキュリティ, Posted by logc_nt