Как перехватываются данные из системного буфера обмена

Большинство пользователей регулярно производят операции, связанные с системным буфером обмены – копирование, вырезание и вставку информации для переноса из одного приложения в другое. Буфер обмена работает в фоновом режиме, и мы не осознаем факта его использования. Но часто через него проходит наша конфиденциальная информация, которой не хотелось бы делиться с другими.
Многие полагают, что антивирусы защищают все и от всего. Но это не так.

Что такое системный буфер обмена, и кто имеет доступ к нему?
Системный буфер обмена — это область памяти, предоставляемая операционной системой для временного хранения тех или иных данных.
Доступ к нему может получить любая программа, запущенная на компьютере, а не только те приложения, между которыми вы переносите данные путем копирования и вставки. Это легальная операция, которую не запрещают и не блокируют средства защиты.

В COVERT Pro есть монитор буфера обмена, который позволяет видеть все приложения, которые получают или перехватывают данные из буфера. А функция прямого копирования и вставки дает возможность защитить конфиденциальную информацию от перехвата.

Открываем контекстное меню, нажав на правую кнопку мыши при наведенном курсоре на верхнюю рамку окна маскировщика. Выбираем пункт “Монитор буфера обмена”.

Окно монитора состоит из двух динамичных списков со следующими столбцами: « – порядковый номер в списке, «Имя файла«, «ID» – уникальный номер процесса в операционной системе, «Время» в которое был послан запрос, «Адрес» по которому находится программа.

В левом списке отображается приложение, которые стоит первым в очереди для просмотра буфера обмена в случае изменения его данных. Операционная система создаёт очередь по запросам от приложений, и когда происходит изменение состояния буфера обмена (произошло копирование), информация об этом распространяется по всем участникам последовательно. Чтобы увидеть следующий процесс, стоящий в очереди на просмотр буфера обмена, нужно завершить предыдущий, используя контекстное меню списка. Таким образом, можно посмотреть все приложения, отслеживающие изменения буфера обмена.
На скриншоте ниже мы видим, что после завершения первого процесса punto.exe, принадлежащего приложению Punto Switcher, ожидающего данные из буфера обмена, появился другой процесс VirtualBox.exe программы виртуализации.

В правом списке находятся приложения, работающие с буфером обмена в текущий момент или удерживающие его открытым. Этот список позволяет видеть программы, которые не запрашивают у операционной системы статус буфера и не стоят в очереди, где их можно увидеть, а сами проверяют буфер через определенные промежутки времени. Обнаружить их сложнее. Чтобы это сделать мы проведем операцию копирования, поскольку любая программа, забирающая себе содержимое буфера обмена, должна его открыть, продублировать информацию и закрыть его.

Обычно эта операция проходит мгновенно и отследить её практически невозможно. Но именно в этот момент мы и будем отлавливать интересующий нас процесс. Если скопировать большой объём текстовой информации, на копирование которого нужно будет затратить около 2 секунд или более, тогда примерно такое же время понадобится и на операцию перехвата, и мы успеем зафиксировать, какая программа удерживает буфер обмена открытым. В маскировщике, через контекстное меню, можно выбрать скорость обработки списков окна. Чем мощней компьютер, тем выше должна быть установлена скорость. Если выбрать скоростной режим “break v 0.1s”, тогда поиск остановится сразу, после обнаружения приложения, удерживающего буфер обмена открытым. Пункт списка будет подсвечен красным цветом.
Создаем в программе “Блокнот” большой текстовый блок и, при открытом мониторе буфера обмена, в режиме ускоренной обработки, копируем эти данные.

После провокационного копирования, вместе с текстовым редактором, данные получили ещё три программы. Процесс punto.exe приложения Punto Switcher, MPK.exe шпионской программы Мipko, которую мы установили специально для теста, и процесс NokiaSuite.exe приложения обмена данными с телефонами NOKIA, которое было установлено несколько лет назад и не понятно зачем оно копирует данные системного буфера обмена.

Так можно получить информацию о приложениях, которые копируют ваш системный буфер обмена в свои окна. Если у них нет в системе окон, нужно будет использовать дополнительные мониторы маскировщика, но об этом мы напишем уже в другой статье.

Для безопасного переноса текста следует зайти в платформу защиты COVERT Pro, нажав на большую кнопку в главном окне, и выбрать один из возможных вариантов для копирования и вставки.

Варианты копирования и вставки внутри платформы.

Для копирования с помощью контекстного меню выделите текст и нажмите на него правой кнопкой мыши. В открывшемся меню выберите пункт «Копировать«.

В маскировщике клавиша клавишей Print Screen запрограммирована для прямого копирования. Этим способом можно копировать из файлов (.txt), в программах NOTEPAD и WordPad. Формат TXT является самым распространенным форматом хранения и передачи текстовых данных после doc. Большинство данных: ников, паролей, ссылок и другой частной информации, пользователи хранят именно в нём. Если ваши данные для копирования сохранены в другом формате, продублируйте их TXT.

Вставить скопированный текст можно стандартной комбинацией Ctrl+V или запрограммированной клавишей Insert.

Использовать контекстное меню, пункт «Вставить«, внутри платформы защиты не получится.

Прямое копирование текстов формата TXT производится нажатием кнопки Print Screen. При удачном копировании в главном окне COVERT Pro шкала внутренней памяти приложения станет зелёного цвета. Если текст не будет скопирован, шкала станет или останется белой.

Прямую вставку текста из внутренней памяти маскировщика можно производить в любое окно клавишей Insert. Если всё будет сделано правильно, появится скопированный текст и шкала внутренней памяти маскировщика при этом останется зелёным цветом.

Таким образом, применяя для передачи данных внутри платформы клавиши Print Screen и Insert, можно не использовать системный буфер обмена.

Дополнительную информацию можно получить в справке к программе, нажав на клавишу F1 в момент работы COVERT Pro.

Только для рассылки информации о новых версиях и шпионах