محل نگهداری پسوردها در ویندوز (مرورگرها)
بعد از ثابت شدن قضیه شنود مایکروسافت در اسکایپ واقعا حس بدی بهم دست داد . از این به بعد می خوام تمام مشکلات مایکروسافت از امنیتی تا کاربری رو شرح بدم و بخشی با نام "ضد مایکروسافت" به سایت اضافه کردم ! برای اولین پست، امروز میخوام یه سری آدرس بهتون معرفی کنم . همانطور که میدونید همه نرم افزار ها در بخشی از ویندوز پسوردهای خودشون رو ذخیره میکنن که این آدرس ها مخفی هستند . اما امروز میخواهم آدرس محل ذخیره سازی بسیاری از نرم افزار های معروف را در اختیار شما دوستان بگذارم . همه نرم افزار هایی که با نام های Facebook Decryper و ... نوشته میشن که از همین آدرس ها برای نمایش پسوردها به صورت لوکال استفاده می کنند . برای اولین پست با این موضوع جذاب ترین بخش را انتخاب کردم ! در ابتدا آدرس ذخیره سازی پسورد ها و یوزرنیم ها در مرورگر ها را معرفی خواهم کرد . با استفاده از این آدرس ها شما می توانید به همه پسورد های ذخیره شده در همه مرورگرها در سیستم عامل ویندوز دست یابید .
مرورگر Avant
این مرورگر همه یورزنیم و پسورد ها رو در فایلی به نام Forms.dat در آدرس زیر ذخیره میکند :
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Avant Profiles\.default\formdata
[Windows Vista/Windows 7/Windows 8]
C:\Users\<user_name>\Appdata\Roaming\Avant Profiles\.default\formdata
Comodo Dragon که بر پایه پروژه Chromuim گوگل ساخته شده اطلاعات Login را در یک فایل Sqlite با نام Login Data در آدرس زیر ذخیره می کند :
[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Comodo\Dragon\User Data\Default
[Windows Vista/Windows 7/Windows 8]
C:\Users\<user_name>\Appdata\Local\Comodo\Dragon\User Data\Default
سبک کد گذاری این نرم افزار دقیقا مثل Google Chrome می باشد .
CoolNovo که خیلی ها Chrome Plus آن را صدا میزنند مانند مرورگر قبلی بر پایه گوگل کروم ساخته شده و مانند Comodo Dragon اطلاعات لاگین را در فایل Sqlite با نام Login Data در آدرس زیر ذخیره میکند :
[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\MapleStudio\ChromePlus\User Data\Default
[Windows Vista/Windows 7/Windows 8]
C:\Users\<user_name>\Appdata\Local\MapleStudio\ChromePlus\User Data\Default
سبک کد گذاری این نرم افزار نیز دقیقا مثل Google Chrome می باشد .
FireFox در نسخه 3.5 و قبل از آن اطلاعات Login را در فایلی با نام 'Signons.txt' در پروفایل فولدر خود ذخیره میکرد . بعد از ارائه نسخه 3.5 فایرفاکس داده های ورودی را در فایلی با فرمت Sqlite به نام 'signons.sqlite' ذخیره می نماید . فایل های ذخیره شده در signons.sqlite با متد Triple-DES که از روش معروف Base-64 پیروی می کند کد گذاری شده اند . آدرس فولدر ذخیره سازی و پروفایل فایرفاکس :
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Mozilla\Firefox\Profiles\<random_name>.default
[Windows Vista/Windows 7/Windows 8]
C:\Users\<user_name>\AppData\Roaming\Mozilla\Firefox\Profiles\<random_name>.default
فایرفاکس قسمتی با نام Master Password دارد که کاربرهای خیلی زیادی از آن استفاده میکند ! خلاصه ذکر میکنم که Master Password در فایل Key3.db در پروفایل فایرفاکس ذخیره شده است .
Flock Browser هم بر پایه گوگل کروم ساخته شده و همه شرایط این مروگر مانند گوگل کروم و مرورگرهایی است که بر پایه آن نوشته شده اند .
[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Flock\User Data\Default
[Windows Vista/Windows 7/Windows 8]
C:\Users\<user_name>\Appdata\Local\Flock\User Data\Default
Google Chrome همه اطلاعات ورودی خود را در فایلی به نام 'Web Data' با فرمت Sqlite ذخیره می کند و شایان ذکر است که در نسخه های جدید نام این فایل به 'Login Data' تغییر یافته است . در زیر آدرس دایرکتوری پروفایل گوگل کروم به صورت پیش فرض را مشاهده می کنید :
[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Google\Chrome\User Data\Default
[Windows Vista/Windows 7/Windows 8]
C:\Users\<user_name>\Appdata\Local\Google\Chrome\User Data\Default
Internet Explorer پسورد ها را به دو صورت ذخیره می نماید . HTTP basic authentication روش اول است که پسوردهای پروکسی های عمومی و روتر ها را ذخیره می نماید . اینترنت اکسپلورر قبل از ارائه نسخه 7 همه پسورد ها را به همین روش HTTP basic authentication ذخیره سازی می کرد در این روش اطلاعات ورودی را در فایلی به نام 'Protected Storage' در آدرس زیر در رجیستری ذخیره می نماید :
HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider
بعد از نسخه 7 کاربران اینترنت اکسپلورر نیاز به روش جدیدی داشتند . بنابراین مایکروسافت یوزرنیم و پسورد ها را به همراه آدرس وب سایت آن ها به صورت Hash شده (کدگذاری شده) در آدرس زیر ذخیره سازی کرد :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
و بعد از آن مایکروسافت برای مرورگر خود روش خود را نزدیک به دیگر مرورگر ها کرد و اطلاعات ورودی را در فایلی داخل سیستم عامل به نام Credentials store در آدرس زیر ذخیره سازی نمود :
[Windows XP]
C:\Documents and Settings\[username]\Application Data\Microsoft\Credentials
[Windows Vista/Windows 7/Windows 8]
C:\Users\[username]\AppData\Roaming\Microsoft\Credentials
Maxthon تا نسخه 3.1.7.1000 همه اطلاعات Login را در فایلی با نام "MagicFill2.dat" در آدرس زیر ذخیره می کند :
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Maxthon3\Users\<user_name>\MagicFill
[Windows Vista/Windows 7/Windows 8]
C:\Users\Administrator\AppData\Roaming\Maxthon3\Users\<user_name>\MagicFill
این مرورگر اطلاعات خود را در این فایل با الگوریتم ناشناسی کد گذاری می کند و در حال حاضر اطلاعاتی در رابطه با نحوه کدگذاری این فایل و کدگشایی آن به صورت عمومی موجود نیست .
Opera اطلاعات ورودی را در فایلی با فرمت Magic Wand File در فایلی با نام 'Wand.dat' در دایرکتوری پروفایل خود ذخیره می نماید . آدرس ذخیره سازی پروفایل این مرورگر در نسخه های مختلف تغییر یافته است :
For Opera Version 10 and above
[Windows NT/2K/2k3/XP]
C:\Documents and Settings\<username>\Application Data\Opera\Opera\wand.dat
[Windows Vista/Windows 7/Windows 8]
C:\users\<username>\AppData\Roaming\Opera\Opera\wand.dat
For Opera Version less than 10
[Windows NT/2K/2k3/XP]
C:\Documents and Settings\<username>\Application Data\Opera\Opera\profile\wand.dat
[Windows Vista/Windows 7/Windows 8]
C:\users\<username>\AppData\Roaming\Opera\Opera\profile\wand.dat
این فایل User Name ، Password و اطلاعات وب سایت ها را ذخیره می کند . شایان ذکر است که این فایل با الگوریتم Triple-DES کد گذاری شده است .
Safari (مرورگر apple) از فرمت خیلی سنگینی برای کد گذاری و ذخیره سازی اطلاعات برای ورود امن به وب سایت ها استفاده می نماید . پسورد ها و اطلاعات دیگر در فایلی با نام 'keychain.plist' در آدرس زیر ذخیره می شود :
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Apple Computer\Preferences
[Windows Vista/Windows 7/Windows 8]
C:\Users\<user_name>\Appdata\AppData\Roaming\Apple Computer\Preferences
این نرم افزار از روش binary Property List format برای امن سازی فایل خود استفاده می کند که این روش در مکانیزم Apple استفاده می شود و اطلاعات وب سایت ها از قبیل : اسم سرور ، آی |ی ، آدرس سایت ، یوزرنیم و پسود ها و ... در این فایل موجود است .
SeaMonkey مرورگری است که بر پایه Mozilla ساخته شده و روش کدگذاری و ذخیره سازی آن نیز همانند فایرفاکس است . این نرم افزار اطلاعات را مانند فایرفاکس در فایلی با نام 'signons.sqlite' در آدرس زیر ذخیره می نماید :
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Mozilla\SeaMonkey\Profiles\<random_name>.default
[Windows Vista/Windows 7/Windows 8]
C:\Users\<user_name>\AppData\Roaming\Mozilla\SeaMonkey\Profiles\<random_name>.default
بسیار خوب ، فکر می کنم مرورگر ها به پایان رسیدند . بنده پاسخگوی همه سوالات شما حتی در مراحل کد گشایی فایل ها برای همه مرورگر ها هستم . اگر سوالی بود در قسمت نظرات همین پست می توانید بپرسید و پاسخ آن را دریافت نمایید . به زودی نرم افزار های کدگشایی همه مرورگر های فوق الذکر برای دانلود به صورت رایگان قرار داده می شود .
در پست بعدی این موضوع به افشای رازهای ذخیره سازی مسنجر ها در ویندوز می پردازم .
موفق و پیروز باشید
پست خوبی بود و لازم به نظر می رسید، البته برنامه هایی هم نوشته شدن که به صورت خودکار اینارو بیرون می کشن. (اینو هم گفتم که یه چیزی گفته باشم!)