Рисунок 3. Результаты поиска файлов-контейнеров шифрованных дисков с использованием заданной сигнатуры

При работе с томами файловой системы NTFS будьте готовы к ситуациям, когда доступ с правами пользователя к некоторым подкаталогам будет запрещен (например, «System Volume Information», который размещается в корневом каталоге тома). Необходимо также учитывать то обстоятельство, что при значительных размерах дисков и большом количестве файлов поиск может выполняться достаточно продолжительное время.

Ярлыки

Информацию о пристрастиях пользователя можно почерпнуть при изучении файлов-ярлыков, которые формируются при различных обстоятельствах (будь то история работы с файлами Microsoft Office или раздел Recent). Для анализа достаточно обработать дату создания файла, являющегося ярлыком, и параметр TargetPath, в котором содержится информация о запускаемом файле.

Dim wshshell : Set wshshell = WScript.CreateObject("WScript.Shell")

Dim shortcut : Set shortcut = wshshell.CreateShortcut(fullnamefilelnk)

' Вывод информации с названием и полным путем к запускаемому файлу

WScript.Echo( shortcut.TargetPath )

Dim fso : Set fso=CreateObject("Scripting.FileSystemObject")

Dim filelnk : Set filelnk = fso.getfile(строка с полным названием файла-ярлыка)

' Вывод информации о дате создания файла-ярлыка

WScript.Echo( filelnk.DateCreated ) 

При этом может обнаружиться, что пользователь открывал файлы с дисков, которые в системе отсутствуют, что может свидетельствовать о наличии у пользователя сменного USB-накопителя или использовании секретного шифрованного диска.

Рисунок 4. Результаты поиска файлов-ярлыков в двух пользовательских каталогах

Документы Word

Возможности использования элементов ActiveX позволяют серьезно расширить область применения пользовательских программ на VBScript. Примером этому может стать описание подхода получения метаданных документов Microsoft Word. К слову сказать, за последние три года содержимое метаданных послужило поводом для ряда неприятных историй с крупными компаниями и даже государствами (случаи с досье правительства Британии о военном потенциале Ирака и исковым заявлением компании SCO).

Следующий пример демонстрирует возможность получения метаданных для документа Microsoft Word, а также позволяет отследить ситуации, когда документ зашифрован с использованием пароля.

On Error Resume Next

Dim wordapp : Set wordapp = WScript.CreateObject("Word.Application")

' Открываем файл fullnamefile с документом Word с паролем " "

Dim doc

Set doc = wordapp.Documents.Open(fullnamefile, _

                        False, _

                        blnReadOnly,_

                        False,

                        " ")

If Err.Number = 5408 then

' Обработка файла с документом Word, который имеет пароль

End if