Connecteddevicesplatform что это за программа

Содержание

Время не ждет: чем Windows 10 Timeline может быть полезен криминалисту 01.07.2019 14:34

При расследовании инцидентов и вирусных атак для реконструкции событий, происходивших в компьютере пользователя, криминалисты часто используют различные виды таймлайна. Как правило, таймлайн представляет собой огромный текстовый файл или таблицу, в которой в хронологической последовательности содержится представленная информация о событиях, происходивших в компьютере.

Обработка носителей информации для подготовки таймлайна (например, с помощью Plaso) — это процесс, отнимающий много времени. Поэтому компьютерные криминалисты сильно обрадовались, узнав, что в очередном обновлении Windows 10 появился новый функционал — Windows 10 Timeline.

«Когда я впервые узнал о новой функции Windows, я подумал: «Здорово! Теперь не придется тратить время на генерацию таймлайнов». Однако, как оказалось, радость моя была преждевременна», — признается Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB. Специально для читателей «Хабра» Игорь рассказывает, какое отношение Windows 10 Timeline — новый вид артефактов Windows 10 — имеет к традиционным видам таймлайна и какие сведения в нем содержатся.

C++ перенос программы с консольного приложения на WinForms. (4. Объединяем frontend и backend)

Как уже было сказано, в апрельском обновлении 2018 года в Windows 10 появился новый функционал, называемый «Представление задач» (Windows 10 Timeline, или сокращенно Timeline). Он позволяет просмотреть активности пользователя компьютера и быстро вернуться к открывавшимся ранее документам и программам, к просматривавшимся ранее видео и картинкам, к веб-сайтам. Для того чтобы открыть Windows 10 Timeline, надо нажать на такую иконку:

После этого станут доступны миниатюры программ, документов и сайтов, открывавшихся в текущий день или некоторое время назад:

Исследователи отметили две особенности нового функционала:

открытие некоторых приложений не отображается в Timeline
часть данных из Timeline (более ранние данные) переносится в Microsoft Cloud

Таким образом, информация, которая может быть получена с помощью анализа Windows 10 Timeline, отличается от привычных экспертам видов таймлайнов, которые содержат более полную информацию о событиях, происходивших на анализируемом компьютере.

Windows 10 Timeline не надо путать с таймлайнами, создаваемыми криминалистическими утилитами. Например, таймлайны созданные Autopsy, Belkasoft Evidence Center, AXIOM, содержат значительно больше записей о различных действиях пользователя исследуемого компьютера по сравнению с Windows 10 Timeline.

Для активации Windows 10 Timeline пользователю компьютера необходимо перейти в раздел «Параметры» операционной системы, выбрать категорию «Конфиденциальность» и подкатегорию «Журнал действий», после чего установить галочки напротив:

разрешить Windows собирать мои действия с этого компьютера
разрешить Windows синхронизировать мои действия с этого компьютера в облако

Отслеживание между устройствами

Расположение криминалистических артефактов Windows 10 Timeline

В каталоге Users%profile name%AppDataLocalConnectedDevicesPlatform находится файл с расширением .cpd, в котором содержится информация о времени последней синхронизации Windows 10 Timeline с облаком (CNCNotificationUriLastSynced) и об ID пользователя (на иллюстрации это 0b5569b899437c21).

Вид каталога

Информация об активности пользователя в Windows 10 Timeline сохраняется в файле ActivitiesCache.db по пути: Users%profile name%AppDataLocalConnectedDevicesPlatformL.%profile name%.

Файл ActivitiesCache.db

Файл ActivitiesCache.db является базой данных SQLite (версии 3). Как и для любой базы данных SQLite, для него характерно наличие двух вспомогательных файлов ActivitiesCache.db-shm и ActivitiesCache.db-wal.

Дополнительная информация об удаленных записях может содержаться в неиспользуемом пространстве таблиц, freelists и wal-файле.

Анатомия Windows 10 Timeline

ActivitiesCache.db содержит следующие таблицы: Activity, Activity_PackageId, ActivityAssetCache, ActivityOperation, AppSettings, ManualSequence, Metadata. Наибольший интерес для исследователя представляют таблицы Activity_PackageId и Activity).

Таблица Activity_PackageId

В таблице Activity_PackageId содержатся записи для приложений, которые включают пути для исполняемых файлов (например, …c:programdatafirefly studioss tronghold kingdoms 2.0.32.1 strongholdkingdoms.exe…), имена исполняемых файлов, а также время истечения срока действия для этих записей. Значения в столбце Expiration Time хранятся в формате Epoch Time.

Записи в таблице Activity_PackageId хранятся в течение 30 дней и могут содержать информацию об исполняемых файлах или документах, которые уже отсутствуют на исследуемом жестком диске.

Таблица Activity

В таблице Activity имеются следующие поля: Id, AppId, PackageIdHash, AppActivityId, ActivityType, ActivityStatus, ParentActivityId, Tag, Group, MatchId, LastModifiedTime, ExpirationTime, Payload, Priority, IsLocalOnly, PlatformDeviceId, CreatedInCloud, StartTime, EndTime, LastModifiedOnClient, GroupAppActivityId, ClipboardPayload, EnterpriseId, OriginalLastModifiedOnClient, ETag.

Она содержит целых пять полей временных меток: LastModifiedTime, ExpirationTime, StartTime, EndTime, LastModifiedOnClient (это поле может быть пустым — оно заполняется, если файл, о котором идет речь в данной записи таблицы, был модифицирован пользователем компьютера).

В этой таблице также можно найти пути до исполняемых файлов: …«F:\NirSoft\x64\USBDeview.exe…
Гари Хантер (pr3cur50r) в статье «Windows 10 Timeline — Initial Review of Forensic Artefacts» указывает, что для удаленных файлов значения временных меток не изменяются. Для модифицированных документов значения временных меток изменяются не сразу, а в течение 24 часов.

Исследование Windows 10 Timeline

Самый простой способ просмотреть данные, содержащиеся в файле ActivitiesCache.db, — использовать просмотрщик баз данных SQLite. Например, бесплатную утилиту DB Browser for SQLite.

Перемещаясь по таблицам во вкладке Browse Data, можно просмотреть их содержимое и зафиксировать информацию, которая была бы интересна в ходе проведения конкретного исследования.

Вторая утилита, которую мы рекомендуем использовать, — WxTCmd (Windows 10 Timeline database parser). Эта утилита выполняется из командной строки.

В результате ее работы создается файл формата csv, содержащий результаты анализа файла ActivitiesCache.db.

Вид этого файла, открытого в Excel

Третья утилита, которую мы рекомендуем использовать, — AXIOM компании Magnet Forensics.

Для того чтобы программа проанализировала этот артефакт, необходимо указать программе сделать это разделе «Select artifacts to include in case».

Результаты анализа файла можно просмотреть в программе Magnet AXIOM Examiner.

Результаты извлечения данных из файла ActivitiesCache.db программой AXIOM

Четвертая утилита, которую мы рекомендуем использовать для анализа подобных файлов, — Belkasoft Evidence Center компании Belkasoft.

После добавления источника данных (жесткий диск, логический диск, каталог или файл) в окне Add data source, в разделе System Files, нужно выбрать Windows Timeline.

После окончания извлечения данных во вкладке Overview появится категория Windows Timeline, в которой будут отображены результаты извлечения данных из файла ActivitiesCache.db.

Как выглядят результаты извлечения данных

Windows 10 Timeline в компьютерной криминалистике: используем на практике

Данные, содержащиеся в Windows 10 Timeline, могут быть использованы при расследовании инцидентов или утечек данных.

В качестве примера мы покажем фрагмент данных из файла ActivitiesCache.db с компьютера, подвергшегося атаке хакеров:

Connecteddevicesplatform что это за папка и можно ли ее удалить

Продвинутые пользователи Windows часто обращают внимание на службу CDPUserSvc. Подозрение вызывает её название, которое может меняться за счёт добавления пяти случайно сгенерированных символов, например, «CDPUserSvc_30ebf». Так же многих настораживает отсутствие описания этой службы. Вместо него в диспетчере содержится ошибка «Error Code: 15100».

Что же делает служба CDPUserSvc

Отключаем CDPUserSvc

Чтобы отключить CDPUserSvc сначала узнаём точное название службы. Нажимаем кнопку «Пуск» и в строке поиска вводим «services.msc». Клик по Enter и откроется окно в котором ищем CDPUserSvc_xxxxx, где xxxxx — 5 сгенерированных случайным образом символов. Эти символы потребуются при вводе команд удаления.

Команды удаления пишем в консоль Windows. Запустить её необходимо от имени администратора, иначе попытка удаления приведёт к ошибке «Отказано в доступе». Поэтому заходим в системный каталог %SystemRoot%system32 (C:Windowssystem32) и ищем «cmd.exe». Для запуска с полными правами вызываем контекстное меню и выбираем команду «Запуск от имени администратора».

Вводим команды отключения и удаления. Кроме самой службы CDPUserSvc так же приходится отключать связанные с ней процессы, иначе после перезагрузки можем получить синий экран. Операционная система при этом запустит восстановление и ничего не удалится.

Перезагрузите компьютер, после чего в редакторе реестра найдите ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices и удалите в ней следующие ключи:

Внимание! Слышал о том что у некоторых после удаления службы Windows уходит в синий экран. Прошу Вас перед проделыванием данной операции создавать резервную точку восстановления!

Никакой ответственности за данные действия я не несу! Вы все делаете на свой страх и риск!

Время не ждет: чем Windows 10 Timeline может быть полезен криминалисту

Исследователи отметили две особенности нового функционала:

Расположение криминалистических артефактов Windows 10 Timeline

Файл ActivitiesCache.db

Анатомия Windows 10 Timeline

В таблице Activity_PackageId содержатся записи для приложений, которые включают пути для исполняемых файлов (например, …c:programdatafirefly studioss tronghold kingdoms 2.0.32.1 strongholdkingdoms.exe …), имена исполняемых файлов, а также время истечения срока действия для этих записей. Значения в столбце Expiration Time хранятся в формате Epoch Time.

Исследование Windows 10 Timeline

В результате ее работы создается файл формата csv, содержащий результаты анализа файла ActivitiesCache.db.

Третья утилита, которую мы рекомендуем использовать, — AXIOM компании Magnet Forensics.

Windows 10 Timeline в компьютерной криминалистике: используем на практике

Данные, содержащиеся в Windows 10 Timeline, могут быть использованы при расследовании инцидентов или утечек данных.

В качестве примера мы покажем фрагмент данных из файла ActivitiesCache.db с компьютера, подвергшегося атаке хакеров:

← Connecteddevicesplatform что за папка
Connecteddevicesplatform что это за папка →

Источник: neuroplus.ru

AppData: гайд – что за папка, как найти и отчистить

В ОС Windows есть скрытая папка AppData. В ней хранятся пользовательские параметры и другие данные, необходимые системным приложениям для их функционирования. Далее разберем, зачем она нужна, как ее найти и можно ли удалить.

Что за папка AppData?

В профиле каждой учетной записи Windows есть раздел AppData. Он нужен для того, чтобы файлы конфигурации приложений сохранялись в отдельном, защищенном месте. Кроме этого, в нем находятся:

Некоторые системные документы;
Закладки и кэш веб-браузера;
Временные файлы.

Если в ОС зарегистрирована только одна учетная запись, на диске будет только один каталог AppData. Но если компьютером пользуются несколько человек, у каждого из них в профиле будет своя директива AppData с персональными конфигурациями и параметрами.

Это было сделано для того, чтобы каждый пользователь мог использовать одно и то же приложение, но с разными параметрами. Например, если заходить в браузер с разных учетных записей Windows, у каждого профиля будет персональная история, расширения и настройки.

Системный каталог AppData по умолчанию скрыт. Разработчики Windows убрали эту папку из свободного доступа для того, чтобы неопытный пользователь случайно не удалил эту директорию. В ней хранятся не только данные приложений, но и ряд важных системных файлов.

Содержимое

Каталог имеет три вложенные папки:

Local: в ней находятся файлы, привязанные к текущему ПК. Они не синхронизируются с другими устройствами, находящимися в локальной сети. Документы оттуда невозможно переместить вместе с профилем пользователя, ничего не нарушив.
LocalLow: в директории содержатся данные приложений с «слабой интеграцией», которые запускаются с ограниченными настройками безопасности. Это могут быть временные файлы браузера или буферные данные.
Roaming: здесь хранятся важные файлы приложений и другие пользовательские параметры, которые могут перемещаться на синхронизированные устройства с помощью учетной записи пользователя. Также в папке содержаться данные браузеров, игровых профилей и прочих приложений.

Зачем нужна эта папка

После установки программы, ее основные файлы попадают в раздел Program Files (или в любой другой, указанный при инсталляции). После запуска приложения, пользователь обычно меняет параметры, настраивает интерфейс и выполняет другие необходимые действия. Все это также сохраняется, но только не в основную папку программы, а в специальный каталог в AppData.

Резюмируя, Windows использует отдельную директорию AppData для хранения информации о приложениях, файлы конфигурации, кэш, логи и прочее. Также в ней находятся временные файлы Windows, параметры ОС и другие служебные данные.

Такая опция в Windows имеет ряд преимуществ:

Легкость в управлении пользовательскими данными. Если на ПК создано несколько учетных записей, для каждой из них создается отдельная папка AppData. Это упрощает настройку конфигураций для приложений под определенного пользователя.
Безопасность приложений и программ. Раздельные директории для каждого профиля гарантируют, что пользователь не сможет получить доступ чужим данным. Таким образом, настройки и приватные файлы находятся под защитой.
Предотвращение утраты данных. Поскольку у каждого пользователя есть отдельный раздел AppData, настройки и конфигурации программ не будут удалены, если запустить приложение с другого профиля.

Как найти папку – способы

Когда у пользователя появляется необходимость открыть AppData, он переходит в раздел Users и обнаруживает, что нужный каталог в списке отсутствует. Это связано с тем, что он по умолчанию скрыт. Но есть несколько способов обойти это ограничение.

Способ 1 – через проводник

Чтобы открыть папку AppData, выполните следующие действия:

Запустите поисковик Windows. По умолчанию он находится на панели задач.
В поисковую строку скопируйте следующую команду: %AppData%, затем нажмите Enter.

Также получить доступ можно вручную:

Зажмите комбинацию клавиш Win+E, чтобы открыть проводник файлов.
На левой панели выберите «Этот компьютер».
Двойным кликом откройте локальный диск, на который установлена ОС.
Перейдите в папку «Пользователи».
В открывшемся списке выберете профиль учетной записи, с которой осуществился запуск.
Далее кликните по адресной строке и допишите к текущему пути AppData.

Внимание! В качестве альтернативы, чтобы быстро открыть AppData, можно просто вставить C:Users(сюда указать имя профиля)AppData в адресную строку проводника файлов.

Кроме того, чтобы перейти непосредственно в папку Roaming, вы можете ввести системную команду %APPDATA% в приложение Windows Run. Для этого нужно:

Нажмите сочетание клавиш Win+R, чтобы открыть приложение «Выполнить».
Как только появится небольшое окно, введите туда команду %APPDATA%, а затем кликните Enter.

На экране появится проводник файлов с открытым разделом Roaming.

Способ 2 – включить отображение скрытых папок

Как уже было сказано, каталог AppData по умолчанию скрыт. Однако в настройках можно включить отображение скрытых папок, после чего в проводнике будут отображаться все невидимые директории. Для этого вам необходимо:

Кликнуть клавиши Win+E, чтобы запустить проводник файлов.
На верхней панели окна открыть вкладку «Вид», затем выбрать «Параметры».
В открывшемся окне «Параметры папок», перейти во вкладку «Вид».
Откроется список «Дополнительные параметры». В самом низу будет пункт «Скрытые папки и файлы».
Установите флажок рядом с «Показывать скрытые файлы, папки и диски».
После этого не забудьте нажать «Применить», чтобы сохранить внесенные изменения.

Теперь можно просто зайти в свой профиль через проводник файлов, AppData будет отображаться в списке директорий.

Важно! Иногда из-за некоторых ошибок ОС, опция отображения скрытых папок работает некорректно.

Способ 3 – через командную строку

Если открыть папку AppData по каким-либо причинам не удалось, можно применить еще один дополнительный метод. Для этого вам нужно:

Кликнуть на кнопку поиска в меню «Пуск» и списать «cmd».
В результатах поиска появится «Командная строка», запустите ее от имени администратора, кликнув правой кнопкой мыши.
Как только откроется командная строка, скопируйте следующую команду: attrib -s -h C:UsersuserAppData (замените «user» на ваше название пользователя).
Нажмите Enter.

Можно ли удалить содержимое?

Поскольку раздел AppData скрыт, большинство пользователей даже не подозревает об его существовании. Если вам срочно нужно очистить место на диске, попробуйте удалить что-нибудь из другой, менее значимой папки. Очистка каталога может привести к сбросу всех настроек, связанных с программами и приложениями. Например, вы потеряете все данные браузера или параметры игр.

Также удаление папки AppData вызовет сбои в работе некоторых системных программ, что может повлиять на стабильность оперативной системы. Вообще, нужно быть очень осторожным при удалении любого раздела на системном диске.

Как удалить содержимое папки AppData

В каталог AppData сохраняется множество временных файлов и прочих бесполезных документов, которые занимают место на диске. Сам Windows не контролирует размер этой папки, что означает, что ее рост ничем не ограничен. Поэтому можно удалить некоторые данные в директории без какого-либо вреда для работы Windows.

Чтобы почистить папку AppData, воспользуйтесь стандартной утилитой очистки диска. Для этого выполните следующие действия:

Кликните клавиши Win+I, затем зайдите в раздел «Система».
В списке параметров слева, выберите раздел «Память».
Далее вам нужно нажать на системный диск.
Откройте вкладку «Временные файлы».
После этого начнется анализ данных. Как только он завершится, выделите все пункты и нажмите кнопку «Удалить файлы».

Если каталог все еще занимает слишком много места на диске, возможно не все временные файлы удалились. Вы можете попробовать удалить их вручную. Для этого нужно:

Кликнуть по клавишам Win+R.
В окне «Запустить» ввести команду %temp% и нажать enter.
После этого откроется папка временных файлов в разделе AppData.
Чтобы выделить все, зажмите Ctrl + A.
Удалить выделенное можно клавишей Delete.

Обратите внимание! Если компьютер завис при выполнении операции, стоит воспользоваться сторонним приложением для оптимизации памяти, например CCleaner или Advanced SystemCare.

Чтобы сэкономить место на системном диске, вы можете переместить некоторые разделы из папки AppData на другой жесткий диск. Это также поможет сохранить место на системном диске. Чтобы выполнить перенос, вам нужно:

Создать новую папку на стороннем носителе, например на диске D.
Далее зажмите кнопки Win + R и введите команду sysdm.cpl.
Откроется окно «Свойства системы», перейдите во вкладку «Дополнительно».
Внизу будет кнопка «Переменные среды», нажмите на нее.
Выберите TEMP и нажмите кнопку «Изменить».
В строке «Значение» укажите путь к ранее созданной папке на другом диске.
Повторите то же самое действие для TMP.

Если нет крайней необходимости, заходить в раздел AppData не стоит. Однако если вы получили к ней доступ, постарайтесь выполнять свои задачи там осторожно. Любое неправильное действие может привести к потере важных данных, либо к неполадкам работы ОС.

Как получить доступ к почте iCloud из любого браузера
Что делать, если не воспроизводится видео в браузере
Как поставить длинное тире в Word

Источник: geekon.media

Connecteddevicesplatform что это за программа

Виктор кинько
Распознавание образов

Одно из важных современных направлений в программном обеспечении — программы, обладающие компьютерным зрением. Данная технология позволяет анализировать информацию в изображениях и видео-файлах. Например, читать текст или обнаруживать расположение определенных объектов.

Для практического изучения данной технологии мной была поставлена задача определения кружки на фотографии. Для реализации было решено использовать android + OpenCV (http://opencv.org/). OpenCV — это библиотека компьютерного зрения с открытым исходным кодом, разработанная для С++, python, java и многих других языков. Она имеет множество функций, но нас интересует возможность обрабатывать изображения и проводить на них поиск объектов с помощью каскадного алгоритма Виолы-Джонса.

Алгоритм Виолы-Джонса — это метод обнаружения объектов на изображениях, основанный на признаках Хаара. Основные его особенности — высокая скорость работы и низкая частота ложных срабатываний. Изначально алгоритм был разработан для обнаружения лиц на изображениях, но его можно натренировать на обнаружение других объектов. Для своей работы он использует разбиения (splitting) изображения на области, оценку яркости в этих областях и отсечения областей, где классифицируемый объект однозначно не находится. Данный алгоритм реализован в openCV отдельной функцией, которой на вход требуется файл-классификатор, определяющий веса для работы алгоритма и изображение, на котором будет проводиться поиск.

Для тренировки классификатора я использовал программу Cascade-Trainer-GUI (http://amin-ahmadi.com/cascade-trainer-gui/), которая предоставляет оконный интерфейс для стандартных программ из набора OpenCV — opencv_createsamples и opencv_traincascade.

Интерфейс программы Cascade-Trainer-GUI

Процесс тренировки начинается с подготовки исходных данных. В качестве исходных данных выступают изображения, содержащие и не содержащие исходный объект. Изображения с объектом считаются позитивными и отправляются в папку p, а те, на которых объект отсутствует — негативными и помещаются в папку n. Стоит заметить, что позитивные изображения должны содержать только распознаваемый объект и ничего больше. Иначе придётся создать файл, который будет содержать координаты объекта на изображении.

opencv_createsamples — это программа, которая генерирует исходные файлы для opencv_traincascade. Негативы формируются по принципу нарезки: из негативной фотографии вырезается случайная область. Позитивы создаются путем помещения какого-нибудь позитивного изображения объекта на негативное, незначительных изменений яркости, поворота и перспективы

После создания этих изображений используется opencv_traincascade, которая принимает полученные образцы и на их основе определяет веса и пропускные пороги для каскадного классификатора. Веса должны быть подобраны так, чтобы сеть отвергала все негативные изображения и принимала все позитивные.

Но это только теория. На практике эти процессы осуществляет Cascade-Trainer-GUI, которому для начала работы требуется только две папки с фотографиями, одна из которых называется p, а другая n. В них хранятся позитивные и негативные образцы соответственно.

Для того, чтобы натренировать сеть, мне потребовалось 47 фотографий моего объекта с разным углом камеры, углом падения света, наклоном и яркостью. После этого я удвоил данное число путем зеркального отражения. Негативных фотографий было только 42, но с помощью нарезки изображений было создано 1000 негативных образцов. Часть негативных изображений для разнообразия была взята из интернета.

Положительные образцы из папки p

Отрицательные образцы из папки p

После подготовки данных настраиваем инструмент для тренировки. По большому счёту, большинство настроек не требуется менять, они уже установлены в оптимальные значения, но мне потребовалось изменить пару опций во вкладке train-cascade, а именно sample width и sample height. Эти опции задают пропорции для образцов, для области, которую классификатор будет впоследствии обнаруживать. И если оставить их как есть (обе равны 24 по умолчанию), то обнаруживаемая область будет квадратной. Так как кружка плохо вписывается в квадратную область, то я задал эти параметры равными 30 и 40 соответственно, что исходило из пропорций моих позитивных образцов.

Источник: bytepace.com

Время не ждет: чем Windows 10 Timeline может быть полезен криминалисту 01.07.2019 14:34

Расположение криминалистических артефактов Windows 10 Timeline

Файл ActivitiesCache.db

Анатомия Windows 10 Timeline

Исследование Windows 10 Timeline

Windows 10 Timeline в компьютерной криминалистике: используем на практике

Connecteddevicesplatform что это за папка и можно ли ее удалить

Что же делает служба CDPUserSvc

Отключаем CDPUserSvc

Время не ждет: чем Windows 10 Timeline может быть полезен криминалисту

Расположение криминалистических артефактов Windows 10 Timeline

Файл ActivitiesCache.db

Анатомия Windows 10 Timeline

Исследование Windows 10 Timeline

Windows 10 Timeline в компьютерной криминалистике: используем на практике

AppData: гайд – что за папка, как найти и отчистить

Что за папка AppData?

Содержимое

Зачем нужна эта папка

Как найти папку – способы

Способ 1 – через проводник

Способ 2 – включить отображение скрытых папок

Способ 3 – через командную строку

Можно ли удалить содержимое?

Как удалить содержимое папки AppData

Connecteddevicesplatform что это за программа

Для чего нужна программа компилятор

Программа смешанное белье для чего

Токси риск программа для чего

Программа аршин метрология для чего

Программа чек пфр для чего

Для чего предназначена программа стили

Для чего нужна программа тренажер

Для чего нужна программа apkpure