Ventanas Alternate Data Streams

 

Introducción b>

Cualquier persona que está en el campo de la seguridad debe saber acerca de Windows Alternate Data Streams, también conocido como ADS. Aunque no es muy publicitado, carecen de este poco conocido atributo del sistema de archivos NTFS de Windows puede afectar a cómo resolver un problema en los future.ADS se introdujeron en el sistema de archivos NTFS de Windows a partir de Windows NT 3.1. ¿Esta característica? se puso en práctica con el fin de permitir la compatibilidad con el archivo de Macintosh Sistema jerárquico (HFS). En resumen, el sistema de archivos Macintosh almacena sus datos en dos partes, el tenedor de recursos y el tenedor de datos. El tenedor de datos es donde los datos son en realidad contenida y el tenedor de recursos se utiliza para indicar al sistema operativo cómo utilizar la parte de datos. Ventanas hace una cosa similar a través de extensiones como .bat, .exe, .txt, .html. Estas extensiones indican al sistema operativo cómo utilizar los datos particulares que se encuentran en las ventanas files.For para ser compatible con el sistema de archivos de Macintosh, introdujeron secuencias de datos alternativas. Esta corriente oculta se usa como se utilizó el tenedor de recursos; para indicar al sistema cómo utilizar los datos contenidos en los DDP file.Though fue creado para la compatibilidad con el mundo Mac, no se utiliza únicamente para ese fin. Muchas aplicaciones utilizan ADS para almacenar atributos de un archivo en ellos. Por ejemplo si haces un documento de texto y, haga clic derecho y entra en sus propiedades, verá una página de resumen. Esta información resumida se adjunta al archivo mediante ADS. Yo te mostraré más en que las aplicaciones posteriores y para ver este resumen information.In, pensar en ADS como archivos ocultos que se adjuntan a las visibles. La razón principal por la que son tan peligrosos es que no son bien conocidos, por lo general están ocultos al usuario, y que hay pocos programas de seguridad que pueden reconocerlos. Programas para ver los anuncios b> Antes de continuar quiero por mencionar algunos, no todos, los programas que se pueden utilizar para ver la ADS. Esto es por lo que a medida que lee este tutorial, y sigue algunos ejemplos, en realidad se puede ver los archivos de ADS que son programas creating.The son los siguientes: Chavales – http://www.heysoft.de/Frames/f_sw_la_en.htmADSSpy < b> ¿Cómo hacer un ADS b> Desde un símbolo del sistema, el siguiente es un ejemplo de cómo hacer un ADS: C: prueba> echo «ADS» test.txt >: hidden.txt b> Un nuevo ADS acaba de ser creada con el nombre hidden.txt y se adjunta al archivo test.txt. El archivo de ADS se muestra después de la: y: debe ser utilizado cuando se añade un ADS.If haces un DIR en ese directorio único que se ve es el archivo normal.

EL_0

Por otro lado si se ejecuta LADS, se puede ver los anuncios, hidden.txt 9, que se adjunta al archivo test.txt.

EL_1

Si quería ver el hidden.txt ADS, o añadir información a ella, basta con ejecutar el bloc de notas para abrir el ejemplo file.For: C: test> Bloc de notas test.txt: hidden.txt b > Esto abrirá el archivo en el bloc de notas y le permitirá editarlo y guardarlo it.You también puede utilizar el bloc de notas para crear un archivo de ADS. Sólo tienes que escribir: C: test> Bloc de notas another.txt: ads.txt b> Bloc de notas se iniciará y decir que este archivo no existe y le gustaría crearlo. Se podría decir que sí, y luego introduzca la información y guardarla. Este método acaba de crear un nuevo ADS llamados ads.txt.ADS archivos no tienen que ser conectado a un archivo, pero también se puede conectar un directorio. Esto causa un problema al crear un ADS contra una raíz de un disco duro, ya que hace que sea imposible de eliminar los anuncios a menos que vuelva a formatear. Si alguien sabe de un programa que puede solucionar este problema, por favor me deje know.Here es un ejemplo de cómo hacer un ADS contra un directorio: C: test> echo test>: hidden.txt b> comando se ha unido a un ADS el propio directorio. LADS correr para ver los anuncios adjuntos al directorio. ¿Qué es tan perjudicial sobre esto? B> ¿Qué pasaría si te dijera que la ADS también se pueden utilizar con los archivos ejecutables? Esa es la derecha, anuncios de archivos que sean ejecutables se puede conectar a cualquier archivo adjuntado al igual que los archivos .txt, y al igual que los archivos de texto, se oculta a la mayoría software.Here es un ejemplo: C: test> Tipo c: windows notepad.exe > ads.txt: hidden.exe b> ahora ha creado un archivo llamado ADS hidden.exe y unido a la ads.txt archivo de texto. Una vez más, si DIR directorio que acaba de ver ads.txt, y no hidden.exe. Ejecutar LADS, y verá la ADS.There es una advertencia para el lanzamiento de los archivos ejecutables que son archivos de ADS. Siempre debe utilizar el comando START para poner en marcha el ADS ejecutable y siempre hay que usar la ruta completa del archivo. Estos son algunos ejemplos de órdenes de trabajo y de no trabajo commands.I primero hará mis ADS ejecutable: C: test> Tipo C: windows notepad.exe > ads.txt: np.exe b> los comandos que no ejecuta el ejecutable ADS np.exe: C: prueba> ads.txt: np.exeThe nombre de archivo, nombre de directorio o etiqueta del volumen es incorrect.C: prueba> c: prueba anuncios .txt: np.exeThe nombre de archivo, nombre de directorio o etiqueta del volumen es incorrect.:C:test>start ads.txt: np.exeAccess se negó b> el comando que va a lanzar el ejecutable:. C: test> start c: prueba ads.txt: np.exe b> Como se puede ver, debe utilizar la ruta completa de los ADS archivo ejecutable ¿Cómo eliminar los anuncios de archivos b. > archivos de anuncios no son particularmente difíciles de eliminar, pero pueden causar problemas. Con el fin de eliminar un ADS adjunta a un archivo, basta con borrar el archivo. Digamos por ejemplo que usted tiene un archivo llamado number.txt y no había un ADS adjunto llamado hidden.txt. Usted quiere deshacerse del archivo hidden.txt, pero mantener la información en number.txt, por lo que el fin de eliminar number.txt.In simplemente no puede hacer esto usted haría algo como lo siguiente: C: test > s number.txt temp.txtC: test> tipo temp.txt > number.txtC: test> del temp.txt b> con el fin de archivos ADS de eliminación que se adjuntan a un directorio, es necesario eliminar la directorio. Esto puede causar un problema importante si los anuncios se une a la raíz de un disco duro. Puesto que no puede eliminar los anuncios de esta manera a menos que formatear la unidad, se puede hacer esto para deshacerse de la información no deseada en el archivo de ADS C:. Test> eco vacío > filler.txtC: test> Tipo filler.txt >: badads.txt b> actualización – 11/11/04

Desde que escribí este tutorial ha habido un par de programas de malware que han sido liberados de infectar su máquina utilizando archivos de datos alternativa Stream . Debido a esto se han producido mejoras en el software disponible para eliminar este tipo de programas desde su ordenador. Un programa que va a buscar archivos de anuncios en su computadora y luego proporcionar una lista que se puede extraer es ADSSPY. Usted puede encontrar un enlace a que por debajo de programa:

ADSSPY Enlace de descarga

Otros Usos para la ADS b> En el principio he dicho que hay otros usos para los archivos de ADS. Ciertos archivos de Windows tienen una ficha resumen en sus propiedades. Un ejemplo de esto es .txt documentos. Si crea un nuevo documento .txt, y haga clic derecho sobre él y seleccione resumen, se puede llenar en algunos información adicional a la información se guarda como ADS archivos adjuntos al documento. Por ejemplo, tenemos un archivo llamado readme.txt. Si entro en la sección de resumen y entro en mi nombre en el campo Título y pulse OK, esa información se guardará como un ADS.You puede ver esto como sigue: C: test> ladsLADS – directorio freeware versión 3.21Scanning C: anuncios de prueba tamaño de archivo ———- ——————————- –11 C: test : hidden.txt120 C: test readme.txt:? Resumen b> Information0 C: test readme.txt: {4c8cc155-6c1e-11d1-8e41-00c04fb9386d } 131 bytes 3 ADS enumerados b> Resumen b> Como se puede ver anuncios definitivamente puede ser utilizado para mucho más de lo que se esperaba cuando Microsoft introdujo ellos. Tienen los usos legítimos, pero sin duda se pueden utilizar para más oscuro Resumen intentions.In aquí están las razones por las ADS pueden ser considerados malos: – Hay algunos programas que detectan ADS.- ADS Extracción puede ser difficult.- Explorer y Dir al determinar espacio libre no calcular el espacio utilizado por ADS.- Usted puede ocultar un archivo ejecutable como un ADS Créditos:. Demasiadas fuentes lo largo de los años, pero la gente en NTBugtraq, Heysoft. Enfoque de Seguridad, DiamondCS, que es crucial, y los otros escritores de los anuncios tutoriales merecen una mención. Hay algunos excelentes artículos sobre ningún resultado a través de Google que hacen un trabajo mucho mejor de lo que en la explicación de la ADS. Yo recomendaría que eche un vistazo b> –Lawrence AbramsBleeping Informática Avanzada Microsoft ConceptsBleepingComputer.com:. Soporte y equipo tutoriales para el usuario de la computadora comienza.