Innledning
Alle som er i sikkerhet arena bør vite om Windows alternativ dataflyt, ellers kjent som ADS. Selv om ikke sterkt publiserte, kan mangel på dette lite kjent egenskap av Windows NTFS-filsystemet påvirke hvordan du løser et problem i fremtiden. ADS ble introdusert i Windows NTFS-filsystemet som starter i Windows NT 3.1. Dette? Funksjonen? ble iverksatt for å tillate kompatibilitet med Macintosh Hierarkisk File System (HFS). I korte trekk, lagrer Macintosh filsystemet sine data i to deler, den ressurs gaffel og data gaffel. Dataene gaffel er der dataene faktisk inneholdt og ressurs gaffel brukes til å fortelle operativsystemet hvordan du kan bruke datadelen. Windows gjør en lignende ting gjennom utvidelser som .bat, .exe, TXT, HTML. Disse utvidelsene forteller operativsystemet hvordan du bruker bestemte data som finnes i filene. For vinduer for å være kompatibel med Macintosh-filsystemet, introduserte de alternative datastrømmer. Denne skjulte strømmen blir anvendt som kilde gaffel ble anvendt; å fortelle systemet hvordan å bruke dataene i filen. Selv om ADS ble opprettet for kompatibilitet med Mac-verden, er det ikke utelukkende brukt til dette formål. Mange programmer bruker ADS å lagre egenskapene til en fil i dem. For eksempel hvis du gjør et tekstdokument, og høyreklikk og gå inn i dens egenskaper vil du se et sammendrag side. Dette sammendraget informasjonen er knyttet til filen via ADS. Jeg vil vise deg mer om det senere og programmer for å se denne informasjonen. I sammendraget, tenk på ADS som skjulte filer som er knyttet til de synlige seg. Den viktigste grunnen til at de er så farlige er at de ikke er godt kjent, er vanligvis skjult for brukeren, og at det er få sikkerhetsprogrammer som kan gjenkjenne dem. Programmer for å vise ADS På den annen side hvis du kjører LADS, kan du se ADS, hidden.txt 9, festet til test.txt filen Hvis du ønsker å se ADS hidden.txt, eller legge til informasjon i det, bare kjøre notepad for å åpne filen. For eksempel: C: \\ test > notepad test.txt: hidden.txt Siden jeg skrev denne opplæringen det har vært noen malware programmer som har blitt utgitt for å infisere maskinen ved hjelp Alternate data Stream filer. På grunn av dette har det vært forbedringer i programvaren tilgjengelig for å fjerne disse typer programmer fra datamaskinen din. Et program som vil søke etter ADS filer på datamaskinen, og deretter gi en liste som du kan fjerne er ADSSPY. Du kan finne en link til det programmet nedenfor: ADSSPY Download Link Andre bruksområder for ADS
Før jeg fortsetter vil jeg nevne noen, ikke alle, programmer som kan brukes til å vise ADS. Dette er slik at du leser denne opplæringen, og følger noen eksempler, kan du faktisk se annonsene filene du oppretter. Programmene er som følger: Lads - http://www.heysoft.de/Frames/f_sw_la_en.htm ADSSpy Hvordan lage en ADS
Fra en ledetekst, er følgende en eksempel på hvordan å gjøre en ADS: C: \\ test > echo " ADS " ≫ test.txt: hidden.txt
En ny ADS har nettopp blitt opprettet kalt hidden.txt og festet til filen test.txt. ADS-filen vises etter: og: må brukes når du legger til et ADS. Hvis du gjør en DIR i den katalogen alt du ser er det vanlig fil
C:. \\ Test > dir Volum i stasjon C har ingen etikett. Volumserienummer er B889-75DB Directory of C: > test10 /22/2003 11:22
C:. \\ test > ladsLADS - Freeware versjon 3.21 (C) Copyright 1998-2003 Frank Heyne programvare (http://www.heysoft.de) Dette programmet en liste over filer med alternative datastrømmer (ADS) Bruk gutter på din egen risiko Scanning katalogen C: \\ test \\ størrelse ADS i fil ---------- ------------- -------------------- 8 C: \\ test \\ test.txt: hidden.txt 8 byte i 1 ADS oppført
Dette vil åpne filen i notepad og tillater deg å redigere den og lagre den. Du kan også bruke notepad til å lage en ADS-fil. Bare skriv: C: \\ test > notepad another.txt: ads.txt
Notepad vil lansere og si denne filen finnes ikke, og ønsker du å lage den. Du vil si ja, og deretter skrive inn informasjonen og lagre den. Denne metoden har nettopp opprettet en ny ADS kalt ads.txt. ADS-filer trenger ikke å være knyttet til en fil, men kan også være knyttet en katalog. Dette fører til et problem når du oppretter en ADS mot et rot av en harddisk som det gjør det umulig å fjerne annonsene med mindre du formaterer. Hvis noen vet om et program som kan fikse dette, vennligst gi meg beskjed. Her er et eksempel på hvordan å gjøre en ADS mot en katalog: C: \\ test > echo test > : Hidden.txt
Denne kommandoen har nå festet et ADS til katalogen selv. Kjør LADS å se ADS knyttet til katalogen. Hva er så skadelig om dette?
Hva hvis jeg fortalte deg at ADS kan også brukes med kjørbare filer? Dvs rett, kan ADS filer som er kjørbar kobles til hvilken som helst fil akkurat som du festet .txt filer, og akkurat som tekstfiler, vil bli skjult fra de fleste programvare. Her er et eksempel: C: \\ test > skriver du inn c: \\ windows \\ notepad.exe > ads.txt: hidden.exe
Du har nå opprettet en ADS fil som heter hidden.exe og festet det til tekstfilen ads.txt. Igjen, hvis du Dir katalogen vil du bare se ads.txt, og ikke hidden.exe. Kjør LADS, og du vil se annonsene. Det er en påminnelse til å lansere kjørbare filer som er annonser filer. Du må alltid bruke START-kommandoen for å starte ADS kjørbar, og du må alltid bruke hele banen til filen. Her er noen eksempler på arbeids kommandoer og ikke-arbeids kommandoer. Jeg vil først gjøre mitt ADS kjørbar: C: \\ test > skriver du inn c: \\ windows \\ notepad.exe > ads.txt: np.exe
Kommandoer som ikke starter np.exe ADS kjørbar: C: \\ test > ads.txt: np.exe Filnavnet, mappenavnet eller volumetiketten syntaksen er feil. C: \\ test > c: \\ test \\ ads.txt: np.exe Filnavnet, mappenavnet eller volumetiketten syntaks er feil .: C:. \\ Test > starte ads.txt: np.exe Access is denied
kommandoen som vil lansere den kjør: C: \\ test > start c: \\ test \\ ads.txt: np.exe
som du kan se, må du bruke hele banen til ADS kjørbar fil. Hvordan slette ADS filer
ADS-filer er ikke spesielt vanskelig å slette, men de kan forårsake problemer. For å slette en ADS festet til en fil, bare slette filen. La oss si for eksempel at du har en fil som heter number.txt og det var en ADS festet kalt hidden.txt. Du ønsker å bli kvitt den hidden.txt filen, men beholde info i number.txt, slik at du bare kan ikke slette number.txt. For å gjøre dette vil du gjøre noe sånt som følgende: C: \\ test > ren number.txt temp.txt C: \\ test > typen temp.txt > number.txt C: \\ test > del temp.txt
For å slette annonser filer som er knyttet til en katalog, må du slette katalogen. Dette kan føre til et stort problem hvis ADS er festet til roten av en harddisk. Siden du ikke kan slette ADS på denne måten, med mindre du formatere harddisken, kan du gjøre dette for å bli kvitt uønsket informasjon i ADS-filen. C: \\ test > ekko tom > filler.txt C: \\ test > typen filler.txt > : Badads.txt
Update - 11/11/04
I begynnelsen nevnte jeg at det er andre bruker for ADS-filer. Enkelte filer i Windows har et sammendrag fane i sine eiendommer. Et eksempel på dette er .txt dokumenter. Hvis du oppretter en ny txt dokument, og høyreklikk på den og velg sammendraget, kan du fylle ut litt informasjon. Denne informasjonen er lagret som ADS-filer knyttet til dokumentet. For eksempel har vi en fil som heter readme.txt. Hvis jeg går inn i sammendraget delen og skriv navnet mitt inn i Tittel-feltet og trykk OK, vil denne informasjonen bli lagret som et ADS. Du kan se dette på følgende måte: C: \\ test > gutter LADS - Freeware versjon 3.21 Scanning katalogen C: \\ test \\ størrelse ADS i fil ---------- -------- ------------------------- 11 C: \\ test \\: hidden.txt 120 C: \\ test \\ readme.txt: SummaryInformation 0 C: \\ test \\ readme.txt: {4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 131 bytes i 3 ADS oppført
Sammendrag
Som du ser ADS kan definitivt brukes til mye mer enn det som ble regnet med da Microsoft introduserte dem. De har de legitime bruksområder, men kan definitivt brukes til mørkere intensjoner. I sammendraget her er grunnene til at ADS kan antas å være dårlig: - Det er få programmer som gjenkjenner ADS. - Fjerning av ADS kan være vanskelig. - Explorer og Dir ved fastsettelse ledig plass ikke beregne plassen som brukes av ADS. - Du kan skjule en kjørbar som en ADS. Studiepoeng: For mange kilder gjennom årene, men folk på NTBugTraq, Heysoft. Security Focus, DiamondCS, Crucial, og de andre forfatterne annonser tutorials fortjener omtale. Det er noen gode artikler om ADS funnet via google som gjør en mye bedre jobb enn jeg forklare ADS. Jeg vil anbefale deg å ta en titt Anmeldelser - Lawrence Abrams piper Computer Avansert Microsoft Concepts BleepingComputer.com. Computer Support & Guider for begynnelsen datamaskin brukeren.