I en anden tidligere artikel havde vi set et lille trick til at skjule filer inde i et foto med .jpg-udvidelsen.
I dette tilfælde var alt, hvad der blev gjort, at oprette et Winrar-arkiv inde i billedfilen med hvad du vil inde.
Størrelsen på denne .jpg-fil bliver klart større, afhængigt af hvor mange filer der er, og for at åbne den skal du blot "Åbn med .." og vælge Winrar.
Men vira skjuler sig ikke sådan, ikke kun ville det være let at finde det, men et .rar-arkiv er helt ufarligt, åbner ikke noget i hukommelsen og aktiverer ikke nogen proces.
De kaldes ADS ( Alternate Data Stream ) de filer, der er skjult i en anden fil, uden at ændre dens størrelse og forblive helt skjult fra Windows-visningen .
Når du åbner og kører en fil, der indeholder en ADS, aktiveres den ADS og starter programmet under den.
I denne artikel kan vi se, hvordan du nemt kan oprette en ADS med din pc og skjule enhver fil i en anden, så når du kører ADS'en, aktiveres den på sin plads.
1) Åbn Windows Stifinder, gå til disk C: og opret en ny mappe, som vi kan kalde "Annoncer".
2) Inde i, for at teste eksperimentet, skal du oprette en ny tekstfil og kalde den "test.txt" og kopiere ethvert foto eller billede, der er på computeren, og som kan omdøbes til immagine_test.jpg.
3) Åbn kommandoprompten, der findes i Star -> Programmer -> Tilbehør eller ved at gå til Start -> Kør -> og skriv " cmd "
4) Skriv nu cd \ annoncer for at åbne via mapper den mappe, der er oprettet før.
5) For at oprette et elementært ADS og begynde at forstå, hvad de er, kan du skrive " ekko Ciao bello> test.txt: testonascosto.txt "; kan du bemærke, at der ikke er føjet nogen filer til annoncemappen.
6) Skriv på prompten " notepad test.txt: testonascosto.txt ", og som om det magisk åbner notepad med teksten skrevet før; faktisk er der skrevet noget skrevet, der forbliver usynlig på computeren undtagen ved at udføre denne type kommando.
Hvis nysgerrigheden begynder at kildre den hackerånd, der er i hver af os, lad os gå videre og se, hvad der ellers kan gøres.
7) Hvis skjul af en tekst kun kan bruges af CIA-spioner, kan en hacker tænke på at bruge denne teknik til at skjule en dårlig fil i en god.
For at udføre et praktisk eksperiment kan du kopiere calc.exe-filen i mappen Annoncer, som findes i Windows-systemmappen og bruges til at åbne den normale lommeregner.
For at kopiere filen til mappen Annoncer skal du bare skrive " kopi C: \ windows \ system32 \ calc.exe c: \ ads " på kommandoprompten.
8) Nu kan du indsætte den image_test.jpg-fil, som vi havde taget før, og som stadig skulle være inde i mappen Annoncer, inde i calc.exe-filen.
For at gøre denne infiltration skal du skrive i det sorte DOS-vindue, at vi indtil nu aldrig har lukket: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Resultat: Hvis du starter filen calc.exe, sker der ikke noget underligt; Hvis du starter med at beregne filen calc.exe ved at skrive sådan: start ./calc.exe : immagine_test.jpg eller start C: \ ads \ calc.exe: immagine_test.jpg (det tager altid hele stien), det åbnes 'valgt billede før og ikke lommeregneren; Hvis du sletter image_test-filen fra mappen Annoncer, ændres resultatet ikke.
Dette betyder, at jpg-filen er blevet skjult inde i calc.exe-filen, den er ikke længere synlig, størrelsen på calc.exe er uændret, og der er intet, der signaliserer tilstedeværelsen af datastrømmen.
I modsætning til den metode, der blev brugt med Winrar, er der denne gang ikke noget arkiv, og den skjulte fil aktiveres og udføres, når værten startes, ved at klikke på filen calc.exe fra den åbne mappe, billedet vises ikke.
Du kan også skjule filer i en mappe, der ser ud til at være forkert tom.
10) Du kan oprette en ny mappe inde i Annoncer og kalde den Ads2 derefter fra Dos, skrive cd Ads2 og skrive kommandoen " type c: \ ads \ calc.exe>: pippo.exe "; filen calc.exe findes i Ads2-mappen, men du kan ikke se den, hverken med kommandoen " dir ", der viser filerne i bibliotekerne, eller ved at gå væk med at udforske ressourcer med den normale grafiske grænseflade.
Dette er temmelig gamle tricks, men som mange er ukendte også, fordi de faktisk ikke har et reelt værktøj, i det mindste for normale brugere; de er de dårlige hackere, der udnytter dem og tidligere har gjort meget skade ved hjælp af datastrømme.
Faktisk, idet han forestillede sig, at i vores eksempel ovenfor, i punkt 8, i stedet for en normal og ufarlig billedfil, havde han gemt sig i lommeregneren, en rigtig virus, ville det være smerte.
Hvis den virkelige virus derefter kalder sig selv, for eksempel svchost.exe, der er til stede flere gange i task manager, ville det være virkelig svært at finde.
Det slutter ikke her, fordi en ekspert-hacker ved, at programmer som regnemaskinen eller notepad altid er i stien C: \ Windows \ System32, derfor kan det potentielt gå til at ødelægge denne fil uden at skulle oprette noget nyt.
Uden ubehagelige vira kunne du stadig skjule en 10 GB-fil i en 10 Kbyte, og uden at forstå hvorfor, kunne du finde dig selv med pc'en låst og uden mere plads.
Heldigvis overvindes disse sikkerhedsproblemer stort set, antivirus finder skjulte vira i farten, og det er ganske usandsynligt at lide et sådant angreb, hvis du er beskyttet.
Den eneste anbefaling, jeg er nødt til at fremsætte, er, at i betragtning af den lethed, som du kan oprette en ondsindet fil på denne måde, ville det være tilfældet ikke at acceptere filer fra fremmede, måske sendt via MSN eller pr. Post, selvom dette var fotos, billeder, musik, tekstfiler eller andet.
Til optagelsen fungerer ADS kun på NTFS-diskpartitioner og ikke på FAT32 for at slette en ADS-fil kan du enten slette den, der er vært for den ved at slette den eller flytte den til en FAT32-partition.
Der er værktøjer, der kan identificere datastrømmene, og det bedste er den berømte Hijackthis, som vi allerede har stødt på flere gange i denne blog.
På Hijackthis, hvor du åbner "Diverse værktøjer", finder du et værktøj kaldet "ADS Spy", der scanner Streams, og hvis du vil fjerne dem, men ærligt talt, ville det være en overdreven iver af sikkerhed også fordi mange ADS er nyttige til Windows og du vil risikere at gøre skade.
I dette tilfælde var alt, hvad der blev gjort, at oprette et Winrar-arkiv inde i billedfilen med hvad du vil inde.
Størrelsen på denne .jpg-fil bliver klart større, afhængigt af hvor mange filer der er, og for at åbne den skal du blot "Åbn med .." og vælge Winrar.
Men vira skjuler sig ikke sådan, ikke kun ville det være let at finde det, men et .rar-arkiv er helt ufarligt, åbner ikke noget i hukommelsen og aktiverer ikke nogen proces.
De kaldes ADS ( Alternate Data Stream ) de filer, der er skjult i en anden fil, uden at ændre dens størrelse og forblive helt skjult fra Windows-visningen .
Når du åbner og kører en fil, der indeholder en ADS, aktiveres den ADS og starter programmet under den.
I denne artikel kan vi se, hvordan du nemt kan oprette en ADS med din pc og skjule enhver fil i en anden, så når du kører ADS'en, aktiveres den på sin plads.
1) Åbn Windows Stifinder, gå til disk C: og opret en ny mappe, som vi kan kalde "Annoncer".
2) Inde i, for at teste eksperimentet, skal du oprette en ny tekstfil og kalde den "test.txt" og kopiere ethvert foto eller billede, der er på computeren, og som kan omdøbes til immagine_test.jpg.
3) Åbn kommandoprompten, der findes i Star -> Programmer -> Tilbehør eller ved at gå til Start -> Kør -> og skriv " cmd "
4) Skriv nu cd \ annoncer for at åbne via mapper den mappe, der er oprettet før.
5) For at oprette et elementært ADS og begynde at forstå, hvad de er, kan du skrive " ekko Ciao bello> test.txt: testonascosto.txt "; kan du bemærke, at der ikke er føjet nogen filer til annoncemappen.
6) Skriv på prompten " notepad test.txt: testonascosto.txt ", og som om det magisk åbner notepad med teksten skrevet før; faktisk er der skrevet noget skrevet, der forbliver usynlig på computeren undtagen ved at udføre denne type kommando.
Hvis nysgerrigheden begynder at kildre den hackerånd, der er i hver af os, lad os gå videre og se, hvad der ellers kan gøres.
7) Hvis skjul af en tekst kun kan bruges af CIA-spioner, kan en hacker tænke på at bruge denne teknik til at skjule en dårlig fil i en god.
For at udføre et praktisk eksperiment kan du kopiere calc.exe-filen i mappen Annoncer, som findes i Windows-systemmappen og bruges til at åbne den normale lommeregner.
For at kopiere filen til mappen Annoncer skal du bare skrive " kopi C: \ windows \ system32 \ calc.exe c: \ ads " på kommandoprompten.
8) Nu kan du indsætte den image_test.jpg-fil, som vi havde taget før, og som stadig skulle være inde i mappen Annoncer, inde i calc.exe-filen.
For at gøre denne infiltration skal du skrive i det sorte DOS-vindue, at vi indtil nu aldrig har lukket: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Resultat: Hvis du starter filen calc.exe, sker der ikke noget underligt; Hvis du starter med at beregne filen calc.exe ved at skrive sådan: start ./calc.exe : immagine_test.jpg eller start C: \ ads \ calc.exe: immagine_test.jpg (det tager altid hele stien), det åbnes 'valgt billede før og ikke lommeregneren; Hvis du sletter image_test-filen fra mappen Annoncer, ændres resultatet ikke.
Dette betyder, at jpg-filen er blevet skjult inde i calc.exe-filen, den er ikke længere synlig, størrelsen på calc.exe er uændret, og der er intet, der signaliserer tilstedeværelsen af datastrømmen.
I modsætning til den metode, der blev brugt med Winrar, er der denne gang ikke noget arkiv, og den skjulte fil aktiveres og udføres, når værten startes, ved at klikke på filen calc.exe fra den åbne mappe, billedet vises ikke.
Du kan også skjule filer i en mappe, der ser ud til at være forkert tom.
10) Du kan oprette en ny mappe inde i Annoncer og kalde den Ads2 derefter fra Dos, skrive cd Ads2 og skrive kommandoen " type c: \ ads \ calc.exe>: pippo.exe "; filen calc.exe findes i Ads2-mappen, men du kan ikke se den, hverken med kommandoen " dir ", der viser filerne i bibliotekerne, eller ved at gå væk med at udforske ressourcer med den normale grafiske grænseflade.
Dette er temmelig gamle tricks, men som mange er ukendte også, fordi de faktisk ikke har et reelt værktøj, i det mindste for normale brugere; de er de dårlige hackere, der udnytter dem og tidligere har gjort meget skade ved hjælp af datastrømme.
Faktisk, idet han forestillede sig, at i vores eksempel ovenfor, i punkt 8, i stedet for en normal og ufarlig billedfil, havde han gemt sig i lommeregneren, en rigtig virus, ville det være smerte.
Hvis den virkelige virus derefter kalder sig selv, for eksempel svchost.exe, der er til stede flere gange i task manager, ville det være virkelig svært at finde.
Det slutter ikke her, fordi en ekspert-hacker ved, at programmer som regnemaskinen eller notepad altid er i stien C: \ Windows \ System32, derfor kan det potentielt gå til at ødelægge denne fil uden at skulle oprette noget nyt.
Uden ubehagelige vira kunne du stadig skjule en 10 GB-fil i en 10 Kbyte, og uden at forstå hvorfor, kunne du finde dig selv med pc'en låst og uden mere plads.
Heldigvis overvindes disse sikkerhedsproblemer stort set, antivirus finder skjulte vira i farten, og det er ganske usandsynligt at lide et sådant angreb, hvis du er beskyttet.
Den eneste anbefaling, jeg er nødt til at fremsætte, er, at i betragtning af den lethed, som du kan oprette en ondsindet fil på denne måde, ville det være tilfældet ikke at acceptere filer fra fremmede, måske sendt via MSN eller pr. Post, selvom dette var fotos, billeder, musik, tekstfiler eller andet.
Til optagelsen fungerer ADS kun på NTFS-diskpartitioner og ikke på FAT32 for at slette en ADS-fil kan du enten slette den, der er vært for den ved at slette den eller flytte den til en FAT32-partition.
Der er værktøjer, der kan identificere datastrømmene, og det bedste er den berømte Hijackthis, som vi allerede har stødt på flere gange i denne blog.
På Hijackthis, hvor du åbner "Diverse værktøjer", finder du et værktøj kaldet "ADS Spy", der scanner Streams, og hvis du vil fjerne dem, men ærligt talt, ville det være en overdreven iver af sikkerhed også fordi mange ADS er nyttige til Windows og du vil risikere at gøre skade.
