Într-un alt articol anterior am văzut un mic truc pentru a ascunde fișierele într-o fotografie cu extensia .jpg.
În acest caz, tot ce a fost făcut a fost să creați o arhivă winrar în fișierul cu imagini cu orice doriți în interior.
În mod clar, dimensiunea acestui fișier .jpg devine mai mare în funcție de câte fișiere sunt în el și pentru a-l deschide trebuie doar să faceți „Deschideți cu ..” și alegeți Winrar.
Dar virușii nu se ascund astfel, nu numai că ar fi ușor de găsit, dar o arhivă .rar este complet inofensivă, nu deschide nimic în memorie și nu activează niciun proces.
Acestea sunt numite ADS ( Alternative Data Stream ) acele fișiere care sunt ascunse în alt fișier, fără a-și schimba dimensiunea și rămânând complet ascunse de vizualizarea Windows .
Când deschideți și rulați un fișier care conține un ADS, acesta activează ADS și lansează programul sub acesta.
În acest articol vedem cum puteți crea cu ușurință un ADS cu computerul dvs. și să ascundeți orice fișier în interiorul altuia, astfel încât atunci când rulați ADS să fie activat la locul său.
1) Deschideți Windows Explorer, accesați discul C: și creați un nou folder pe care îl putem numi „Anunțuri”.
2) În interior, pentru a testa experimentul, creați un nou fișier text și numiți-l "test.txt" și copiați orice fotografie sau imagine care este pe computer și care poate fi redenumit în imaginea_test.jpg.
3) Deschideți promptul de comandă găsit în Star -> Programe -> Accesorii sau accesând Start -> Run -> și scrieți " cmd "
4) Acum scrieți cd \ ads pentru a introduce, prin Dos, dosarul creat anterior.
5) Pentru a crea un ADS elementar și a începe să înțelegeți ce sunt, puteți scrie „ ecou Ciao bello> test.txt: testonascosto.txt "; este posibil să observați că nu au fost adăugate fișiere în directorul de reclame.
6) Scrieți pe promptul „ notepad test.txt: testonascosto.txt ” și parcă prin magie, blocul de notiță se deschide cu textul scris anterior; de fapt, s- a ascuns ceva scris care rămâne invizibil pe computer cu excepția executării acestui tip de comandă.
Dacă curiozitatea începe să bifeze spiritul de hacker care este în fiecare dintre noi, să mergem mai departe și să vedem ce se mai poate face.
7) Dacă ascunderea unui text poate fi folosită doar de spionii CIA, un hacker se poate gândi să folosească această tehnică pentru a ascunde un fișier rău în interiorul unuia bun.
Pentru a face un experiment practic, puteți copia fișierul calc.exe în folderul Ads, care se află în folderul sistemului Windows și este utilizat pentru a deschide calculatorul normal.
Pentru a copia fișierul în folderul Ads, trebuie doar să scrieți „ copy C: \ windows \ system32 \ calc.exe c: \ ads ” în promptul de comandă.
8) Acum puteți introduce fișierul image_test.jpg pe care l-am luat anterior și care ar trebui să fie încă în folderul Ads, în fișierul calc.exe.
Pentru a face această infiltrare, trebuie să scrieți pe fereastra DOS negru pe care până acum, nu am închis-o niciodată: „ type imagine_test.jpg> calc.exe: immagine_test.jpg ”.
9) Rezultat: dacă porniți fișierul calc.exe, nu se întâmplă nimic ciudat; dacă pornești de la calc fișierul calc.exe, scriind astfel: start ./calc.exe : imagine_test.jpg sau pornește C: \ ads \ calc.exe: imagine_test.jpg (are întotdeauna întreaga cale), se deschide 'imagine aleasă înainte și nu calculatorul; dacă ștergeți fișierul image_test din folderul Ads, rezultatul nu se schimbă.
Acest lucru înseamnă că fișierul jpg a fost ascuns în fișierul calc.exe, acesta nu mai este vizibil, dimensiunea calc.exe a rămas neschimbată și nu există nimic care să semnaleze prezența fluxului de date.
Spre deosebire de metoda folosită cu Winrar, de această dată, nu există nicio arhivă și fișierul ascuns este activat și este executat la pornirea gazdei, făcând clic pe fișierul calc.exe din folderul deschis, imaginea nu apare.
De asemenea, puteți ascunde fișierele dintr-un folder care va părea eronat gol.
10) Puteți crea un folder nou în Ads și îl puteți numi Ads2, apoi din Dos, scrieți cd Ads2 și tastați comanda „ type c: \ ads \ calc.exe>: pippo.exe ”; fișierul calc.exe se află în folderul Ads2, dar nu îl puteți vedea, nici cu comanda „ dir ” care arată fișierele din directoare, nici prin a explora resursele cu interfața grafică normală.
Acestea sunt trucuri destul de vechi, dar care multe nu sunt cunoscute, deoarece, de fapt, nu au o utilitate reală, cel puțin pentru utilizatorii normali; sunt hackerii răi care îi exploatează și, în trecut, au făcut multe pagube folosind Data Streams.
De fapt, imaginându-ne că, în exemplul nostru de mai sus, la punctul 8, în locul unui fișier de imagine normal și inofensiv, el se ascunsese în calculator, un virus real, ar fi durere.
Dacă atunci virusul real se numește, de exemplu svchost.exe, care este prezent de mai multe ori în managerul de sarcini, atunci ar fi cu adevărat dificil de găsit.
Nu se termină aici, deoarece un hacker expert știe că programe precum calculatorul sau blocul de notițe sunt întotdeauna pe calea C: \ Windows \ System32, prin urmare, ar putea merge la corupția acelui fișier, fără a fi nevoie să creeze ceva nou.
Totuși, fără a deranja virușii, puteți ascunde un fișier de 10 GB în interiorul unui 10 Kbyte și, fără să înțelegeți de ce, vă puteți regăsi cu computerul blocat și fără mai mult spațiu.
Din fericire, aceste probleme de securitate sunt depășite în mare măsură, antivirusurile găsesc viruși ascunși în zbor și este foarte puțin probabil să suferi un astfel de atac dacă ești protejat.
Singura recomandare pe care trebuie să o fac este că, având în vedere ușurința cu care puteți crea un fișier rău intenționat în acest fel, ar fi cazul să nu acceptați fișiere de la persoane necunoscute, probabil trimise prin MSN sau prin poștă, chiar dacă acestea ar fi fotografii, imagini, muzică, fișiere text sau orice altceva.
Pentru înregistrare, ADS funcționează numai pe partițiile de disc NTFS și nu pe FAT32, prin urmare, pentru a șterge un fișier ADS, îl puteți șterge pe cel care îl găzduiește ștergându-l sau mutându-l într-o partiție FAT32.
Există instrumente care pot identifica fluxurile de date, iar cel mai bun este faimosul Hijackthis pe care l-am întâlnit deja de mai multe ori pe acest blog.
Pe Hijackthis, prin deschiderea „Instrumentelor diverse” există un utilitar numit „ADS Spy” care scanează fluxurile și, dacă doriți să le eliminați, dar, sincer, ar fi un zel excesiv de securitate, de asemenea, deoarece multe ADS sunt utile pentru Windows și ai risca să faci pagube.
În acest caz, tot ce a fost făcut a fost să creați o arhivă winrar în fișierul cu imagini cu orice doriți în interior.
În mod clar, dimensiunea acestui fișier .jpg devine mai mare în funcție de câte fișiere sunt în el și pentru a-l deschide trebuie doar să faceți „Deschideți cu ..” și alegeți Winrar.
Dar virușii nu se ascund astfel, nu numai că ar fi ușor de găsit, dar o arhivă .rar este complet inofensivă, nu deschide nimic în memorie și nu activează niciun proces.
Acestea sunt numite ADS ( Alternative Data Stream ) acele fișiere care sunt ascunse în alt fișier, fără a-și schimba dimensiunea și rămânând complet ascunse de vizualizarea Windows .
Când deschideți și rulați un fișier care conține un ADS, acesta activează ADS și lansează programul sub acesta.
În acest articol vedem cum puteți crea cu ușurință un ADS cu computerul dvs. și să ascundeți orice fișier în interiorul altuia, astfel încât atunci când rulați ADS să fie activat la locul său.
1) Deschideți Windows Explorer, accesați discul C: și creați un nou folder pe care îl putem numi „Anunțuri”.
2) În interior, pentru a testa experimentul, creați un nou fișier text și numiți-l "test.txt" și copiați orice fotografie sau imagine care este pe computer și care poate fi redenumit în imaginea_test.jpg.
3) Deschideți promptul de comandă găsit în Star -> Programe -> Accesorii sau accesând Start -> Run -> și scrieți " cmd "
4) Acum scrieți cd \ ads pentru a introduce, prin Dos, dosarul creat anterior.
5) Pentru a crea un ADS elementar și a începe să înțelegeți ce sunt, puteți scrie „ ecou Ciao bello> test.txt: testonascosto.txt "; este posibil să observați că nu au fost adăugate fișiere în directorul de reclame.
6) Scrieți pe promptul „ notepad test.txt: testonascosto.txt ” și parcă prin magie, blocul de notiță se deschide cu textul scris anterior; de fapt, s- a ascuns ceva scris care rămâne invizibil pe computer cu excepția executării acestui tip de comandă.
Dacă curiozitatea începe să bifeze spiritul de hacker care este în fiecare dintre noi, să mergem mai departe și să vedem ce se mai poate face.
7) Dacă ascunderea unui text poate fi folosită doar de spionii CIA, un hacker se poate gândi să folosească această tehnică pentru a ascunde un fișier rău în interiorul unuia bun.
Pentru a face un experiment practic, puteți copia fișierul calc.exe în folderul Ads, care se află în folderul sistemului Windows și este utilizat pentru a deschide calculatorul normal.
Pentru a copia fișierul în folderul Ads, trebuie doar să scrieți „ copy C: \ windows \ system32 \ calc.exe c: \ ads ” în promptul de comandă.
8) Acum puteți introduce fișierul image_test.jpg pe care l-am luat anterior și care ar trebui să fie încă în folderul Ads, în fișierul calc.exe.
Pentru a face această infiltrare, trebuie să scrieți pe fereastra DOS negru pe care până acum, nu am închis-o niciodată: „ type imagine_test.jpg> calc.exe: immagine_test.jpg ”.
9) Rezultat: dacă porniți fișierul calc.exe, nu se întâmplă nimic ciudat; dacă pornești de la calc fișierul calc.exe, scriind astfel: start ./calc.exe : imagine_test.jpg sau pornește C: \ ads \ calc.exe: imagine_test.jpg (are întotdeauna întreaga cale), se deschide 'imagine aleasă înainte și nu calculatorul; dacă ștergeți fișierul image_test din folderul Ads, rezultatul nu se schimbă.
Acest lucru înseamnă că fișierul jpg a fost ascuns în fișierul calc.exe, acesta nu mai este vizibil, dimensiunea calc.exe a rămas neschimbată și nu există nimic care să semnaleze prezența fluxului de date.
Spre deosebire de metoda folosită cu Winrar, de această dată, nu există nicio arhivă și fișierul ascuns este activat și este executat la pornirea gazdei, făcând clic pe fișierul calc.exe din folderul deschis, imaginea nu apare.
De asemenea, puteți ascunde fișierele dintr-un folder care va părea eronat gol.
10) Puteți crea un folder nou în Ads și îl puteți numi Ads2, apoi din Dos, scrieți cd Ads2 și tastați comanda „ type c: \ ads \ calc.exe>: pippo.exe ”; fișierul calc.exe se află în folderul Ads2, dar nu îl puteți vedea, nici cu comanda „ dir ” care arată fișierele din directoare, nici prin a explora resursele cu interfața grafică normală.
Acestea sunt trucuri destul de vechi, dar care multe nu sunt cunoscute, deoarece, de fapt, nu au o utilitate reală, cel puțin pentru utilizatorii normali; sunt hackerii răi care îi exploatează și, în trecut, au făcut multe pagube folosind Data Streams.
De fapt, imaginându-ne că, în exemplul nostru de mai sus, la punctul 8, în locul unui fișier de imagine normal și inofensiv, el se ascunsese în calculator, un virus real, ar fi durere.
Dacă atunci virusul real se numește, de exemplu svchost.exe, care este prezent de mai multe ori în managerul de sarcini, atunci ar fi cu adevărat dificil de găsit.
Nu se termină aici, deoarece un hacker expert știe că programe precum calculatorul sau blocul de notițe sunt întotdeauna pe calea C: \ Windows \ System32, prin urmare, ar putea merge la corupția acelui fișier, fără a fi nevoie să creeze ceva nou.
Totuși, fără a deranja virușii, puteți ascunde un fișier de 10 GB în interiorul unui 10 Kbyte și, fără să înțelegeți de ce, vă puteți regăsi cu computerul blocat și fără mai mult spațiu.
Din fericire, aceste probleme de securitate sunt depășite în mare măsură, antivirusurile găsesc viruși ascunși în zbor și este foarte puțin probabil să suferi un astfel de atac dacă ești protejat.
Singura recomandare pe care trebuie să o fac este că, având în vedere ușurința cu care puteți crea un fișier rău intenționat în acest fel, ar fi cazul să nu acceptați fișiere de la persoane necunoscute, probabil trimise prin MSN sau prin poștă, chiar dacă acestea ar fi fotografii, imagini, muzică, fișiere text sau orice altceva.
Pentru înregistrare, ADS funcționează numai pe partițiile de disc NTFS și nu pe FAT32, prin urmare, pentru a șterge un fișier ADS, îl puteți șterge pe cel care îl găzduiește ștergându-l sau mutându-l într-o partiție FAT32.
Există instrumente care pot identifica fluxurile de date, iar cel mai bun este faimosul Hijackthis pe care l-am întâlnit deja de mai multe ori pe acest blog.
Pe Hijackthis, prin deschiderea „Instrumentelor diverse” există un utilitar numit „ADS Spy” care scanează fluxurile și, dacă doriți să le eliminați, dar, sincer, ar fi un zel excesiv de securitate, de asemenea, deoarece multe ADS sunt utile pentru Windows și ai risca să faci pagube.
