I en annen forrige artikkel hadde vi sett et lite triks for å skjule filer på et bilde med .jpg-utvidelsen.
I så fall var alt som ble gjort å lage et winrar-arkiv i bildefilen med det du måtte ønske deg.
Det er klart størrelsen på denne .jpg-filen blir større avhengig av hvor mange filer som er i den, og for å åpne den, gjør du bare "Åpne med .." og velg Winrar.
Men virus skjuler seg ikke slik, ikke bare ville det være lett å finne det, men et .rar-arkiv er helt ufarlig, åpner ikke noe i minnet og aktiverer ingen prosesser.
De kalles ADS ( Alternate Data Stream ) de filene som er skjult i en annen fil, uten å endre størrelse og forbli helt skjult for visningen av Windows .
Når du åpner og kjører en fil som inneholder en ADS, aktiverer den ADS og starter programmet under den.
I denne artikkelen ser vi hvordan du enkelt kan opprette en ADS med PCen din og skjule alle filer i en annen slik at når du kjører ADS, blir den aktivert på sin plass.
1) Åpne Windows Utforsker, gå til disk C: og lag en ny mappe som vi kan kalle "Annonser".
2) Innvendig, for å teste eksperimentet, oppretter du en ny tekstfil og kaller den "test.txt" og kopier et hvilket som helst foto eller bilde som er på datamaskinen, og som kan gi nytt navn til immagine_test.jpg.
3) Åpne ledeteksten du finner i Star -> Programmer -> Tilbehør eller ved å gå til Start -> Kjør -> og skriv " cmd "
4) Skriv nå cd \ annonser for å gå inn via mappen mappen som ble opprettet før.
5) For å lage en elementær ADS og begynne å forstå hva de er, kan du skrive " ekko Ciao bello> test.txt: testonascosto.txt "; kan du merke at ingen filer er lagt til i annonsemappen.
6) Skriv på ledeteksten " notepad test.txt: testonascosto.txt ", og som om det magisk åpnes notisblokken med teksten skrevet før; noe skrevet er faktisk skjult som forblir usynlig på datamaskinen bortsett fra ved å utføre denne typen kommando.
Hvis nysgjerrigheten begynner å kile hackerånden som er i hver av oss, la oss gå foran og se hva annet som kan gjøres.
7) Hvis skjul av en tekst bare kan brukes av CIA-spioner, kan en hacker tenke på å bruke denne teknikken for å skjule en dårlig fil i en god.
For å gjøre et praktisk eksperiment kan du kopiere calc.exe-filen i Annonser-mappen, som ligger i Windows-systemmappen og brukes til å åpne den normale kalkulatoren.
For å kopiere filen til Annonser-mappen, skriver du bare " kopi C: \ windows \ system32 \ calc.exe c: \ ads " i ledeteksten.
8) Nå kan du sette inn image_test.jpg-filen som vi hadde tatt før, og som fortsatt skal være i Annonser-mappen, inne i calc.exe-filen.
For å gjøre denne infiltrasjonen må du skrive i det svarte DOS-vinduet at vi til nå aldri har lukket: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Resultat: hvis du starter calc.exe-filen, skjer det ikke noe rart; Hvis du starter med å beregne filen calc.exe ved å skrive slik: start ./calc.exe : immagine_test.jpg eller start C: \ ads \ calc.exe: immagine_test.jpg (det tar alltid hele banen), det åpnes et bilde valgt før og ikke kalkulatoren; hvis du sletter image_test-filen fra Annonser-mappen, endres ikke resultatet.
Dette betyr at jpg-filen har blitt gjemt inne i calc.exe-filen, den er ikke lenger synlig, størrelsen på calc.exe har holdt seg uendret, og det er ingenting som signaliserer tilstedeværelsen av datastrømmen.
I motsetning til metoden som ble brukt med Winrar, er det denne gangen ingen arkiver, og den skjulte filen blir aktivert og kjøres når verten startes, ved å klikke på calc.exe-filen fra den åpne mappen, bildet vises ikke.
Du kan også skjule filer i en mappe som ser ut til å være feilaktig tom.
10) Du kan opprette en ny mappe i Annonser og kalle den Ads2 deretter fra Dos, skrive cd Ads2 og skrive kommandoen " type c: \ ads \ calc.exe>: pippo.exe "; calc.exe-filen er i Ads2-mappen, men du kan ikke se den, verken med " dir " -kommandoen som viser filene i katalogene, eller ved å gå bort og utforske ressurser med det normale grafiske grensesnittet.
Dette er ganske gamle triks, men som mange er ukjente også fordi de faktisk ikke har et reelt verktøy, i det minste for normale brukere; er de dårlige hackerne som utnytter dem og tidligere har gjort mye skade ved å bruke datastrømmer.
Faktisk, for å forestille seg at i vårt eksempel ovenfor, i punkt 8, i stedet for en normal og ufarlig bildefil, hadde han gjemt seg i kalkulatoren, et ekte virus, ville det være smerte.
Hvis det virkelige viruset kaller seg, for eksempel svchost.exe som er til stede flere ganger i oppgavebehandleren, ville det være veldig vanskelig å finne.
Det slutter ikke her, fordi en eksperthacker vet at programmer som kalkulatoren eller notisblokken alltid er i banen C: \ Windows \ System32, så potensielt kan det gå til å ødelegge denne filen, uten å måtte lage noe nytt.
Uten å forstyrre virus kan du likevel skjule en 10 GB-fil i en 10 Kbyte, og uten å forstå hvorfor, kunne du finne deg selv med PC-en låst og uten mer plass.
Heldigvis blir disse sikkerhetsproblemene i stor grad overvunnet, antivirus finner skjulte virus i farten og det er ganske usannsynlig å lide et slikt angrep hvis du er beskyttet.
Den eneste anbefalingen jeg må komme er at gitt det enkelt å lage en ondsinnet fil på denne måten, ville det være tilfelle å ikke godta filer fra fremmede, kanskje sendt via MSN eller per post, selv om dette var bilder, bilder, musikk, tekstfiler eller hva som helst.
For posten fungerer ADS bare på NTFS-diskpartisjoner og ikke på FAT32. For å slette en ADS-fil, kan du enten slette den som er vert ved å slette den eller flytte den til en FAT32-partisjon.
Det er verktøy som kan identifisere datastrømmene, og det beste er den berømte Hijackthis som vi allerede har møtt flere ganger i denne bloggen.
Ved å åpne "Misc Tools" på Hijackthis, er det et verktøy som heter "ADS Spy" som skanner streamene, og hvis du vil fjerne dem, men ærlig talt, vil det være en overdreven iver av sikkerhet også fordi mange ADS er nyttige for Windows og du vil risikere å gjøre skade.
I så fall var alt som ble gjort å lage et winrar-arkiv i bildefilen med det du måtte ønske deg.
Det er klart størrelsen på denne .jpg-filen blir større avhengig av hvor mange filer som er i den, og for å åpne den, gjør du bare "Åpne med .." og velg Winrar.
Men virus skjuler seg ikke slik, ikke bare ville det være lett å finne det, men et .rar-arkiv er helt ufarlig, åpner ikke noe i minnet og aktiverer ingen prosesser.
De kalles ADS ( Alternate Data Stream ) de filene som er skjult i en annen fil, uten å endre størrelse og forbli helt skjult for visningen av Windows .
Når du åpner og kjører en fil som inneholder en ADS, aktiverer den ADS og starter programmet under den.
I denne artikkelen ser vi hvordan du enkelt kan opprette en ADS med PCen din og skjule alle filer i en annen slik at når du kjører ADS, blir den aktivert på sin plass.
1) Åpne Windows Utforsker, gå til disk C: og lag en ny mappe som vi kan kalle "Annonser".
2) Innvendig, for å teste eksperimentet, oppretter du en ny tekstfil og kaller den "test.txt" og kopier et hvilket som helst foto eller bilde som er på datamaskinen, og som kan gi nytt navn til immagine_test.jpg.
3) Åpne ledeteksten du finner i Star -> Programmer -> Tilbehør eller ved å gå til Start -> Kjør -> og skriv " cmd "
4) Skriv nå cd \ annonser for å gå inn via mappen mappen som ble opprettet før.
5) For å lage en elementær ADS og begynne å forstå hva de er, kan du skrive " ekko Ciao bello> test.txt: testonascosto.txt "; kan du merke at ingen filer er lagt til i annonsemappen.
6) Skriv på ledeteksten " notepad test.txt: testonascosto.txt ", og som om det magisk åpnes notisblokken med teksten skrevet før; noe skrevet er faktisk skjult som forblir usynlig på datamaskinen bortsett fra ved å utføre denne typen kommando.
Hvis nysgjerrigheten begynner å kile hackerånden som er i hver av oss, la oss gå foran og se hva annet som kan gjøres.
7) Hvis skjul av en tekst bare kan brukes av CIA-spioner, kan en hacker tenke på å bruke denne teknikken for å skjule en dårlig fil i en god.
For å gjøre et praktisk eksperiment kan du kopiere calc.exe-filen i Annonser-mappen, som ligger i Windows-systemmappen og brukes til å åpne den normale kalkulatoren.
For å kopiere filen til Annonser-mappen, skriver du bare " kopi C: \ windows \ system32 \ calc.exe c: \ ads " i ledeteksten.
8) Nå kan du sette inn image_test.jpg-filen som vi hadde tatt før, og som fortsatt skal være i Annonser-mappen, inne i calc.exe-filen.
For å gjøre denne infiltrasjonen må du skrive i det svarte DOS-vinduet at vi til nå aldri har lukket: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Resultat: hvis du starter calc.exe-filen, skjer det ikke noe rart; Hvis du starter med å beregne filen calc.exe ved å skrive slik: start ./calc.exe : immagine_test.jpg eller start C: \ ads \ calc.exe: immagine_test.jpg (det tar alltid hele banen), det åpnes et bilde valgt før og ikke kalkulatoren; hvis du sletter image_test-filen fra Annonser-mappen, endres ikke resultatet.
Dette betyr at jpg-filen har blitt gjemt inne i calc.exe-filen, den er ikke lenger synlig, størrelsen på calc.exe har holdt seg uendret, og det er ingenting som signaliserer tilstedeværelsen av datastrømmen.
I motsetning til metoden som ble brukt med Winrar, er det denne gangen ingen arkiver, og den skjulte filen blir aktivert og kjøres når verten startes, ved å klikke på calc.exe-filen fra den åpne mappen, bildet vises ikke.
Du kan også skjule filer i en mappe som ser ut til å være feilaktig tom.
10) Du kan opprette en ny mappe i Annonser og kalle den Ads2 deretter fra Dos, skrive cd Ads2 og skrive kommandoen " type c: \ ads \ calc.exe>: pippo.exe "; calc.exe-filen er i Ads2-mappen, men du kan ikke se den, verken med " dir " -kommandoen som viser filene i katalogene, eller ved å gå bort og utforske ressurser med det normale grafiske grensesnittet.
Dette er ganske gamle triks, men som mange er ukjente også fordi de faktisk ikke har et reelt verktøy, i det minste for normale brukere; er de dårlige hackerne som utnytter dem og tidligere har gjort mye skade ved å bruke datastrømmer.
Faktisk, for å forestille seg at i vårt eksempel ovenfor, i punkt 8, i stedet for en normal og ufarlig bildefil, hadde han gjemt seg i kalkulatoren, et ekte virus, ville det være smerte.
Hvis det virkelige viruset kaller seg, for eksempel svchost.exe som er til stede flere ganger i oppgavebehandleren, ville det være veldig vanskelig å finne.
Det slutter ikke her, fordi en eksperthacker vet at programmer som kalkulatoren eller notisblokken alltid er i banen C: \ Windows \ System32, så potensielt kan det gå til å ødelegge denne filen, uten å måtte lage noe nytt.
Uten å forstyrre virus kan du likevel skjule en 10 GB-fil i en 10 Kbyte, og uten å forstå hvorfor, kunne du finne deg selv med PC-en låst og uten mer plass.
Heldigvis blir disse sikkerhetsproblemene i stor grad overvunnet, antivirus finner skjulte virus i farten og det er ganske usannsynlig å lide et slikt angrep hvis du er beskyttet.
Den eneste anbefalingen jeg må komme er at gitt det enkelt å lage en ondsinnet fil på denne måten, ville det være tilfelle å ikke godta filer fra fremmede, kanskje sendt via MSN eller per post, selv om dette var bilder, bilder, musikk, tekstfiler eller hva som helst.
For posten fungerer ADS bare på NTFS-diskpartisjoner og ikke på FAT32. For å slette en ADS-fil, kan du enten slette den som er vert ved å slette den eller flytte den til en FAT32-partisjon.
Det er verktøy som kan identifisere datastrømmene, og det beste er den berømte Hijackthis som vi allerede har møtt flere ganger i denne bloggen.
Ved å åpne "Misc Tools" på Hijackthis, er det et verktøy som heter "ADS Spy" som skanner streamene, og hvis du vil fjerne dem, men ærlig talt, vil det være en overdreven iver av sikkerhet også fordi mange ADS er nyttige for Windows og du vil risikere å gjøre skade.
