В друга предишна статия видяхме малък трик за скриване на файлове вътре в снимка с разширението .jpg.
В този случай всичко, което беше направено, беше да се създаде архив на winrar във файла с изображение с каквото искате вътре.
Ясно е, че размерът на този .jpg файл става по-голям в зависимост от това колко файлове има в него и за да го отворите, просто направете „Отваряне с ..“ и изберете Winrar.
Но вирусите не крият така, не само че би било лесно да го намерите, но .rar архивът е напълно безобиден, не отваря нищо в паметта и не активира никакъв процес.
Наричат се ADS ( Alternate Data Stream ) онези файлове, които са скрити вътре в друг файл, без да променят размера му и остават напълно скрити от изгледа на Windows .
Когато отворите и стартирате файл, съдържащ ADS, той активира ADS и стартира програмата под него.
В тази статия виждаме как можете лесно да създадете ADS с вашия компютър и да скриете всеки файл вътре в друг, така че когато стартирате ADS, той да се активира на негово място.
1) Отворете Windows Explorer, отидете на диск C: и създайте нова папка, която можем да наречем „Реклами“.
2) Вътре, за да тествате експеримента, създайте нов текстов файл и го наречете "test.txt" и копирайте всяка снимка или изображение, които са на компютъра и които могат да бъдат преименувани на immagine_test.jpg.
3) Отворете командния ред, намерен в Star -> Programs -> Аксесоари или като отидете на Start -> Run -> и напишете " cmd "
4) Сега напишете cd \ ads, за да въведете чрез Dos папката, създадена преди.
5) За да създадете елементарен ADS и да започнете да разбирате какво представляват, можете да напишете " echo Ciao bello> test.txt: testonascosto.txt "; може да забележите, че в папката с реклами не са добавени файлове.
6) Напишете на подкана " notepad test.txt: testonascosto.txt " и сякаш по магия бележникът се отваря с текста, написан преди; всъщност, нещо написано е скрито, което остава невидимо на компютъра, освен чрез изпълнение на този тип команди.
Ако любопитството започне да гъделичка хакерския дух, който е във всеки от нас, нека продължим напред и да видим какво още може да се направи.
7) Ако скриването на текст може да се използва само от шпионите от ЦРУ, хакер може да помисли да използва тази техника, за да скрие лош файл в добър.
За да направите практически експеримент, можете да копирате файла calc.exe в папката Ads, която се намира в системната папка на Windows и се използва за отваряне на нормалния калкулатор.
За да копирате файла в папката Ads, просто напишете " copy C: \ windows \ system32 \ calc.exe c: \ ads " в командния ред.
8) Сега можете да поставите файла image_test.jpg, който бяхме направили преди и който все още трябва да бъде в папката Ads, във файла calc.exe.
За да направите тази инфилтрация, трябва да напишете на черния DOS прозорец, че досега никога не сме затваряли: " въведете immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Резултат: ако стартирате файла calc.exe, нищо странно не се случва; ако започнете от calc файла calc.exe, като напишете така: start ./calc.exe : immagine_test.jpg или стартирайте C: \ ads \ calc.exe: immagine_test.jpg (винаги отнема целия път), той се отваря 'изображение, избрано преди, а не калкулаторът; ако изтриете файла image_test от папката Ads, резултатът не се променя.
Това означава, че jpg файлът е бил скрит във файла calc.exe, той вече не се вижда, размерът на calc.exe остава непроменен и няма нищо, което сигнализира за присъствието на потока от данни.
За разлика от метода, използван с Winrar, този път няма архив и скритият файл се активира и се изпълнява при стартиране на хоста, като щракнете върху файла calc.exe от отворената папка, изображението не се появява.
Можете също така да скриете файлове в папка, която ще изглежда погрешно празна.
10) Можете да създадете нова папка в Ads и да я наречете Ads2, след това от Dos, напишете cd Ads2 и напишете командата " въведете c: \ ads \ calc.exe>: pippo.exe "; файлът calc.exe е в папката Ads2, но не можете да го видите, нито с командата " dir ", която показва файловете в директории, нито като отидете да изследвате ресурси с нормалния графичен интерфейс.
Това са доста стари трикове, но много от които са неизвестни също така, защото всъщност те нямат истинска полезност, поне за нормалните потребители; те са лошите хакери, които ги експлоатират и в миналото са нанесли много щети, използвайки Data Stream.
Всъщност, представяйки си, че в нашия пример по-горе, в точка 8, вместо нормален и безобиден файл с изображения, той се беше скрил вътре в калкулатора, истински вирус, това ще бъде болка.
Ако тогава истинският вирус се обади, например svchost.exe, който присъства няколко пъти в диспечера на задачи, тогава би било наистина трудно да се намери.
Тук не свършва, защото експерт хакер знае, че програми като калкулатора или бележника винаги са в пътя C: \ Windows \ System32, така че, потенциално, може да отиде да повреди този файл, без да се налага да създава нещо ново.
И все пак, без неудобни вируси, можете да скриете 10GB файл в 10 Kbyte и, без да разбирате защо, можете да се озовете с заключен компютър и без повече място.
За щастие тези проблеми със сигурността са до голяма степен преодолени, антивирусите намират скрити вируси в движение и е малко вероятно да претърпите такава атака, ако сте защитени.
Единствената препоръка, която трябва да направя, е, че предвид лекотата, с която можете да създадете злонамерен файл по този начин, би било случай да не приемате никакви файлове от непознати, може би изпратени чрез MSN или по пощата, дори ако това са снимки, изображения, музика, текстови файлове или каквото и да е.
За записа ADS работи само на дискови дялове NTFS, а не на FAT32, следователно, за да изтриете ADS файл, можете да изтриете този, който го хоства, като го изтриете, или да го преместите в FAT32 дял.
Има инструменти, които могат да идентифицират потоците от данни, а най-доброто е известният Hijackthis, с който вече сме се сблъсквали няколко пъти в този блог.
В Hijackthis, като отворите „Разни инструменти“, ще намерите помощна програма, наречена „ADS Spy“, която сканира потоците и, ако искате да ги премахнете, но, честно казано, би било прекомерно усърдие за сигурност и защото много ADS са полезни за Windows и бихте рискували да нанесете щети.
В този случай всичко, което беше направено, беше да се създаде архив на winrar във файла с изображение с каквото искате вътре.
Ясно е, че размерът на този .jpg файл става по-голям в зависимост от това колко файлове има в него и за да го отворите, просто направете „Отваряне с ..“ и изберете Winrar.
Но вирусите не крият така, не само че би било лесно да го намерите, но .rar архивът е напълно безобиден, не отваря нищо в паметта и не активира никакъв процес.
Наричат се ADS ( Alternate Data Stream ) онези файлове, които са скрити вътре в друг файл, без да променят размера му и остават напълно скрити от изгледа на Windows .
Когато отворите и стартирате файл, съдържащ ADS, той активира ADS и стартира програмата под него.
В тази статия виждаме как можете лесно да създадете ADS с вашия компютър и да скриете всеки файл вътре в друг, така че когато стартирате ADS, той да се активира на негово място.
1) Отворете Windows Explorer, отидете на диск C: и създайте нова папка, която можем да наречем „Реклами“.
2) Вътре, за да тествате експеримента, създайте нов текстов файл и го наречете "test.txt" и копирайте всяка снимка или изображение, които са на компютъра и които могат да бъдат преименувани на immagine_test.jpg.
3) Отворете командния ред, намерен в Star -> Programs -> Аксесоари или като отидете на Start -> Run -> и напишете " cmd "
4) Сега напишете cd \ ads, за да въведете чрез Dos папката, създадена преди.
5) За да създадете елементарен ADS и да започнете да разбирате какво представляват, можете да напишете " echo Ciao bello> test.txt: testonascosto.txt "; може да забележите, че в папката с реклами не са добавени файлове.
6) Напишете на подкана " notepad test.txt: testonascosto.txt " и сякаш по магия бележникът се отваря с текста, написан преди; всъщност, нещо написано е скрито, което остава невидимо на компютъра, освен чрез изпълнение на този тип команди.
Ако любопитството започне да гъделичка хакерския дух, който е във всеки от нас, нека продължим напред и да видим какво още може да се направи.
7) Ако скриването на текст може да се използва само от шпионите от ЦРУ, хакер може да помисли да използва тази техника, за да скрие лош файл в добър.
За да направите практически експеримент, можете да копирате файла calc.exe в папката Ads, която се намира в системната папка на Windows и се използва за отваряне на нормалния калкулатор.
За да копирате файла в папката Ads, просто напишете " copy C: \ windows \ system32 \ calc.exe c: \ ads " в командния ред.
8) Сега можете да поставите файла image_test.jpg, който бяхме направили преди и който все още трябва да бъде в папката Ads, във файла calc.exe.
За да направите тази инфилтрация, трябва да напишете на черния DOS прозорец, че досега никога не сме затваряли: " въведете immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Резултат: ако стартирате файла calc.exe, нищо странно не се случва; ако започнете от calc файла calc.exe, като напишете така: start ./calc.exe : immagine_test.jpg или стартирайте C: \ ads \ calc.exe: immagine_test.jpg (винаги отнема целия път), той се отваря 'изображение, избрано преди, а не калкулаторът; ако изтриете файла image_test от папката Ads, резултатът не се променя.
Това означава, че jpg файлът е бил скрит във файла calc.exe, той вече не се вижда, размерът на calc.exe остава непроменен и няма нищо, което сигнализира за присъствието на потока от данни.
За разлика от метода, използван с Winrar, този път няма архив и скритият файл се активира и се изпълнява при стартиране на хоста, като щракнете върху файла calc.exe от отворената папка, изображението не се появява.
Можете също така да скриете файлове в папка, която ще изглежда погрешно празна.
10) Можете да създадете нова папка в Ads и да я наречете Ads2, след това от Dos, напишете cd Ads2 и напишете командата " въведете c: \ ads \ calc.exe>: pippo.exe "; файлът calc.exe е в папката Ads2, но не можете да го видите, нито с командата " dir ", която показва файловете в директории, нито като отидете да изследвате ресурси с нормалния графичен интерфейс.
Това са доста стари трикове, но много от които са неизвестни също така, защото всъщност те нямат истинска полезност, поне за нормалните потребители; те са лошите хакери, които ги експлоатират и в миналото са нанесли много щети, използвайки Data Stream.
Всъщност, представяйки си, че в нашия пример по-горе, в точка 8, вместо нормален и безобиден файл с изображения, той се беше скрил вътре в калкулатора, истински вирус, това ще бъде болка.
Ако тогава истинският вирус се обади, например svchost.exe, който присъства няколко пъти в диспечера на задачи, тогава би било наистина трудно да се намери.
Тук не свършва, защото експерт хакер знае, че програми като калкулатора или бележника винаги са в пътя C: \ Windows \ System32, така че, потенциално, може да отиде да повреди този файл, без да се налага да създава нещо ново.
И все пак, без неудобни вируси, можете да скриете 10GB файл в 10 Kbyte и, без да разбирате защо, можете да се озовете с заключен компютър и без повече място.
За щастие тези проблеми със сигурността са до голяма степен преодолени, антивирусите намират скрити вируси в движение и е малко вероятно да претърпите такава атака, ако сте защитени.
Единствената препоръка, която трябва да направя, е, че предвид лекотата, с която можете да създадете злонамерен файл по този начин, би било случай да не приемате никакви файлове от непознати, може би изпратени чрез MSN или по пощата, дори ако това са снимки, изображения, музика, текстови файлове или каквото и да е.
За записа ADS работи само на дискови дялове NTFS, а не на FAT32, следователно, за да изтриете ADS файл, можете да изтриете този, който го хоства, като го изтриете, или да го преместите в FAT32 дял.
Има инструменти, които могат да идентифицират потоците от данни, а най-доброто е известният Hijackthis, с който вече сме се сблъсквали няколко пъти в този блог.
В Hijackthis, като отворите „Разни инструменти“, ще намерите помощна програма, наречена „ADS Spy“, която сканира потоците и, ако искате да ги премахнете, но, честно казано, би било прекомерно усърдие за сигурност и защото много ADS са полезни за Windows и бихте рискували да нанесете щети.
