W innym poprzednim artykule widzieliśmy małą sztuczkę, aby ukryć pliki na zdjęciu z rozszerzeniem .jpg.
W takim przypadku wystarczyło utworzyć archiwum winrar w pliku obrazu z tym, co chcesz w środku.
Rozmiar tego pliku .jpg jest wyraźnie większy w zależności od liczby plików. Aby go otworzyć, po prostu zrób „Otwórz za pomocą…” i wybierz Winrar.
Ale wirusy nie ukrywają się w ten sposób, nie tylko łatwo byłoby je znaleźć, ale archiwum .rar jest całkowicie nieszkodliwe, nie otwiera niczego w pamięci i nie aktywuje żadnego procesu.
Nazywa się je ADS ( Alternate Data Stream ) tymi plikami, które są ukryte w innym pliku, bez zmiany jego rozmiaru i pozostając całkowicie ukryte przed widokiem systemu Windows .
Po otwarciu i uruchomieniu pliku zawierającego ADS aktywuje on ADS i uruchamia pod nim program.
W tym artykule widzimy, jak możesz łatwo utworzyć ADS na komputerze i ukryć dowolny plik w innym, aby po uruchomieniu ADS został aktywowany na swoim miejscu.
1) Otwórz Eksploratora Windows, przejdź na dysk C: i utwórz nowy folder, który możemy nazwać „reklamami”.
2) Wewnątrz, aby przetestować eksperyment, utwórz nowy plik tekstowy i nazwij go „test.txt” i skopiuj dowolne zdjęcie lub obraz, który znajduje się na komputerze i którego nazwę można zmienić na immagine_test.jpg.
3) Otwórz wiersz polecenia znaleziony w Star -> Programy -> Akcesoria lub przechodząc do Start -> Uruchom -> i napisz „ cmd ”
4) Teraz napisz cd \ ads, aby wejść przez Dos do utworzonego wcześniej folderu.
5) Aby utworzyć elementarne ADS i zacząć rozumieć, czym one są, możesz napisać „ echo Ciao bello> test.txt: testonascosto.txt ”; możesz zauważyć, że do folderu reklam nie dodano żadnych plików.
6) Napisz w wierszu polecenia „ notepad test.txt: testonascosto.txt ” i jak za pomocą magii notatnik otworzy się z wcześniej napisanym tekstem; w rzeczywistości coś napisanego zostało ukryte, co pozostaje niewidoczne na komputerze, chyba że przez wykonanie tego typu polecenia.
Jeśli ciekawość zacznie łaskotać ducha hakera, który jest w każdym z nas, przejdźmy dalej i zobaczmy, co jeszcze można zrobić.
7) Jeśli z ukrywania tekstu mogą korzystać tylko szpiedzy CIA, haker może pomyśleć o użyciu tej techniki, aby ukryć zły plik w dobrym.
Aby wykonać praktyczny eksperyment, możesz skopiować plik calc.exe do folderu Ads, który znajduje się w folderze systemu Windows i służy do otwierania normalnego kalkulatora.
Aby skopiować plik do folderu Reklamy, po prostu napisz „ skopiuj C: \ windows \ system32 \ calc.exe c: \ ads ” w wierszu polecenia.
8) Teraz możesz wstawić plik image_test.jpg, który wcześniej zrobiliśmy i który powinien nadal znajdować się w folderze reklam, w pliku calc.exe.
Aby wykonać tę infiltrację, musisz napisać w czarnym oknie DOS, które do tej pory nigdy nie zamknęliśmy: „ type immagine_test.jpg> calc.exe: immagine_test.jpg ”.
9) Wynik: jeśli uruchomisz plik calc.exe, nic dziwnego się nie stanie; jeśli rozpoczniesz od pliku calc.exe, pisząc w ten sposób: start ./calc.exe : immagine_test.jpg lub uruchom C: \ ads \ calc.exe: immagine_test.jpg (zawsze pobiera całą ścieżkę), otwiera się „obraz wybrany wcześniej, a nie kalkulator; jeśli usuniesz plik image_test z folderu Reklamy, wynik się nie zmieni.
Oznacza to, że plik jpg został ukryty w pliku calc.exe, nie jest już widoczny, rozmiar calc.exe pozostał niezmieniony i nic nie wskazuje na obecność strumienia danych.
W przeciwieństwie do metody używanej z Winrar, tym razem nie ma archiwum, a ukryty plik jest aktywowany i jest wykonywany po uruchomieniu hosta, klikając plik calc.exe z otwartego folderu, obraz nie pojawia się.
Możesz także ukryć pliki w folderze, który wydaje się być przez pomyłkę pusty.
10) Możesz utworzyć nowy folder w Ads i nazwać go Ads2, a następnie z Dos, napisać cd Ads2 i wpisać polecenie „ typ c: \ ads \ calc.exe>: pippo.exe ”; plik calc.exe znajduje się w folderze Ads2, ale nie można go zobaczyć, ani za pomocą polecenia „ dir ”, które wyświetla pliki w katalogach, ani przez odejście od eksploracji zasobów za pomocą normalnego interfejsu graficznego.
Są to dość stare sztuczki, ale wiele z nich jest nieznanych, ponieważ w rzeczywistości nie mają rzeczywistej użyteczności, przynajmniej dla zwykłych użytkowników; są złymi hakerami, którzy je wykorzystują, aw przeszłości wyrządzili wiele szkód przy użyciu strumieni danych.
W rzeczywistości wyobrażając sobie, że w naszym przykładzie powyżej w punkcie 8 zamiast normalnego i nieszkodliwego pliku obrazu ukrył on w kalkulatorze, prawdziwy wirus, byłby to ból.
Jeśli prawdziwy wirus wywoła się sam, na przykład svchost.exe, który jest obecny kilka razy w menedżerze zadań, naprawdę trudno byłoby go znaleźć.
Na tym się nie kończy, ponieważ ekspert haker wie, że programy takie jak kalkulator lub notatnik są zawsze na ścieżce C: \ Windows \ System32, więc potencjalnie może to uszkodzić ten plik, bez konieczności tworzenia niczego nowego.
Mimo to, bez niewygodnych wirusów, możesz ukryć plik 10 GB wewnątrz 10 Kbyte i, nie rozumiejąc dlaczego, możesz znaleźć się z zamkniętym komputerem i bez więcej miejsca.
Na szczęście te problemy z bezpieczeństwem zostały w znacznym stopniu przezwyciężone, antywirusy znajdują ukryte wirusy w locie i jest mało prawdopodobne, aby doszło do takiego ataku, jeśli jesteś chroniony.
Jedyne zalecenie, które muszę wydać, to takie, że biorąc pod uwagę łatwość tworzenia złośliwego pliku w ten sposób, nie należy przyjmować żadnych plików od nieznajomych, być może wysyłanych za pośrednictwem MSN lub pocztą, nawet jeśli byłyby to zdjęcia, obrazy, muzyka, pliki tekstowe lub cokolwiek innego.
Dla przypomnienia, ADS działa tylko na partycjach dysku NTFS, a nie na FAT32, dlatego aby usunąć plik ADS, możesz usunąć ten, który go hostuje, usuwając go lub przenosząc na partycję FAT32.
Istnieją narzędzia, które potrafią zidentyfikować strumienie danych, a najlepsze są słynne Hijackthis, które już kilkakrotnie napotkaliśmy na tym blogu.
Na Hijackthis, otwierając „Różne narzędzia”, znajduje się narzędzie o nazwie „ADS Spy”, które skanuje strumienie i, jeśli chcesz je usunąć, ale szczerze mówiąc, byłby to nadmierny zapał bezpieczeństwa również dlatego, że wiele ADS jest użytecznych w systemie Windows i ryzykowałbyś wyrządzenie szkody.
W takim przypadku wystarczyło utworzyć archiwum winrar w pliku obrazu z tym, co chcesz w środku.
Rozmiar tego pliku .jpg jest wyraźnie większy w zależności od liczby plików. Aby go otworzyć, po prostu zrób „Otwórz za pomocą…” i wybierz Winrar.
Ale wirusy nie ukrywają się w ten sposób, nie tylko łatwo byłoby je znaleźć, ale archiwum .rar jest całkowicie nieszkodliwe, nie otwiera niczego w pamięci i nie aktywuje żadnego procesu.
Nazywa się je ADS ( Alternate Data Stream ) tymi plikami, które są ukryte w innym pliku, bez zmiany jego rozmiaru i pozostając całkowicie ukryte przed widokiem systemu Windows .
Po otwarciu i uruchomieniu pliku zawierającego ADS aktywuje on ADS i uruchamia pod nim program.
W tym artykule widzimy, jak możesz łatwo utworzyć ADS na komputerze i ukryć dowolny plik w innym, aby po uruchomieniu ADS został aktywowany na swoim miejscu.
1) Otwórz Eksploratora Windows, przejdź na dysk C: i utwórz nowy folder, który możemy nazwać „reklamami”.
2) Wewnątrz, aby przetestować eksperyment, utwórz nowy plik tekstowy i nazwij go „test.txt” i skopiuj dowolne zdjęcie lub obraz, który znajduje się na komputerze i którego nazwę można zmienić na immagine_test.jpg.
3) Otwórz wiersz polecenia znaleziony w Star -> Programy -> Akcesoria lub przechodząc do Start -> Uruchom -> i napisz „ cmd ”
4) Teraz napisz cd \ ads, aby wejść przez Dos do utworzonego wcześniej folderu.
5) Aby utworzyć elementarne ADS i zacząć rozumieć, czym one są, możesz napisać „ echo Ciao bello> test.txt: testonascosto.txt ”; możesz zauważyć, że do folderu reklam nie dodano żadnych plików.
6) Napisz w wierszu polecenia „ notepad test.txt: testonascosto.txt ” i jak za pomocą magii notatnik otworzy się z wcześniej napisanym tekstem; w rzeczywistości coś napisanego zostało ukryte, co pozostaje niewidoczne na komputerze, chyba że przez wykonanie tego typu polecenia.
Jeśli ciekawość zacznie łaskotać ducha hakera, który jest w każdym z nas, przejdźmy dalej i zobaczmy, co jeszcze można zrobić.
7) Jeśli z ukrywania tekstu mogą korzystać tylko szpiedzy CIA, haker może pomyśleć o użyciu tej techniki, aby ukryć zły plik w dobrym.
Aby wykonać praktyczny eksperyment, możesz skopiować plik calc.exe do folderu Ads, który znajduje się w folderze systemu Windows i służy do otwierania normalnego kalkulatora.
Aby skopiować plik do folderu Reklamy, po prostu napisz „ skopiuj C: \ windows \ system32 \ calc.exe c: \ ads ” w wierszu polecenia.
8) Teraz możesz wstawić plik image_test.jpg, który wcześniej zrobiliśmy i który powinien nadal znajdować się w folderze reklam, w pliku calc.exe.
Aby wykonać tę infiltrację, musisz napisać w czarnym oknie DOS, które do tej pory nigdy nie zamknęliśmy: „ type immagine_test.jpg> calc.exe: immagine_test.jpg ”.
9) Wynik: jeśli uruchomisz plik calc.exe, nic dziwnego się nie stanie; jeśli rozpoczniesz od pliku calc.exe, pisząc w ten sposób: start ./calc.exe : immagine_test.jpg lub uruchom C: \ ads \ calc.exe: immagine_test.jpg (zawsze pobiera całą ścieżkę), otwiera się „obraz wybrany wcześniej, a nie kalkulator; jeśli usuniesz plik image_test z folderu Reklamy, wynik się nie zmieni.
Oznacza to, że plik jpg został ukryty w pliku calc.exe, nie jest już widoczny, rozmiar calc.exe pozostał niezmieniony i nic nie wskazuje na obecność strumienia danych.
W przeciwieństwie do metody używanej z Winrar, tym razem nie ma archiwum, a ukryty plik jest aktywowany i jest wykonywany po uruchomieniu hosta, klikając plik calc.exe z otwartego folderu, obraz nie pojawia się.
Możesz także ukryć pliki w folderze, który wydaje się być przez pomyłkę pusty.
10) Możesz utworzyć nowy folder w Ads i nazwać go Ads2, a następnie z Dos, napisać cd Ads2 i wpisać polecenie „ typ c: \ ads \ calc.exe>: pippo.exe ”; plik calc.exe znajduje się w folderze Ads2, ale nie można go zobaczyć, ani za pomocą polecenia „ dir ”, które wyświetla pliki w katalogach, ani przez odejście od eksploracji zasobów za pomocą normalnego interfejsu graficznego.
Są to dość stare sztuczki, ale wiele z nich jest nieznanych, ponieważ w rzeczywistości nie mają rzeczywistej użyteczności, przynajmniej dla zwykłych użytkowników; są złymi hakerami, którzy je wykorzystują, aw przeszłości wyrządzili wiele szkód przy użyciu strumieni danych.
W rzeczywistości wyobrażając sobie, że w naszym przykładzie powyżej w punkcie 8 zamiast normalnego i nieszkodliwego pliku obrazu ukrył on w kalkulatorze, prawdziwy wirus, byłby to ból.
Jeśli prawdziwy wirus wywoła się sam, na przykład svchost.exe, który jest obecny kilka razy w menedżerze zadań, naprawdę trudno byłoby go znaleźć.
Na tym się nie kończy, ponieważ ekspert haker wie, że programy takie jak kalkulator lub notatnik są zawsze na ścieżce C: \ Windows \ System32, więc potencjalnie może to uszkodzić ten plik, bez konieczności tworzenia niczego nowego.
Mimo to, bez niewygodnych wirusów, możesz ukryć plik 10 GB wewnątrz 10 Kbyte i, nie rozumiejąc dlaczego, możesz znaleźć się z zamkniętym komputerem i bez więcej miejsca.
Na szczęście te problemy z bezpieczeństwem zostały w znacznym stopniu przezwyciężone, antywirusy znajdują ukryte wirusy w locie i jest mało prawdopodobne, aby doszło do takiego ataku, jeśli jesteś chroniony.
Jedyne zalecenie, które muszę wydać, to takie, że biorąc pod uwagę łatwość tworzenia złośliwego pliku w ten sposób, nie należy przyjmować żadnych plików od nieznajomych, być może wysyłanych za pośrednictwem MSN lub pocztą, nawet jeśli byłyby to zdjęcia, obrazy, muzyka, pliki tekstowe lub cokolwiek innego.
Dla przypomnienia, ADS działa tylko na partycjach dysku NTFS, a nie na FAT32, dlatego aby usunąć plik ADS, możesz usunąć ten, który go hostuje, usuwając go lub przenosząc na partycję FAT32.
Istnieją narzędzia, które potrafią zidentyfikować strumienie danych, a najlepsze są słynne Hijackthis, które już kilkakrotnie napotkaliśmy na tym blogu.
Na Hijackthis, otwierając „Różne narzędzia”, znajduje się narzędzie o nazwie „ADS Spy”, które skanuje strumienie i, jeśli chcesz je usunąć, ale szczerze mówiąc, byłby to nadmierny zapał bezpieczeństwa również dlatego, że wiele ADS jest użytecznych w systemie Windows i ryzykowałbyś wyrządzenie szkody.
