V dalším předchozím článku jsme viděli malý trik, jak skrýt soubory uvnitř fotografie s příponou .jpg.
V takovém případě bylo provedeno pouze vytvoření archivu winrar uvnitř obrazového souboru s tím, co chcete uvnitř.
Velikost tohoto souboru .jpg se samozřejmě zvětšuje v závislosti na tom, kolik souborů je v něm a otevřete jej jednoduše pomocí příkazu „Otevřít pomocí ..“ a zvolte Winrar.
Viry se však neskrývají, nejenže by bylo snadné je najít, ale archiv .rar je zcela neškodný, neotevírá nic v paměti a neaktivuje žádný proces.
Nazývají se ADS ( Alternate Data Stream ) ty soubory, které jsou skryty uvnitř jiného souboru, aniž by se změnila jeho velikost a zůstaly zcela skryty z pohledu Windows .
Když otevřete a spustíte soubor, který obsahuje ADS, aktivuje ADS a spustí program pod ním.
V tomto článku vidíme, jak můžete snadno vytvořit ADS v počítači a skrýt jakýkoli soubor uvnitř jiného, takže při spuštění ADS je aktivován na svém místě.
1) Otevřete Průzkumníka Windows, přejděte na disk C: a vytvořte novou složku, které můžeme nazvat „Reklamy“.
2) Chcete-li experiment vyzkoušet, vytvořte nový textový soubor a nazvejte jej „test.txt“ a zkopírujte jakoukoli fotografii nebo obrázek, který je v počítači a který lze přejmenovat na immagine_test.jpg.
3) Otevřete příkazový řádek nalezený ve Star -> Programy -> Příslušenství nebo přejděte na Start -> Spustit -> a napište " cmd "
4) Nyní pište cd \ ads a přes Dos otevřete složku vytvořenou dříve.
5) Chcete-li vytvořit základní ADS a začít porozumět tomu, co jsou, můžete napsat " echo Ciao bello> test.txt: testonascosto.txt "; můžete si všimnout, že do složky reklam nebyly přidány žádné soubory.
6) Napište na výzvu „ notepad test.txt: testonascosto.txt “ a jako by se kouzlem otevře Poznámkový blok s předchozím textem; ve skutečnosti bylo něco napsané skryté, které zůstává v počítači neviditelné, s výjimkou provedení tohoto typu příkazu.
Pokud zvědavost začne lechtat hackerského ducha, který je v každém z nás, jdeme do toho a uvidíme, co jiného se dá udělat.
7) Pokud skrývání textu mohou používat pouze špioni CIA, hacker může přemýšlet o použití této techniky ke skrytí špatného souboru uvnitř dobrého.
Chcete-li provést praktický experiment, můžete zkopírovat soubor calc.exe do složky Ads, která je umístěna ve systémové složce Windows a slouží k otevření normální kalkulačky.
Chcete-li soubor zkopírovat do složky Reklamy, stačí napsat do příkazového řádku text „ copy C: \ windows \ system32 \ calc.exe c: \ ads “.
8) Nyní můžete vložit soubor image_test.jpg, který jsme předtím pořídili a který by měl být stále ve složce Ads, uvnitř souboru calc.exe.
Chcete-li provést tuto infiltraci, musíte napsat do černého okna systému DOS, které jsme dosud neuzavřeli: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Výsledek: Pokud spustíte soubor calc.exe, nestane se nic zvláštního; Pokud začnete z výpočtu souboru calc.exe psát takto: start ./calc.exe : immagine_test.jpg nebo spusťte C: \ ads \ calc.exe: immagine_test.jpg (vždy trvá celou cestu), otevře se 'obrázek vybraný dříve a ne kalkulačka; Pokud odstraníte soubor image_test ze složky Ads, výsledek se nezmění.
To znamená, že soubor jpg byl uvnitř souboru calc.exe skryt, není již viditelný, velikost souboru calc.exe zůstala nezměněna a nic nenaznačuje přítomnost datového proudu.
Na rozdíl od metody používané s Winrarem tentokrát neexistuje žádný archiv a skrytý soubor je aktivován a je spuštěn při spuštění hostitele kliknutím na soubor calc.exe z otevřené složky obrázek se neobjeví.
Soubory můžete také skrýt ve složce, která bude vypadat omylem prázdná.
10) Můžete vytvořit novou složku uvnitř Ads a nazvat ji Ads2, potom z Dos, napsat cd Ads2 a napsat příkaz " type c: \ ads \ calc.exe>: pippo.exe "; soubor calc.exe je ve složce Ads2, ale nemůžete ho vidět ani pomocí příkazu „ dir “, který zobrazuje soubory v adresářích, ani tím, že jdete pryč, prozkoumejte zdroje pomocí běžného grafického rozhraní.
Jsou to docela staré triky, ale mnoho z nich je neznámých také proto, že ve skutečnosti nemají skutečný nástroj, alespoň pro běžné uživatele; jsou špatní hackeři, kteří je využívají, a v minulosti způsobili pomocí datových toků mnoho škod.
Ve skutečnosti si představoval, že v našem příkladu výše, v bodě 8, namísto normálního a neškodného obrazového souboru skryl uvnitř kalkulačky skutečný virus, byla by to bolest.
Pokud se skutečný virus nazývá sám, například svchost.exe, který je několikrát přítomen ve správci úloh, pak by bylo opravdu těžké ho najít.
Nekončí to zde, protože odborný hacker ví, že programy jako kalkulačka nebo Poznámkový blok jsou vždy na cestě C: \ Windows \ System32, a proto by mohlo jít o poškození tohoto souboru, aniž by bylo nutné vytvářet nic nového.
Přesto, bez nepříjemných virů, můžete skrýt soubor 10 GB uvnitř 10 Kbyte a bez pochopení proč byste se mohli ocitnout s uzamčeným počítačem a bez volného místa.
Naštěstí jsou tyto bezpečnostní problémy do značné míry překonány, antivirové programy nacházejí skryté viry za běhu a pokud je ochrana chráněna, není pravděpodobné, že by takový útok utrpěl.
Jediné doporučení, které musím učinit, je, že vzhledem k snadnosti, s jakou můžete tímto způsobem vytvořit škodlivý soubor, by bylo nepřijímat žádné soubory od cizinců, snad zasílané prostřednictvím MSN nebo poštou, i kdyby to byly fotografie, obrázky, hudba, textové soubory nebo cokoli.
Pro záznam funguje služba ADS pouze na diskových oddílech NTFS a ne na FAT32. Chcete-li tedy odstranit soubor ADS, můžete buď odstranit ten, který ho hostí, jeho odstraněním nebo přesunutím do oddílu FAT32.
Existují nástroje, které mohou identifikovat datové toky, a nejlepší je slavný Hijackthis, se kterým jsme se již v tomto blogu několikrát setkali.
Na Hijackthis, otevřením "Různé nástroje" je nástroj nazvaný "ADS Spy", který prohledává Streams a, pokud je chcete odstranit, ale upřímně, bylo by to nadměrné horlivost zabezpečení také proto, že mnoho ADS jsou užitečné pro Windows a riskujete poškození.
V takovém případě bylo provedeno pouze vytvoření archivu winrar uvnitř obrazového souboru s tím, co chcete uvnitř.
Velikost tohoto souboru .jpg se samozřejmě zvětšuje v závislosti na tom, kolik souborů je v něm a otevřete jej jednoduše pomocí příkazu „Otevřít pomocí ..“ a zvolte Winrar.
Viry se však neskrývají, nejenže by bylo snadné je najít, ale archiv .rar je zcela neškodný, neotevírá nic v paměti a neaktivuje žádný proces.
Nazývají se ADS ( Alternate Data Stream ) ty soubory, které jsou skryty uvnitř jiného souboru, aniž by se změnila jeho velikost a zůstaly zcela skryty z pohledu Windows .
Když otevřete a spustíte soubor, který obsahuje ADS, aktivuje ADS a spustí program pod ním.
V tomto článku vidíme, jak můžete snadno vytvořit ADS v počítači a skrýt jakýkoli soubor uvnitř jiného, takže při spuštění ADS je aktivován na svém místě.
1) Otevřete Průzkumníka Windows, přejděte na disk C: a vytvořte novou složku, které můžeme nazvat „Reklamy“.
2) Chcete-li experiment vyzkoušet, vytvořte nový textový soubor a nazvejte jej „test.txt“ a zkopírujte jakoukoli fotografii nebo obrázek, který je v počítači a který lze přejmenovat na immagine_test.jpg.
3) Otevřete příkazový řádek nalezený ve Star -> Programy -> Příslušenství nebo přejděte na Start -> Spustit -> a napište " cmd "
4) Nyní pište cd \ ads a přes Dos otevřete složku vytvořenou dříve.
5) Chcete-li vytvořit základní ADS a začít porozumět tomu, co jsou, můžete napsat " echo Ciao bello> test.txt: testonascosto.txt "; můžete si všimnout, že do složky reklam nebyly přidány žádné soubory.
6) Napište na výzvu „ notepad test.txt: testonascosto.txt “ a jako by se kouzlem otevře Poznámkový blok s předchozím textem; ve skutečnosti bylo něco napsané skryté, které zůstává v počítači neviditelné, s výjimkou provedení tohoto typu příkazu.
Pokud zvědavost začne lechtat hackerského ducha, který je v každém z nás, jdeme do toho a uvidíme, co jiného se dá udělat.
7) Pokud skrývání textu mohou používat pouze špioni CIA, hacker může přemýšlet o použití této techniky ke skrytí špatného souboru uvnitř dobrého.
Chcete-li provést praktický experiment, můžete zkopírovat soubor calc.exe do složky Ads, která je umístěna ve systémové složce Windows a slouží k otevření normální kalkulačky.
Chcete-li soubor zkopírovat do složky Reklamy, stačí napsat do příkazového řádku text „ copy C: \ windows \ system32 \ calc.exe c: \ ads “.
8) Nyní můžete vložit soubor image_test.jpg, který jsme předtím pořídili a který by měl být stále ve složce Ads, uvnitř souboru calc.exe.
Chcete-li provést tuto infiltraci, musíte napsat do černého okna systému DOS, které jsme dosud neuzavřeli: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Výsledek: Pokud spustíte soubor calc.exe, nestane se nic zvláštního; Pokud začnete z výpočtu souboru calc.exe psát takto: start ./calc.exe : immagine_test.jpg nebo spusťte C: \ ads \ calc.exe: immagine_test.jpg (vždy trvá celou cestu), otevře se 'obrázek vybraný dříve a ne kalkulačka; Pokud odstraníte soubor image_test ze složky Ads, výsledek se nezmění.
To znamená, že soubor jpg byl uvnitř souboru calc.exe skryt, není již viditelný, velikost souboru calc.exe zůstala nezměněna a nic nenaznačuje přítomnost datového proudu.
Na rozdíl od metody používané s Winrarem tentokrát neexistuje žádný archiv a skrytý soubor je aktivován a je spuštěn při spuštění hostitele kliknutím na soubor calc.exe z otevřené složky obrázek se neobjeví.
Soubory můžete také skrýt ve složce, která bude vypadat omylem prázdná.
10) Můžete vytvořit novou složku uvnitř Ads a nazvat ji Ads2, potom z Dos, napsat cd Ads2 a napsat příkaz " type c: \ ads \ calc.exe>: pippo.exe "; soubor calc.exe je ve složce Ads2, ale nemůžete ho vidět ani pomocí příkazu „ dir “, který zobrazuje soubory v adresářích, ani tím, že jdete pryč, prozkoumejte zdroje pomocí běžného grafického rozhraní.
Jsou to docela staré triky, ale mnoho z nich je neznámých také proto, že ve skutečnosti nemají skutečný nástroj, alespoň pro běžné uživatele; jsou špatní hackeři, kteří je využívají, a v minulosti způsobili pomocí datových toků mnoho škod.
Ve skutečnosti si představoval, že v našem příkladu výše, v bodě 8, namísto normálního a neškodného obrazového souboru skryl uvnitř kalkulačky skutečný virus, byla by to bolest.
Pokud se skutečný virus nazývá sám, například svchost.exe, který je několikrát přítomen ve správci úloh, pak by bylo opravdu těžké ho najít.
Nekončí to zde, protože odborný hacker ví, že programy jako kalkulačka nebo Poznámkový blok jsou vždy na cestě C: \ Windows \ System32, a proto by mohlo jít o poškození tohoto souboru, aniž by bylo nutné vytvářet nic nového.
Přesto, bez nepříjemných virů, můžete skrýt soubor 10 GB uvnitř 10 Kbyte a bez pochopení proč byste se mohli ocitnout s uzamčeným počítačem a bez volného místa.
Naštěstí jsou tyto bezpečnostní problémy do značné míry překonány, antivirové programy nacházejí skryté viry za běhu a pokud je ochrana chráněna, není pravděpodobné, že by takový útok utrpěl.
Jediné doporučení, které musím učinit, je, že vzhledem k snadnosti, s jakou můžete tímto způsobem vytvořit škodlivý soubor, by bylo nepřijímat žádné soubory od cizinců, snad zasílané prostřednictvím MSN nebo poštou, i kdyby to byly fotografie, obrázky, hudba, textové soubory nebo cokoli.
Pro záznam funguje služba ADS pouze na diskových oddílech NTFS a ne na FAT32. Chcete-li tedy odstranit soubor ADS, můžete buď odstranit ten, který ho hostí, jeho odstraněním nebo přesunutím do oddílu FAT32.
Existují nástroje, které mohou identifikovat datové toky, a nejlepší je slavný Hijackthis, se kterým jsme se již v tomto blogu několikrát setkali.
Na Hijackthis, otevřením "Různé nástroje" je nástroj nazvaný "ADS Spy", který prohledává Streams a, pokud je chcete odstranit, ale upřímně, bylo by to nadměrné horlivost zabezpečení také proto, že mnoho ADS jsou užitečné pro Windows a riskujete poškození.
