Egy másik előző cikkben látottunk egy kis trükköt a fájlok elrejtésére egy fénykép belsejében a .jpg kiterjesztés mellett.
Ebben az esetben csak annyit tettek, hogy hozzon létre egy winrar-archívumot a képfájlban, bármit is szeretne benne.
Nyilvánvaló, hogy a .jpg fájl mérete nagyobb lesz, attól függően, hogy hány fájl van benne, és a megnyitáshoz hajtsa végre az "Open with .." lehetőséget, és válassza a Winrar lehetőséget.
De a vírusok nem rejtenek ilyen módon, nemcsak könnyű lenne megtalálni, hanem a .rar archívum is teljesen ártalmatlan, semmit sem nyit meg a memóriában, és nem aktivál egyetlen folyamatot sem.
ADS-nek ( Alternate Data Stream ) hívják azokat a fájlokat, amelyek egy másik fájlban rejtve maradnak, anélkül, hogy megváltoztatnák annak méretét, és teljesen rejtettek maradnának a Windows nézetében .
Amikor megnyit egy ADS-t tartalmazó fájlt, futtatja az ADS-t, és elindítja a programot.
Ebben a cikkben azt látjuk, hogyan lehet könnyedén létrehozni egy ADS-t a számítógépével, és elrejtheti a fájlokat egy másikban, hogy az ADS futtatásakor a helyére aktiválódjon.
1) Nyissa meg a Windows Intézőt, lépjen a C lemezre: és hozzon létre egy új mappát, amelyet "Ads" -nek nevezhetünk.
2) A kísérlet teszteléséhez hozzon létre egy új szöveges fájlt, és nevezze azt "test.txt" -nek, és másolja át a számítógépen található összes képet vagy képet, amelyet át lehet nevezni az immagine_test.jpg fájlra.
3) Nyissa meg a Star -> Programok -> Kellékek vagy a Start -> Futtatás -> parancsot, és írja be a " cmd " parancsot .
4) Most írjon cd \ hirdetéseket, hogy Dos-on keresztül beírja az előzőleg létrehozott mappát.
5) Ahhoz, hogy elemi ADS-t hozzon létre, és megértse, mi ezek, írhat " echo Ciao bello> test.txt: testonascosto.txt "; észreveheti, hogy nem került fájl hozzáadásra a hirdetések mappába.
6) Írja a „ notepad test.txt: testonascosto.txt ” felszólításra, és mint varázslatos, a jegyzettömb megnyílik a korábban írt szöveggel; Valójában valami el van rejtve, ami láthatatlan marad a számítógépen, kivéve az ilyen típusú parancs végrehajtása mellett.
Ha a kíváncsiság elkezdi csiklandozni a hackerek szellemében, amely mindannyiunkban van, menjünk tovább, nézzük meg, mit lehet még tenni.
7) Ha a szöveg elrejtését csak a CIA kémek használhatják, akkor a hackerek ezt a technikát használhatják arra, hogy elrejtsenek egy rossz fájlt egy jóban.
Gyakorlati kísérlet elvégzéséhez másolhatja a calc.exe fájlt a Ads mappában, amely a Windows rendszermappában található, és a normál számológép megnyitásához használható.
A fájl másolásához a Ads mappába csak írja a " copy C: \ Windows \ system32 \ calc.exe c: \ ads " parancsot a parancssorba.
8) Most beillesztheti a image_test.jpg fájlt, amelyet korábban készítettünk, és amelynek továbbra is a Ads mappában, a calc.exe fájlban kell lennie.
Ehhez a beszivárgáshoz meg kell írnia a fekete DOS ablakot, amelyet eddig még soha nem zártunk be : " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Eredmény: ha elindítja a calc.exe fájlt, semmi különös nem történik meg; Ha a calc.exe fájl kiszámításából indul, a következő írással: start ./calc.exe : immagine_test.jpg, vagy elindítja a C: \ ads \ calc.exe: immagine_test.jpg fájlt (ez mindig az egész útvonalon jár), megnyílik „az előzőleg választott kép, nem pedig a számológép; ha törli a image_test fájlt a Ads mappából, az eredmény nem változik.
Ez azt jelenti, hogy a jpg fájlt elrejtették a calc.exe fájl belsejében, már nem látható, a calc.exe mérete változatlan marad, és semmi sem jelzi az adatfolyam jelenlétét.
A Winrar-nal alkalmazott módszerrel ellentétben ezúttal nincs archívum, és a rejtett fájl aktiválódik, és a host indításakor végrehajtódik, a megnyitott mappában található calc.exe fájlra kattintva, a A kép nem jelenik meg.
A fájlokat elrejtheti egy mappában is, amely tévesen üresnek tűnik.
10) Készíthet egy új mappát a Ads alkalmazásban, és úgy hívhatja Ads2-ként, majd a Dos-ból, írja a cd Ads2-t, és írja be a " type c: \ ads \ calc.exe>: pippo.exe " parancsot; A calc.exe fájl az Ads2 mappában található, de nem láthatja sem a könyvtárban lévő fájlokat megjelenítő " dir " paranccsal, sem pedig a szokásos grafikus felülettel történő erőforrások felfedezésével.
Ezek meglehetősen régi trükkök, de sokuk ismeretlen azért is, mert valójában nincsenek valódi hasznuk, legalábbis a normál felhasználók számára; ők a rossz hackerek, akik kihasználják őket, és a múltban sok károkat okoztak az adatfolyamok segítségével.
Valójában, ha elképzeljük, hogy a fenti példánkban a 8. pontban egy normál és ártalmatlan képfájl helyett a számológépbe rejtett egy valódi vírust, fájdalom lenne.
Ha a valódi vírus magát nevezi, például az svchost.exe fájlt, amely többször is jelen van a feladatkezelőben, akkor nagyon nehéz lenne megtalálni.
Ez nem ért véget azért, mert egy szakértő hackeres tudja, hogy a számológép vagy a jegyzettömb programjai mindig a C: \ Windows \ System32 útvonalon vannak, tehát potenciálisan megrongálhatja a fájlt anélkül, hogy bármi újat kellene létrehoznia.
Ennek ellenére a vírusok kellemetlensége nélkül elrejthet egy 10 GB-os fájlt egy 10 Kbyte-os méretben, és anélkül, hogy megértené, miért találhatja magát zárt számítógéppel és több hely nélkül.
Szerencsére ezeket a biztonsági problémákat nagyrészt leküzdik, az antivírusok rejtett vírusokat találnak menet közben, és valószínűtlen, hogy ilyen támadást szenved, ha védelem alatt áll.
Csak annyit kell tennem, hogy mivel rosszindulatú módon lehet létrehozni egy rosszindulatú fájlt, akkor az lenne az eset, ha az idegenektől nem fogadunk el fájlokat, amelyeket esetleg MSN-en keresztül vagy e-mailben küldenek, még akkor is, ha ezek fotók, képek, zene, szöveges fájlok vagy bármi más.
A rekordhoz az ADS csak az NTFS lemezpartíciókon működik, és nem a FAT32-en, ezért egy ADS-fájl törléséhez törölheti azt, amelyik tárolja, vagy áthelyezi egy FAT32 partícióra.
Vannak olyan eszközök, amelyek azonosítják az adatfolyamokat, és a legjobb a híres Hijackthis, amellyel már többször találkoztunk ebben a blogban.
A Hijackthis-on az "Egyéb eszközök" megnyitásával elérhető egy "ADS Spy" nevű segédprogram, amely beolvassa a Streameket, és ha el akarja távolítani őket, de őszintén szólva, ez a biztonság túlzott buzgalma lenne azért is, mert sok ADS hasznos a Windows számára és kockázatot jelenthet, ha kárt okoz.
Ebben az esetben csak annyit tettek, hogy hozzon létre egy winrar-archívumot a képfájlban, bármit is szeretne benne.
Nyilvánvaló, hogy a .jpg fájl mérete nagyobb lesz, attól függően, hogy hány fájl van benne, és a megnyitáshoz hajtsa végre az "Open with .." lehetőséget, és válassza a Winrar lehetőséget.
De a vírusok nem rejtenek ilyen módon, nemcsak könnyű lenne megtalálni, hanem a .rar archívum is teljesen ártalmatlan, semmit sem nyit meg a memóriában, és nem aktivál egyetlen folyamatot sem.
ADS-nek ( Alternate Data Stream ) hívják azokat a fájlokat, amelyek egy másik fájlban rejtve maradnak, anélkül, hogy megváltoztatnák annak méretét, és teljesen rejtettek maradnának a Windows nézetében .
Amikor megnyit egy ADS-t tartalmazó fájlt, futtatja az ADS-t, és elindítja a programot.
Ebben a cikkben azt látjuk, hogyan lehet könnyedén létrehozni egy ADS-t a számítógépével, és elrejtheti a fájlokat egy másikban, hogy az ADS futtatásakor a helyére aktiválódjon.
1) Nyissa meg a Windows Intézőt, lépjen a C lemezre: és hozzon létre egy új mappát, amelyet "Ads" -nek nevezhetünk.
2) A kísérlet teszteléséhez hozzon létre egy új szöveges fájlt, és nevezze azt "test.txt" -nek, és másolja át a számítógépen található összes képet vagy képet, amelyet át lehet nevezni az immagine_test.jpg fájlra.
3) Nyissa meg a Star -> Programok -> Kellékek vagy a Start -> Futtatás -> parancsot, és írja be a " cmd " parancsot .
4) Most írjon cd \ hirdetéseket, hogy Dos-on keresztül beírja az előzőleg létrehozott mappát.
5) Ahhoz, hogy elemi ADS-t hozzon létre, és megértse, mi ezek, írhat " echo Ciao bello> test.txt: testonascosto.txt "; észreveheti, hogy nem került fájl hozzáadásra a hirdetések mappába.
6) Írja a „ notepad test.txt: testonascosto.txt ” felszólításra, és mint varázslatos, a jegyzettömb megnyílik a korábban írt szöveggel; Valójában valami el van rejtve, ami láthatatlan marad a számítógépen, kivéve az ilyen típusú parancs végrehajtása mellett.
Ha a kíváncsiság elkezdi csiklandozni a hackerek szellemében, amely mindannyiunkban van, menjünk tovább, nézzük meg, mit lehet még tenni.
7) Ha a szöveg elrejtését csak a CIA kémek használhatják, akkor a hackerek ezt a technikát használhatják arra, hogy elrejtsenek egy rossz fájlt egy jóban.
Gyakorlati kísérlet elvégzéséhez másolhatja a calc.exe fájlt a Ads mappában, amely a Windows rendszermappában található, és a normál számológép megnyitásához használható.
A fájl másolásához a Ads mappába csak írja a " copy C: \ Windows \ system32 \ calc.exe c: \ ads " parancsot a parancssorba.
8) Most beillesztheti a image_test.jpg fájlt, amelyet korábban készítettünk, és amelynek továbbra is a Ads mappában, a calc.exe fájlban kell lennie.
Ehhez a beszivárgáshoz meg kell írnia a fekete DOS ablakot, amelyet eddig még soha nem zártunk be : " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Eredmény: ha elindítja a calc.exe fájlt, semmi különös nem történik meg; Ha a calc.exe fájl kiszámításából indul, a következő írással: start ./calc.exe : immagine_test.jpg, vagy elindítja a C: \ ads \ calc.exe: immagine_test.jpg fájlt (ez mindig az egész útvonalon jár), megnyílik „az előzőleg választott kép, nem pedig a számológép; ha törli a image_test fájlt a Ads mappából, az eredmény nem változik.
Ez azt jelenti, hogy a jpg fájlt elrejtették a calc.exe fájl belsejében, már nem látható, a calc.exe mérete változatlan marad, és semmi sem jelzi az adatfolyam jelenlétét.
A Winrar-nal alkalmazott módszerrel ellentétben ezúttal nincs archívum, és a rejtett fájl aktiválódik, és a host indításakor végrehajtódik, a megnyitott mappában található calc.exe fájlra kattintva, a A kép nem jelenik meg.
A fájlokat elrejtheti egy mappában is, amely tévesen üresnek tűnik.
10) Készíthet egy új mappát a Ads alkalmazásban, és úgy hívhatja Ads2-ként, majd a Dos-ból, írja a cd Ads2-t, és írja be a " type c: \ ads \ calc.exe>: pippo.exe " parancsot; A calc.exe fájl az Ads2 mappában található, de nem láthatja sem a könyvtárban lévő fájlokat megjelenítő " dir " paranccsal, sem pedig a szokásos grafikus felülettel történő erőforrások felfedezésével.
Ezek meglehetősen régi trükkök, de sokuk ismeretlen azért is, mert valójában nincsenek valódi hasznuk, legalábbis a normál felhasználók számára; ők a rossz hackerek, akik kihasználják őket, és a múltban sok károkat okoztak az adatfolyamok segítségével.
Valójában, ha elképzeljük, hogy a fenti példánkban a 8. pontban egy normál és ártalmatlan képfájl helyett a számológépbe rejtett egy valódi vírust, fájdalom lenne.
Ha a valódi vírus magát nevezi, például az svchost.exe fájlt, amely többször is jelen van a feladatkezelőben, akkor nagyon nehéz lenne megtalálni.
Ez nem ért véget azért, mert egy szakértő hackeres tudja, hogy a számológép vagy a jegyzettömb programjai mindig a C: \ Windows \ System32 útvonalon vannak, tehát potenciálisan megrongálhatja a fájlt anélkül, hogy bármi újat kellene létrehoznia.
Ennek ellenére a vírusok kellemetlensége nélkül elrejthet egy 10 GB-os fájlt egy 10 Kbyte-os méretben, és anélkül, hogy megértené, miért találhatja magát zárt számítógéppel és több hely nélkül.
Szerencsére ezeket a biztonsági problémákat nagyrészt leküzdik, az antivírusok rejtett vírusokat találnak menet közben, és valószínűtlen, hogy ilyen támadást szenved, ha védelem alatt áll.
Csak annyit kell tennem, hogy mivel rosszindulatú módon lehet létrehozni egy rosszindulatú fájlt, akkor az lenne az eset, ha az idegenektől nem fogadunk el fájlokat, amelyeket esetleg MSN-en keresztül vagy e-mailben küldenek, még akkor is, ha ezek fotók, képek, zene, szöveges fájlok vagy bármi más.
A rekordhoz az ADS csak az NTFS lemezpartíciókon működik, és nem a FAT32-en, ezért egy ADS-fájl törléséhez törölheti azt, amelyik tárolja, vagy áthelyezi egy FAT32 partícióra.
Vannak olyan eszközök, amelyek azonosítják az adatfolyamokat, és a legjobb a híres Hijackthis, amellyel már többször találkoztunk ebben a blogban.
A Hijackthis-on az "Egyéb eszközök" megnyitásával elérhető egy "ADS Spy" nevű segédprogram, amely beolvassa a Streameket, és ha el akarja távolítani őket, de őszintén szólva, ez a biztonság túlzott buzgalma lenne azért is, mert sok ADS hasznos a Windows számára és kockázatot jelenthet, ha kárt okoz.
