V drugem prejšnjem članku smo videli majhen trik za skrivanje datotek znotraj fotografije s pripono .jpg.
V tem primeru je bilo vse, kar je bilo potrebno, ustvariti arhiv winrarja znotraj slikovne datoteke s tem, kar želite v notranjosti.
Jasno je, da velikost te datoteke .jpg postane večja, odvisno od tega, koliko datotek je v njej, in da jo odprete, naredite "Odpri z .." in izberite Winrar.
Toda virusi tega ne skrivajo, ne le, da bi ga bilo enostavno najti, ampak .rar arhiv je popolnoma neškodljiv, ničesar ne odpre v spominu in ne aktivira nobenega procesa.
Imenujejo jih ADS ( nadomestni podatkovni tok ) tiste datoteke, ki se skrivajo znotraj druge datoteke, ne da bi spremenili njeno velikost in ostale popolnoma skrite pred pogledom Windows .
Ko odprete in zaženete datoteko, ki vsebuje ADS, aktivira ADS in zažene program pod njim.
V tem članku vidimo, kako lahko enostavno ustvarite ADS s svojim računalnikom in skrijete katero koli datoteko v drugo, tako da se, ko zaženete ADS, aktivira na svojem mestu.
1) Odprite program Windows Explorer, pojdite na disk C: in ustvarite novo mapo, ki ji lahko rečemo "Ads".
2) Če želite preizkusiti, ustvarite novo besedilno datoteko in jo pokličite "test.txt" ter kopirajte katero koli fotografijo ali sliko v računalniku in jo lahko preimenujete v immagine_test.jpg.
3) Odprite ukazni poziv v Zvezdi -> Programi -> Pripomočki ali tako, da začnete Start -> Zaženi -> in napišite " cmd "
4) Zdaj napišite cd \ oglase, da vnesete prej ustvarjeno mapo prek Dos.
5) Če želite ustvariti osnovni ADS in začeti razumeti, kaj so, lahko napišete " echo Ciao bello> test.txt: testonascosto.txt "; boste morda opazili, da v mapo z oglasi ni dodana nobena datoteka.
6) Na poziv zapišite " notepad test.txt: testonascosto.txt " in kot da bi s čarovnijo beležnico odprl z besedilom, napisanim prej; v resnici je bilo nekaj napisanega skrito, kar ostane nevidno v računalniku, razen z izvajanjem te vrste ukazov.
Če začne radovednost odkimavati hekerskemu duhu, ki je v vsakem od nas, pojdimo naprej in poglejmo, kaj lahko še storimo.
7) Če skrivanje besedila lahko uporabijo le vohuni CIA, se heker lahko zamisli, da bi s to tehniko skrival slabo datoteko v dobri datoteki.
Če želite narediti praktičen eksperiment, lahko kopirate datoteko calc.exe v mapo Ads, ki se nahaja v sistemski mapi Windows in se uporablja za odpiranje običajnega kalkulatorja.
Če želite kopirati datoteko v mapo Ads, v ukazni poziv napišite " copy C: \ windows \ system32 \ calc.exe c: \ ads ".
8) Zdaj lahko vstavite datoteko image_test.jpg, ki smo jo že posneli in ki bi morala biti še vedno v mapi Ads, znotraj datoteke calc.exe.
Če želite narediti to infiltracijo, morate na črno okno DOS napisati, da do zdaj še nikoli nismo zaprli: " vtipkajte immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Rezultat: če zaženete datoteko calc.exe, se ne zgodi nič čudnega; če začnete s calc datoteko calc.exe tako, da napišete takole: start ./calc.exe : immagine_test.jpg ali začnite C: \ ads \ calc.exe: immagine_test.jpg (vedno traja celo pot), se odpre 'slika, izbrana pred in ne kalkulator; če izbrišete datoteko image_test iz mape Ads, se rezultat ne spremeni.
To pomeni, da je bila datoteka jpg skrita znotraj datoteke calc.exe, ni več vidna, velikost calc.exe je ostala nespremenjena in nič ne signalizira o prisotnosti podatkovnega toka.
Za razliko od metode, uporabljene z Winrarjem, tokrat ni arhiva, skrita datoteka pa se aktivira in se izvrši ob zagonu gostitelja s klikom na datoteko calc.exe iz odprte mape, slika se ne prikaže.
Datoteke lahko skrijete tudi znotraj mape, ki bo videti pomotoma prazna.
10) V mapi Ads lahko ustvarite novo mapo in jo imenujete Ads2, nato pa iz Dos napišete cd Ads2 in vtipkate ukaz " type c: \ ads \ calc.exe>: pippo.exe "; datoteka calc.exe je v mapi Ads2, vendar je ne morete videti, niti z ukazom " dir ", ki prikazuje datoteke v imenikih, niti z odhodom na raziskovanje virov z običajnim grafičnim vmesnikom.
To so dokaj stari triki, ki pa so mnogi neznani tudi zato, ker v resnici nimajo prave uporabnosti, vsaj za običajne uporabnike; so slabi hekerji, ki jih izkoriščajo in so v preteklosti naredili veliko škode s pomočjo Data Stream-a.
V resnici bi si predstavljal, da bi v našem zgornjem primeru, v točki 8, namesto v normalno in neškodljivo slikovno datoteko skrival znotraj kalkulatorja, resničnega virusa, bolečina.
Če se potem pravi virus pokliče sam, na primer svchost.exe, ki je večkrat prisoten v upravitelju opravil, bi ga bilo res težko najti.
Tu se ne konča, saj poznavalec hekerja ve, da so programi, kot je kalkulator ali beležnica, vedno na poti C: \ Windows \ System32, kar bi lahko potencialno poškodovalo to datoteko, ne da bi bilo treba ustvariti kaj novega.
Kljub temu pa lahko brez neprijetnih virusov skrijete datoteko velikosti 10 GB v 10 Kbajt in ne da bi razumeli, zakaj ste se znašli z zaklenjenim računalnikom in brez več prostora.
Na srečo so te varnostne težave v veliki meri premagane, antivirusi med letenjem najdejo skrite viruse in takšen napad je zelo malo verjetno, če boste zaščiteni.
Edino priporočilo, ki ga moram povedati, je, da glede na enostavnost, s katero lahko na ta način ustvarite zlonamerno datoteko, ne bi smeli sprejemati nobenih datotek od neznancev, morda poslanih prek MSN ali po pošti, četudi so to fotografije, slike, glasba, besedilne datoteke ali kar koli drugega.
Za zapis ADS deluje samo na diskovnih particijah NTFS in ne na FAT32, zato lahko izbrišete datoteko ADS, eno gostovanje pa lahko izbrišete tako, da jo izbrišete ali pa jo premaknete na particijo FAT32.
Obstajajo orodja, s katerimi lahko prepoznamo podatkovne tokove, najboljše pa je slavni Hijackthis, s katerim smo na tem blogu že večkrat naleteli.
Na Hijackthisu z odpiranjem orodja "Razno" najdete pripomoček z imenom "ADS Spy", ki skenira tokove in če jih želite odstraniti, vendar iskreno, bi bilo to pretirano varnostno vnemo tudi zato, ker je veliko ADS uporabnih za Windows in tvegali bi škodo.
V tem primeru je bilo vse, kar je bilo potrebno, ustvariti arhiv winrarja znotraj slikovne datoteke s tem, kar želite v notranjosti.
Jasno je, da velikost te datoteke .jpg postane večja, odvisno od tega, koliko datotek je v njej, in da jo odprete, naredite "Odpri z .." in izberite Winrar.
Toda virusi tega ne skrivajo, ne le, da bi ga bilo enostavno najti, ampak .rar arhiv je popolnoma neškodljiv, ničesar ne odpre v spominu in ne aktivira nobenega procesa.
Imenujejo jih ADS ( nadomestni podatkovni tok ) tiste datoteke, ki se skrivajo znotraj druge datoteke, ne da bi spremenili njeno velikost in ostale popolnoma skrite pred pogledom Windows .
Ko odprete in zaženete datoteko, ki vsebuje ADS, aktivira ADS in zažene program pod njim.
V tem članku vidimo, kako lahko enostavno ustvarite ADS s svojim računalnikom in skrijete katero koli datoteko v drugo, tako da se, ko zaženete ADS, aktivira na svojem mestu.
1) Odprite program Windows Explorer, pojdite na disk C: in ustvarite novo mapo, ki ji lahko rečemo "Ads".
2) Če želite preizkusiti, ustvarite novo besedilno datoteko in jo pokličite "test.txt" ter kopirajte katero koli fotografijo ali sliko v računalniku in jo lahko preimenujete v immagine_test.jpg.
3) Odprite ukazni poziv v Zvezdi -> Programi -> Pripomočki ali tako, da začnete Start -> Zaženi -> in napišite " cmd "
4) Zdaj napišite cd \ oglase, da vnesete prej ustvarjeno mapo prek Dos.
5) Če želite ustvariti osnovni ADS in začeti razumeti, kaj so, lahko napišete " echo Ciao bello> test.txt: testonascosto.txt "; boste morda opazili, da v mapo z oglasi ni dodana nobena datoteka.
6) Na poziv zapišite " notepad test.txt: testonascosto.txt " in kot da bi s čarovnijo beležnico odprl z besedilom, napisanim prej; v resnici je bilo nekaj napisanega skrito, kar ostane nevidno v računalniku, razen z izvajanjem te vrste ukazov.
Če začne radovednost odkimavati hekerskemu duhu, ki je v vsakem od nas, pojdimo naprej in poglejmo, kaj lahko še storimo.
7) Če skrivanje besedila lahko uporabijo le vohuni CIA, se heker lahko zamisli, da bi s to tehniko skrival slabo datoteko v dobri datoteki.
Če želite narediti praktičen eksperiment, lahko kopirate datoteko calc.exe v mapo Ads, ki se nahaja v sistemski mapi Windows in se uporablja za odpiranje običajnega kalkulatorja.
Če želite kopirati datoteko v mapo Ads, v ukazni poziv napišite " copy C: \ windows \ system32 \ calc.exe c: \ ads ".
8) Zdaj lahko vstavite datoteko image_test.jpg, ki smo jo že posneli in ki bi morala biti še vedno v mapi Ads, znotraj datoteke calc.exe.
Če želite narediti to infiltracijo, morate na črno okno DOS napisati, da do zdaj še nikoli nismo zaprli: " vtipkajte immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Rezultat: če zaženete datoteko calc.exe, se ne zgodi nič čudnega; če začnete s calc datoteko calc.exe tako, da napišete takole: start ./calc.exe : immagine_test.jpg ali začnite C: \ ads \ calc.exe: immagine_test.jpg (vedno traja celo pot), se odpre 'slika, izbrana pred in ne kalkulator; če izbrišete datoteko image_test iz mape Ads, se rezultat ne spremeni.
To pomeni, da je bila datoteka jpg skrita znotraj datoteke calc.exe, ni več vidna, velikost calc.exe je ostala nespremenjena in nič ne signalizira o prisotnosti podatkovnega toka.
Za razliko od metode, uporabljene z Winrarjem, tokrat ni arhiva, skrita datoteka pa se aktivira in se izvrši ob zagonu gostitelja s klikom na datoteko calc.exe iz odprte mape, slika se ne prikaže.
Datoteke lahko skrijete tudi znotraj mape, ki bo videti pomotoma prazna.
10) V mapi Ads lahko ustvarite novo mapo in jo imenujete Ads2, nato pa iz Dos napišete cd Ads2 in vtipkate ukaz " type c: \ ads \ calc.exe>: pippo.exe "; datoteka calc.exe je v mapi Ads2, vendar je ne morete videti, niti z ukazom " dir ", ki prikazuje datoteke v imenikih, niti z odhodom na raziskovanje virov z običajnim grafičnim vmesnikom.
To so dokaj stari triki, ki pa so mnogi neznani tudi zato, ker v resnici nimajo prave uporabnosti, vsaj za običajne uporabnike; so slabi hekerji, ki jih izkoriščajo in so v preteklosti naredili veliko škode s pomočjo Data Stream-a.
V resnici bi si predstavljal, da bi v našem zgornjem primeru, v točki 8, namesto v normalno in neškodljivo slikovno datoteko skrival znotraj kalkulatorja, resničnega virusa, bolečina.
Če se potem pravi virus pokliče sam, na primer svchost.exe, ki je večkrat prisoten v upravitelju opravil, bi ga bilo res težko najti.
Tu se ne konča, saj poznavalec hekerja ve, da so programi, kot je kalkulator ali beležnica, vedno na poti C: \ Windows \ System32, kar bi lahko potencialno poškodovalo to datoteko, ne da bi bilo treba ustvariti kaj novega.
Kljub temu pa lahko brez neprijetnih virusov skrijete datoteko velikosti 10 GB v 10 Kbajt in ne da bi razumeli, zakaj ste se znašli z zaklenjenim računalnikom in brez več prostora.
Na srečo so te varnostne težave v veliki meri premagane, antivirusi med letenjem najdejo skrite viruse in takšen napad je zelo malo verjetno, če boste zaščiteni.
Edino priporočilo, ki ga moram povedati, je, da glede na enostavnost, s katero lahko na ta način ustvarite zlonamerno datoteko, ne bi smeli sprejemati nobenih datotek od neznancev, morda poslanih prek MSN ali po pošti, četudi so to fotografije, slike, glasba, besedilne datoteke ali kar koli drugega.
Za zapis ADS deluje samo na diskovnih particijah NTFS in ne na FAT32, zato lahko izbrišete datoteko ADS, eno gostovanje pa lahko izbrišete tako, da jo izbrišete ali pa jo premaknete na particijo FAT32.
Obstajajo orodja, s katerimi lahko prepoznamo podatkovne tokove, najboljše pa je slavni Hijackthis, s katerim smo na tem blogu že večkrat naleteli.
Na Hijackthisu z odpiranjem orodja "Razno" najdete pripomoček z imenom "ADS Spy", ki skenira tokove in če jih želite odstraniti, vendar iskreno, bi bilo to pretirano varnostno vnemo tudi zato, ker je veliko ADS uporabnih za Windows in tvegali bi škodo.
