Alternatywne strumienie danych w systemie Windows

NTFS streaming jest właściwością systemu plików Windows, która może zostać wykorzystana do ukrywania informacji. Jest to możliwe dzięki opcji pozwalającej na zapisanie dodatkowych informacji o plikach, niewidocznych dla użytkownika tak długo, jak długo nie jesteśmy świadomi ich istnienia. Jak to osiągnąć? Wszystko, czego potrzebujesz, to Notatnik i linia poleceń (cmd).

Proponujemy mały eksperyment. Uruchom linię poleceń i wydaj następujące komendy:

C:\> md test
C:\> cd test

 

C:\test> copy con test.txt

test – tekst jawny

Właśnie utworzyłeś katalog „test”, w którym znalazł się plik tekstowy test.txt zawierający tekst „test – tekst jawny” o wielkości 20 bajtów.

Teraz wykorzystaj ten plik do ukrycia informacji – niewidocznej dopóty, dopóki nie mamy świadomości jej istnienia. Wydajemy polecenie:

C:\test> notepad test.txt:tajne.txt

 

Potwierdź stworzenie nowego pliku i wprowadź tajne informacje do pliku tekstowego –zwróć uwagę, że nie widać w nim zawartości wprowadzonej z konsoli. Zapisz dokument i zamknij Notatnik. Po raz kolejny uruchom polecenie dir.

Nie widać nowego pliku test.txt:tajne.txt, co więcej, plik test.txt nie zmienił rozmiaru. Jeżeli uruchomisz go poleceniem notepad test.txt, nie zobaczysz ukrytej zawartośći. Dopiero ponowne polecenie C:\test> notepad test.txt:tajne.txt otworzy ukrytą informację nieprzeznaczoną dla oczu administratora.

Działanie tego mechanizmu opiera się na wbudowanym w NTFS mechanizmie alternatywnych strumieni danych (NTFS Alternative Data Streams). Standardowo plik zapisany na partycji NTFS zawiera dwa strumienie danych: jeden dla faktycznych danych, drugi dla informacji o bezpieczeństwie pliku. Jednak system nie ogranicza strumieni tylko do tych dwóch, co więcej, możemy do jednego pliku dodać wiele strumieni z różnymi informacjami, w zasadzie nie jesteśmy ograniczeni wielkością danych.

Mechanizm alternatywnych strumieni danych stanowi ogromne zagrożenie dla bezpieczeństwa systemu. Wystarczy, że potencjalny intruz wykorzysta lukę w niezabezpieczonym lub dziurawym systemie, aby uzyskać dostęp do jego systemu plików, a następnie dystrybuuje lub dołączy szkodliwe pliki wykorzystując ADS do zwykłych plików.

Jeżeli podejrzewasz, że ktoś wykorzystuje NTFS do ukrywania danych, możesz wykorzystać darmowe narzędzie Sysinternals – Streams, pozwalające zarówno odkryć alternatywne strumienie, jak i usunąć ich zawartość.

 

Jeśli program Streams odkrył alternatywny strumień, wystarczy użyć przełącznika „-d”, aby go usunąć.

C:\test> streams –d *.*



Rys. Po zastosowaniu przełącznika „–d” narzędzie Streams usunęło alternatywny strumień w pliku test.txt

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Array ( [docId] => 47720 )

Array ( [docId] => 47720 )
Array ( [docId] => 47720 )