Прячем файл в Windows
27 мая 2007Хочется спрятать свой файл так, чтобы его никто и никогда не нашёл ? Легко.
В операционной системе Windows (только на файловой системе NTFS) реализована работа с так называемыми альтернативными потоками данных — ADS (Alternative Data Streams). Такие потоки можно создавать не только внутри любого файла в NTFS, но и даже в каталоге, при этом данные сохраненные в потоках будут абсолютно невидимы в системе, хотя и будут уменьшать общее место на диске.
Пример копирования любого файла в альтернативный поток другого существующего файла:
C:>type bigfile.exe >> bar.txt:bigfile.exe
В результате выполнения данной команды файл bigfile.exe будет прикреплен к bar.txt в качестве потока. В системе файла bigfile.exe не будет видно, а запустить его прямо из потока можно такой командой:
C:>start c:\bar.txt:bigfile.exe
Похоже, это настоящая находка для авторов стелс-программ и вирусов, потому что штатными средствами Windows определить наличие альтернативных потоков в системе невозможно. Для этого нужны сторонние утилиты, например ads_cat, которая может не только обнаруживать, но и удалять альтернативные потоки.
О том, как сделать такое же под Linux, и где можно получить более подробную информацию про ADS, читайте в источнике этой информации — блоге Sklyaroff.ru .
На до же… Никогда не знал об этом, а ведь так всё просто. Странно, что эта технология не используется повсеместно.
Вот тут товарищи подсказывают, что AVP уже давно сечёт эту фишку, так что вирусмейкеры в пролёте =)
Возник вопрос, а вернуть из потока этот файл возможно?
Легко.
В нашем примере это будет
more < bar.txt:bigfile.exe > bigfile.exe
Подробности тут:
http://msdn.microsoft.com/library/en-us/dnfiles/html/ntfs5.asp
http://support.microsoft.com/?kbid=105763
http://www.heysoft.de/nt/ntfs-ads.htm
Классная штука для тех кто не хочет палить свои файлы!!!
Забавная штуковина!
:) ага, главное потом вспомнить какой файл куда прикрепиил! :)
чет ничего не получилось. расскажите плиз подробней..
А что именно не получается ?
вопрос такой !!! А при запуске данного текстового файла прикрепленный к ниму exe файл тоже запускается????
Нет.
Еще вопрос! Почему то при вытаскивании, например, из txt exe командой more bigfile.exe вытащенный экзешник категорически не хочет работать.Причины этого не подскажите ???
Не знаю, надо смотреть, отлаживать. Возможно, он пакуется как текстовый файл, а не как бинарный и поэтому бьётся. изучите официальные данные из мануала по NTFS.
а как удалить файл находящийся в ADS другого файла?
[…] свой файл так, чтобы его никто и никогда не нашёл ? Легко. Опубликовано в […]