Прячем файл в Windows

27 мая 2007

Как спрятать файл в WindowsХочется спрятать свой файл так, чтобы его никто и никогда не нашёл ? Легко.

В операционной системе Windows (только на файловой системе NTFS) реализована работа с так называемыми альтернативными потоками данных – ADS (Alternative Data Streams). Такие потоки можно создавать не только внутри любого файла в NTFS, но и даже в каталоге, при этом данные сохраненные в потоках будут абсолютно невидимы в системе, хотя и будут уменьшать общее место на диске.

Пример копирования любого файла в альтернативный поток другого существующего файла:

C:>type bigfile.exe >> bar.txt:bigfile.exe

В результате выполнения данной команды файл bigfile.exe будет прикреплен к bar.txt в качестве потока. В системе файла bigfile.exe не будет видно, а запустить его прямо из потока можно такой командой:

C:>start c:\bar.txt:bigfile.exe

Похоже, это настоящая находка для авторов стелс-программ и вирусов, потому что штатными средствами Windows определить наличие альтернативных потоков в системе невозможно. Для этого нужны сторонние утилиты, например ads_cat, которая может не только обнаруживать, но и удалять альтернативные потоки.

О том, как сделать такое же под Linux, и где можно получить более подробную информацию про ADS, читайте в источнике этой информации – блоге Sklyaroff.ru .






 

monIToringe     .

Написано 29 мая 2007 года в 12:31


На до же… Никогда не знал об этом, а ведь так всё просто. Странно, что эта технология не используется повсеместно.

 

Жилинcкий Владимир     .

Написано 29 мая 2007 года в 12:33


Вот тут товарищи подсказывают, что AVP уже давно сечёт эту фишку, так что вирусмейкеры в пролёте =)

 

Mikhail M. Pigulsky     .

Написано 30 мая 2007 года в 17:49


Возник вопрос, а вернуть из потока этот файл возможно?

 

Жилинcкий Владимир     .

Написано 30 мая 2007 года в 20:25


Легко.
В нашем примере это будет

more < bar.txt:bigfile.exe > bigfile.exe

 

Ваня     .

Написано 5 июня 2007 года в 15:32


Классная штука для тех кто не хочет палить свои файлы!!!

 

Andrew     .

Написано 11 июня 2007 года в 22:02


Забавная штуковина!

 

Saint     .

Написано 20 декабря 2007 года в 11:56


:) ага, главное потом вспомнить какой файл куда прикрепиил! :)

 

6yHT     .

Написано 18 февраля 2008 года в 15:07


чет ничего не получилось. расскажите плиз подробней..

 

Жилинcкий Владимир     .

Написано 18 февраля 2008 года в 15:08


А что именно не получается ?

 

Tristan     .

Написано 27 февраля 2008 года в 13:13


вопрос такой !!! А при запуске данного текстового файла прикрепленный к ниму exe файл тоже запускается????

 

Жилинcкий Владимир     .

Написано 27 февраля 2008 года в 13:16


Нет.

 

Tristan     .

Написано 5 марта 2008 года в 16:36


Еще вопрос! Почему то при вытаскивании, например, из txt exe командой more bigfile.exe вытащенный экзешник категорически не хочет работать.Причины этого не подскажите ???

 

Жилинcкий Владимир     .

Написано 5 марта 2008 года в 16:38


Не знаю, надо смотреть, отлаживать. Возможно, он пакуется как текстовый файл, а не как бинарный и поэтому бьётся. изучите официальные данные из мануала по NTFS.

 

Сергей     .

Написано 17 мая 2008 года в 15:39


а как удалить файл находящийся в ADS другого файла?

 

Прячем файл в Windows | Миша.Мчедлишвили     .

Написано 18 мая 2008 года в 11:38


[…] свой файл так, чтобы его никто и никогда не нашёл ? Легко. Опубликовано в […]

Оставить комментарий:

You must be logged in to post a comment.

© 2007-2010 Блог интернет-разработчика, автор — Zhilinsky.ru.
При использовании информации ссылка на источник обязательна.