V ďalšom predchádzajúcom článku sme videli malý trik na schovanie súborov vo fotografii s príponou .jpg.
V takom prípade bolo iba vytvorenie archívu winrar vo vnútri obrazového súboru s tým, čo chcete vo vnútri.
Je zrejmé, že veľkosť tohto súboru .jpg sa zväčší v závislosti od toho, koľko súborov je v ňom, a ak ho chcete otvoriť, jednoducho urobte príkaz „Otvoriť pomocou ..“ a vyberte Winrar.
Vírusy sa však takto neskrývajú, nielen že by bolo ľahké ich nájsť, ale archív .rar je úplne neškodný, neotvára nič v pamäti a neaktivuje žiadny proces.
Nazývajú sa ADS ( Alternate Data Stream ) tie súbory, ktoré sú skryté v inom súbore, bez zmeny jeho veľkosti a zostania úplne skryté z pohľadu Windows .
Keď otvoríte a spustíte súbor, ktorý obsahuje ADS, aktivuje ADS a spustí pod ním program.
V tomto článku vidíme, ako môžete s počítačom ľahko vytvoriť ADS a skryť akýkoľvek súbor v inom, takže keď spustíte ADS, bude na svojom mieste aktivovaný.
1) Otvorte program Prieskumník systému Windows, prejdite na disk C: a vytvorte nový priečinok, ktorému budeme hovoriť „Reklamy“.
2) Na testovanie experimentu si vytvorte nový textový súbor a nazvite ho „test.txt“ a skopírujte všetky fotografie alebo obrázky, ktoré sú v počítači a ktoré možno premenovať na immagine_test.jpg.
3) Otvorte príkazový riadok v Star -> Programy -> Príslušenstvo alebo prejdite na Štart -> Spustiť -> a napíšte " cmd "
4) Teraz napíšte cd \ ads a vstúpte do Dos vytvoreného priečinka cez Dos.
5) Ak chcete vytvoriť základné ADS a začať porozumieť tomu, čo sú, môžete napísať „ echo Ciao bello> test.txt: testonascosto.txt “; môžete si všimnúť, že do priečinka reklám neboli pridané žiadne súbory.
6) Na výzvu napíšte „ notepad test.txt: testonascosto.txt “ a ako by sa mágiou, zápisník otvorí s textom napísaným predtým; v skutočnosti bolo niečo napísané skryté, ktoré zostáva v počítači neviditeľné, s výnimkou vykonania tohto typu príkazu.
Ak zvedavosť začne štekliť na hackerského ducha, ktorý je v každom z nás, poďme sa pozrieť, čo sa dá urobiť.
7) Ak skrývanie textu môžu použiť iba špióni CIA, hacker môže uvažovať o použití tejto techniky na skrytie chybného súboru vo vnútri dobrého súboru.
Ak chcete urobiť praktický experiment, môžete skopírovať súbor calc.exe do zložky Ads, ktorá sa nachádza v systémovej zložke Windows a používa sa na otvorenie normálnej kalkulačky.
Ak chcete skopírovať súbor do priečinka Reklamy, do príkazového riadka napíšte „ kópiu C: \ windows \ system32 \ calc.exe c: \ ads “.
8) Teraz môžete vložiť súbor image_test.jpg, ktorý sme predtým použili a ktorý by mal byť stále v priečinku Ads, v súbore calc.exe.
Aby ste túto infiltráciu urobili, musíte písať do čierneho okna systému DOS, ktoré sme doteraz nikdy nezatvorili: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Výsledok: ak spustíte súbor calc.exe, nestane sa nič zvláštne; Ak začnete s výpočtom súboru calc.exe tak, že napíšete : start ./calc.exe : immagine_test.jpg alebo začnete C: \ ads \ calc.exe: immagine_test.jpg (vždy to zaberie celú cestu), otvorí sa 'obrázok vybraný predtým a nie kalkulačka; Ak odstránite súbor image_test zo zložky Ads, výsledok sa nezmení.
To znamená, že súbor jpg bol skrytý vo vnútri súboru calc.exe, už nie je viditeľný, veľkosť súboru calc.exe zostala nezmenená a nič nenaznačuje prítomnosť dátového toku.
Na rozdiel od metódy používanej vo Winrare, tentoraz neexistuje archív a skrytý súbor sa aktivuje a spustí sa pri spustení hostiteľa kliknutím na súbor calc.exe z otvoreného priečinka. Obrázok sa nezobrazí.
Môžete tiež skryť súbory vo vnútri priečinka, ktorý sa javí ako chybne prázdny.
10) Môžete vytvoriť nový priečinok vo vnútri Ads a nazvať ho Ads2, potom z Dos, napíšte cd Ads2 a napíšte príkaz " type c: \ ads \ calc.exe>: pippo.exe "; súbor calc.exe je v priečinku Ads2, ale nemôžete ho vidieť ani pomocou príkazu „ dir “, ktorý zobrazuje súbory v adresároch, ani odchádzaním preč od zdrojov s bežným grafickým rozhraním.
Sú to dosť staré triky, ale mnohé z nich sú neznáme aj preto, že v skutočnosti nemajú skutočný úžitok, aspoň pre bežných používateľov; sú to zlí hackeri, ktorí ich zneužívajú a v minulosti spôsobili pomocou dátových tokov veľa škôd.
V skutočnosti si predstavoval, že v našom príklade vyššie, v bode 8, namiesto normálneho a neškodného obrazového súboru, skryl v kalkulačke skutočný vírus, bola by to bolesť.
Ak sa skutočný vírus nazýva sám, napríklad svchost.exe, ktorý je niekoľkokrát prítomný v správcovi úloh, potom by bolo ťažké ho nájsť.
To nekončí tu, pretože odborný hacker vie, že programy ako kalkulačka alebo poznámkový blok sú vždy na ceste C: \ Windows \ System32, takže by sa mohol tento súbor poškodiť bez toho, aby musel vytvárať čokoľvek nové.
Napriek tomu by ste mohli bez nepríjemných vírusov skryť 10 GB súbor v 10 Kbyte a bez pochopenia, prečo by ste sa mohli ocitnúť v uzamknutom počítači a bez väčšieho priestoru.
Našťastie sú tieto bezpečnostné problémy do značnej miery prekonané, antivírusy nachádzajú skryté vírusy za behu a ak je ochrana chránená, je veľmi nepravdepodobné, že by taký útok utrpel.
Jediné odporúčanie, ktoré musím urobiť, je, že vzhľadom na ľahkosť, s akou týmto spôsobom môžete vytvoriť škodlivý súbor, by bolo neprijateľné žiadne súbory od cudzincov, pravdepodobne zaslané prostredníctvom MSN alebo poštou, aj keby išlo o fotografie, obrázky, hudbu, textové súbory alebo čokoľvek.
Pre záznam ADS fungujú iba na diskových oddieloch NTFS a nie na FAT32, takže ak chcete odstrániť súbor ADS, môžete buď odstrániť ten, ktorý ho hostí, jeho odstránením alebo presunutím do oddielu FAT32.
Existujú nástroje, ktoré dokážu identifikovať dátové toky, a najlepší je slávny únosca, s ktorým sme sa už viackrát stretli v tomto blogu.
Na Hijackthis, otvorením "Misc Tools" je nástroj s názvom "ADS Spy", ktorý prehľadáva Streamy, a ak ich chcete odstrániť, ale, úprimne povedané, bolo by to nadmieru bezpečnosti aj preto, že veľa ADS je užitočných pre Windows a riskujete tým poškodenie.
V takom prípade bolo iba vytvorenie archívu winrar vo vnútri obrazového súboru s tým, čo chcete vo vnútri.
Je zrejmé, že veľkosť tohto súboru .jpg sa zväčší v závislosti od toho, koľko súborov je v ňom, a ak ho chcete otvoriť, jednoducho urobte príkaz „Otvoriť pomocou ..“ a vyberte Winrar.
Vírusy sa však takto neskrývajú, nielen že by bolo ľahké ich nájsť, ale archív .rar je úplne neškodný, neotvára nič v pamäti a neaktivuje žiadny proces.
Nazývajú sa ADS ( Alternate Data Stream ) tie súbory, ktoré sú skryté v inom súbore, bez zmeny jeho veľkosti a zostania úplne skryté z pohľadu Windows .
Keď otvoríte a spustíte súbor, ktorý obsahuje ADS, aktivuje ADS a spustí pod ním program.
V tomto článku vidíme, ako môžete s počítačom ľahko vytvoriť ADS a skryť akýkoľvek súbor v inom, takže keď spustíte ADS, bude na svojom mieste aktivovaný.
1) Otvorte program Prieskumník systému Windows, prejdite na disk C: a vytvorte nový priečinok, ktorému budeme hovoriť „Reklamy“.
2) Na testovanie experimentu si vytvorte nový textový súbor a nazvite ho „test.txt“ a skopírujte všetky fotografie alebo obrázky, ktoré sú v počítači a ktoré možno premenovať na immagine_test.jpg.
3) Otvorte príkazový riadok v Star -> Programy -> Príslušenstvo alebo prejdite na Štart -> Spustiť -> a napíšte " cmd "
4) Teraz napíšte cd \ ads a vstúpte do Dos vytvoreného priečinka cez Dos.
5) Ak chcete vytvoriť základné ADS a začať porozumieť tomu, čo sú, môžete napísať „ echo Ciao bello> test.txt: testonascosto.txt “; môžete si všimnúť, že do priečinka reklám neboli pridané žiadne súbory.
6) Na výzvu napíšte „ notepad test.txt: testonascosto.txt “ a ako by sa mágiou, zápisník otvorí s textom napísaným predtým; v skutočnosti bolo niečo napísané skryté, ktoré zostáva v počítači neviditeľné, s výnimkou vykonania tohto typu príkazu.
Ak zvedavosť začne štekliť na hackerského ducha, ktorý je v každom z nás, poďme sa pozrieť, čo sa dá urobiť.
7) Ak skrývanie textu môžu použiť iba špióni CIA, hacker môže uvažovať o použití tejto techniky na skrytie chybného súboru vo vnútri dobrého súboru.
Ak chcete urobiť praktický experiment, môžete skopírovať súbor calc.exe do zložky Ads, ktorá sa nachádza v systémovej zložke Windows a používa sa na otvorenie normálnej kalkulačky.
Ak chcete skopírovať súbor do priečinka Reklamy, do príkazového riadka napíšte „ kópiu C: \ windows \ system32 \ calc.exe c: \ ads “.
8) Teraz môžete vložiť súbor image_test.jpg, ktorý sme predtým použili a ktorý by mal byť stále v priečinku Ads, v súbore calc.exe.
Aby ste túto infiltráciu urobili, musíte písať do čierneho okna systému DOS, ktoré sme doteraz nikdy nezatvorili: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Výsledok: ak spustíte súbor calc.exe, nestane sa nič zvláštne; Ak začnete s výpočtom súboru calc.exe tak, že napíšete : start ./calc.exe : immagine_test.jpg alebo začnete C: \ ads \ calc.exe: immagine_test.jpg (vždy to zaberie celú cestu), otvorí sa 'obrázok vybraný predtým a nie kalkulačka; Ak odstránite súbor image_test zo zložky Ads, výsledok sa nezmení.
To znamená, že súbor jpg bol skrytý vo vnútri súboru calc.exe, už nie je viditeľný, veľkosť súboru calc.exe zostala nezmenená a nič nenaznačuje prítomnosť dátového toku.
Na rozdiel od metódy používanej vo Winrare, tentoraz neexistuje archív a skrytý súbor sa aktivuje a spustí sa pri spustení hostiteľa kliknutím na súbor calc.exe z otvoreného priečinka. Obrázok sa nezobrazí.
Môžete tiež skryť súbory vo vnútri priečinka, ktorý sa javí ako chybne prázdny.
10) Môžete vytvoriť nový priečinok vo vnútri Ads a nazvať ho Ads2, potom z Dos, napíšte cd Ads2 a napíšte príkaz " type c: \ ads \ calc.exe>: pippo.exe "; súbor calc.exe je v priečinku Ads2, ale nemôžete ho vidieť ani pomocou príkazu „ dir “, ktorý zobrazuje súbory v adresároch, ani odchádzaním preč od zdrojov s bežným grafickým rozhraním.
Sú to dosť staré triky, ale mnohé z nich sú neznáme aj preto, že v skutočnosti nemajú skutočný úžitok, aspoň pre bežných používateľov; sú to zlí hackeri, ktorí ich zneužívajú a v minulosti spôsobili pomocou dátových tokov veľa škôd.
V skutočnosti si predstavoval, že v našom príklade vyššie, v bode 8, namiesto normálneho a neškodného obrazového súboru, skryl v kalkulačke skutočný vírus, bola by to bolesť.
Ak sa skutočný vírus nazýva sám, napríklad svchost.exe, ktorý je niekoľkokrát prítomný v správcovi úloh, potom by bolo ťažké ho nájsť.
To nekončí tu, pretože odborný hacker vie, že programy ako kalkulačka alebo poznámkový blok sú vždy na ceste C: \ Windows \ System32, takže by sa mohol tento súbor poškodiť bez toho, aby musel vytvárať čokoľvek nové.
Napriek tomu by ste mohli bez nepríjemných vírusov skryť 10 GB súbor v 10 Kbyte a bez pochopenia, prečo by ste sa mohli ocitnúť v uzamknutom počítači a bez väčšieho priestoru.
Našťastie sú tieto bezpečnostné problémy do značnej miery prekonané, antivírusy nachádzajú skryté vírusy za behu a ak je ochrana chránená, je veľmi nepravdepodobné, že by taký útok utrpel.
Jediné odporúčanie, ktoré musím urobiť, je, že vzhľadom na ľahkosť, s akou týmto spôsobom môžete vytvoriť škodlivý súbor, by bolo neprijateľné žiadne súbory od cudzincov, pravdepodobne zaslané prostredníctvom MSN alebo poštou, aj keby išlo o fotografie, obrázky, hudbu, textové súbory alebo čokoľvek.
Pre záznam ADS fungujú iba na diskových oddieloch NTFS a nie na FAT32, takže ak chcete odstrániť súbor ADS, môžete buď odstrániť ten, ktorý ho hostí, jeho odstránením alebo presunutím do oddielu FAT32.
Existujú nástroje, ktoré dokážu identifikovať dátové toky, a najlepší je slávny únosca, s ktorým sme sa už viackrát stretli v tomto blogu.
Na Hijackthis, otvorením "Misc Tools" je nástroj s názvom "ADS Spy", ktorý prehľadáva Streamy, a ak ich chcete odstrániť, ale, úprimne povedané, bolo by to nadmieru bezpečnosti aj preto, že veľa ADS je užitočných pre Windows a riskujete tým poškodenie.
