Pull to refresh

Comments 53

А нельзя ли как-нибудь вывести список скрытых таким образом файлов? а то было дело ко мне один вирус прицепился, его как раз не было видно под виндой. Под досом было видно, и только загрузившись с диска я его смог удалить
Добавил список, взял из оригинальной статьи. Часть из них преимущественно консольные.
C:\WINDOWS>dir /r
Недопустимый ключ: «r».
В полном варианте статьи, ссылка на который приведена автором в самом конце, объясняется команда lads, которая как раз и знимается поиском альтернативных потоков в заданом месте. Это то, что вам нужно, сходите по ссылке.
Извиняюсь, конечно не команда, а программа.
Можете использовать например RootkitRevealer от sysinternals, многие вирусы отлично этим пользуються как вы уже заметили.
Спасибо, про существование потоков был в курсе, но как с ними работать не знал.
остаются следы — суммарный объём файлов будет много меньше объёма диска. лучше создать отдельный диск и отмонтировать его.
А в диск менеджере, конечно, его никто не догадается поискать :)
есть специально искать — найти можно всё, что угодно %-)
И, уходя, вытащить из компьютера, чтобы не запалили :)
Старо как мир.
Спасибо за список утилит.
Спасибо, не знал такого. Очень интересно, это сколько же гадостей можно наделать =)
Ни одной.
Ну, спрячете что-нибудь, ну и какая в этом гадость? С таким же успехом можно запихнуть куда-нибудь поглубже в обычную папку и тоже никто не найдет, если специально искать не будет.
От некоторых вообще достаточно скрыть простой установкой атрибута «hidden» :)
Зачем делать «type файл > файл»? Есть команда «copy».
Не «файл > файл», а «файл > поток». Команда copy не умеет работать с потоками (не понимает соответствующего аргумента).
У меня осталось в памяти, что я как-то копировал с её помощью, может через указание имени устройства.
У меня осталось в памяти, что я как-то копировал с её помощью, может через указание имени устройства.
Всё же проводник немного работает с потоками… поместить произвольную информацию в дополнительные потоки конечно он не позволит, но вот всякие комментарии, теги, метки и тп, он как раз сохраняет в дополнительный поток. Так же, проводник предупреждает о потери этих самых потоков, при копировании информации на файловую систему которая не поддерживает потоки (например FAT32, CDFS… )
Еще с ними работают браузеры (например, IE) — пишет туда поток Zone.Information, из какой зоны был скачан этот файл.
Если из достаточно небезопасной (интернет), то будет переспрашивать при попытке запуска и в окошке свойств будет соответствующий текст и кнопка «разблокировать».
А я-то всё думал, что это в авире-антивире последний проверенный файл часто остаётся… твоё-моё...:Zone.Identifier. А это вот что! Спасибо.
UFO landed and left these words here
хотите поговорить об этом?)
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
А можно обыкновенным WinRAR'ом заархивировать в альтернативный поток все что угодно… просто пишешь имя архива, например, такое note.txt:secret — и вуаля… он все запакует в этот поток
в папку не пишет, только в файлы
Если кому интересно — Крис Касперски писал статью, где давал скелет вируса, работающего с файловыми потоками.
Отличная вещь если хочешь что-то спрятать от чужих глаз! Применяю данный фокус в купе с truecrypt на своей флешке в качестве passkeeper'a.
Интерестно, не знал)
Кстати, сразу вопрос — а как удалить то что записал туда? И, если закинул туда файл, как его скопировать обратно?
Пытался выполнить это с PNG картинкой через команду more (more<sample.txt:1.PNG>2.PNG), но картинка становиться на 1 кб больше и больше не открываеться)
Попробуйте написать так:
more<sample.txt:1.PNG>2.PNG:mystream
кто-нибудь объяснит, НАФИГА это нужно???

топик-постер дал примеры утилит с помощью которых всё скрытое можно видеть, так что для стеганографии не годится. Кто-нибудь даст хоть какой-нибудь правдоподобный сценарий где эта «фича» может пригодится кому-нибудь кроме писателей троянов и вирусов?
например антивирус касперского хранит в дополнительном потоке контрольную сумму файла, и если она совпадает с текущей, то файл не проверяется на вирусы (ведь вычисление контрольной суммы занимает меньше времени чем проверка на вирусы), а вся прелесть использования дополнительных потоков в том, что куда бы вы не перемещали файл, контрольная сумма всегда при нём.

можно к каждому файлу дописать свойства… например «категория» и потом в проводнике удобно выстраивать и сортировать файлы не просто по расширению, а по категорями, меткам.
хмм… значит это кусок infamous WINFS. В Linux похожий функционал обещали в reiser4, но гуру вроде решили что это нагромождение мета-данных не нужно.
> например антивирус касперского хранит в дополнительном потоке контрольную сумму файла, и если она совпадает с текущей, то файл не проверяется на вирусы

Что мешает вирусу заразить файл и подправить контрольную сумму на новую?
ну понятно же, что она там не в открытом виде лежит… да и вариантов рыба+md5 никто не отменял :-)
Что мешает вирусу использовать те же алгоритмы и ту же рыбу+md5 для новой контрольной суммы? Даже если там все шифруется каким-то внутренним паролем или ключем, то весь вопрос в том, когда вирус научится этот ключ находить (он на том же компе!). Первый вирус, который это сделает, станет неуязвимым для касперского… Сдается мне, что-то здесь перепутано.
ну мы же не знаем полностью всех алгоритмов проверки у касперского.
уверен там реализована достаточна защита.

к тому же фича включается выключается по желанию в настройках, да и в последних версиях появилась такая вещь как «собственная защита» вполне себе препятствие на пути «узнавания» ключа.
Мешает то, что всего не предусмотришь. Даже зная о такой «фишке» добавлять спец-функционал для работы с потоками файловой системы — достаточно «накладно».

1) Работь это будет только, если стоит касперский.
2) Эффект заключается лишь в том, что файл не всегда будет проверятся повторно. После обновления баз проверка должна быть выполнена в любом случает.
3) Если вирус неизвестный, то лишь есть вероятность, что его поймает эвристика. И тут париться с суммами какого-то касперского смысла почти нет. Ну, проверят файл еще раз — и ладно. Если известный, то скорее он будет пойман раньше, чем у него появится возможность написать что-нибудь в потом.

Так что о неуязвимости тут речь скорее всего не идет. Да и о прецедентах вроде пока не говорили.
Спасибо за разьяснения. Теперь все стало на свои места :) Опциональная фича, которая не гарантирует «непроверяемость», думаю, действительно того не стоит.
Если сделано значит кому-то нужно, в коментах выше написано где это используется. Кроме этого винда хранит превьюхи к файлам в потоках файла thumbnails.db (вроде так файл называется). Касперский хранит метаданные о сканированных файлах так же в потоках.

Так же можно там хранить ЛЮБУЮ информацию потеря которой не критична (метаданные, кеш, или различные метки и тп), да даже теже конфигурационные файлы программы можно там хранить.
сейчас вирусы/трояны друг друга прячут/достают туда/оттуда
Использование AltDS скрыто от пользователя и не доступно обычными средствами.
Как по мне, оказывает всё очень открыто.
Касперский антивирус таким способом хэши файлов хранит.
В связи с этим, по моим наблюдениями в 2003-й винде и в ХР невозможно копирование таких файлов по сети (через сетевое окружение), файл сперва копируется до 100%, а потом выдает ошибку и не сохраняется. Вот так… Как только NTFS-поток у файла удаляется — все сразу работает без проблем.
Only those users with full accounts are able to leave comments. Log in, please.