Комментарии 53
А нельзя ли как-нибудь вывести список скрытых таким образом файлов? а то было дело ко мне один вирус прицепился, его как раз не было видно под виндой. Под досом было видно, и только загрузившись с диска я его смог удалить
Добавил список, взял из оригинальной статьи. Часть из них преимущественно консольные.
dir /r
В полном варианте статьи, ссылка на который приведена автором в самом конце, объясняется команда lads, которая как раз и знимается поиском альтернативных потоков в заданом месте. Это то, что вам нужно, сходите по ссылке.
Можете использовать например RootkitRevealer от sysinternals, многие вирусы отлично этим пользуються как вы уже заметили.
Спасибо, про существование потоков был в курсе, но как с ними работать не знал.
ещё один вариант порнуху прятать
Старо как мир.
Спасибо за список утилит.
Спасибо за список утилит.
Спасибо, не знал такого. Очень интересно, это сколько же гадостей можно наделать =)
спасибо
Зачем делать «type файл > файл»? Есть команда «copy».
Всё же проводник немного работает с потоками… поместить произвольную информацию в дополнительные потоки конечно он не позволит, но вот всякие комментарии, теги, метки и тп, он как раз сохраняет в дополнительный поток. Так же, проводник предупреждает о потери этих самых потоков, при копировании информации на файловую систему которая не поддерживает потоки (например FAT32, CDFS… )
НЛО прилетело и опубликовало эту надпись здесь
А можно обыкновенным WinRAR'ом заархивировать в альтернативный поток все что угодно… просто пишешь имя архива, например, такое note.txt:secret — и вуаля… он все запакует в этот поток
Если кому интересно — Крис Касперски писал статью, где давал скелет вируса, работающего с файловыми потоками.
Отличная вещь если хочешь что-то спрятать от чужих глаз! Применяю данный фокус в купе с truecrypt на своей флешке в качестве passkeeper'a.
Правильная ссылка на тулзу от Sysinternals: technet.microsoft.com/en-us/sysinternals/bb897440.aspx
Интерестно, не знал)
Кстати, сразу вопрос — а как удалить то что записал туда? И, если закинул туда файл, как его скопировать обратно?
Пытался выполнить это с PNG картинкой через команду more (more<sample.txt:1.PNG>2.PNG), но картинка становиться на 1 кб больше и больше не открываеться)
Кстати, сразу вопрос — а как удалить то что записал туда? И, если закинул туда файл, как его скопировать обратно?
Пытался выполнить это с PNG картинкой через команду more (more<sample.txt:1.PNG>2.PNG), но картинка становиться на 1 кб больше и больше не открываеться)
Cсылка на Streams битая.Вот правильная
кто-нибудь объяснит, НАФИГА это нужно???
топик-постер дал примеры утилит с помощью которых всё скрытое можно видеть, так что для стеганографии не годится. Кто-нибудь даст хоть какой-нибудь правдоподобный сценарий где эта «фича» может пригодится кому-нибудь кроме писателей троянов и вирусов?
топик-постер дал примеры утилит с помощью которых всё скрытое можно видеть, так что для стеганографии не годится. Кто-нибудь даст хоть какой-нибудь правдоподобный сценарий где эта «фича» может пригодится кому-нибудь кроме писателей троянов и вирусов?
например антивирус касперского хранит в дополнительном потоке контрольную сумму файла, и если она совпадает с текущей, то файл не проверяется на вирусы (ведь вычисление контрольной суммы занимает меньше времени чем проверка на вирусы), а вся прелесть использования дополнительных потоков в том, что куда бы вы не перемещали файл, контрольная сумма всегда при нём.
можно к каждому файлу дописать свойства… например «категория» и потом в проводнике удобно выстраивать и сортировать файлы не просто по расширению, а по категорями, меткам.
можно к каждому файлу дописать свойства… например «категория» и потом в проводнике удобно выстраивать и сортировать файлы не просто по расширению, а по категорями, меткам.
хмм… значит это кусок infamous WINFS. В Linux похожий функционал обещали в reiser4, но гуру вроде решили что это нагромождение мета-данных не нужно.
> например антивирус касперского хранит в дополнительном потоке контрольную сумму файла, и если она совпадает с текущей, то файл не проверяется на вирусы
Что мешает вирусу заразить файл и подправить контрольную сумму на новую?
Что мешает вирусу заразить файл и подправить контрольную сумму на новую?
ну понятно же, что она там не в открытом виде лежит… да и вариантов рыба+md5 никто не отменял :-)
Что мешает вирусу использовать те же алгоритмы и ту же рыбу+md5 для новой контрольной суммы? Даже если там все шифруется каким-то внутренним паролем или ключем, то весь вопрос в том, когда вирус научится этот ключ находить (он на том же компе!). Первый вирус, который это сделает, станет неуязвимым для касперского… Сдается мне, что-то здесь перепутано.
ну мы же не знаем полностью всех алгоритмов проверки у касперского.
уверен там реализована достаточна защита.
к тому же фича включается выключается по желанию в настройках, да и в последних версиях появилась такая вещь как «собственная защита» вполне себе препятствие на пути «узнавания» ключа.
уверен там реализована достаточна защита.
к тому же фича включается выключается по желанию в настройках, да и в последних версиях появилась такая вещь как «собственная защита» вполне себе препятствие на пути «узнавания» ключа.
Мешает то, что всего не предусмотришь. Даже зная о такой «фишке» добавлять спец-функционал для работы с потоками файловой системы — достаточно «накладно».
1) Работь это будет только, если стоит касперский.
2) Эффект заключается лишь в том, что файл не всегда будет проверятся повторно. После обновления баз проверка должна быть выполнена в любом случает.
3) Если вирус неизвестный, то лишь есть вероятность, что его поймает эвристика. И тут париться с суммами какого-то касперского смысла почти нет. Ну, проверят файл еще раз — и ладно. Если известный, то скорее он будет пойман раньше, чем у него появится возможность написать что-нибудь в потом.
Так что о неуязвимости тут речь скорее всего не идет. Да и о прецедентах вроде пока не говорили.
1) Работь это будет только, если стоит касперский.
2) Эффект заключается лишь в том, что файл не всегда будет проверятся повторно. После обновления баз проверка должна быть выполнена в любом случает.
3) Если вирус неизвестный, то лишь есть вероятность, что его поймает эвристика. И тут париться с суммами какого-то касперского смысла почти нет. Ну, проверят файл еще раз — и ладно. Если известный, то скорее он будет пойман раньше, чем у него появится возможность написать что-нибудь в потом.
Так что о неуязвимости тут речь скорее всего не идет. Да и о прецедентах вроде пока не говорили.
Если сделано значит кому-то нужно, в коментах выше написано где это используется. Кроме этого винда хранит превьюхи к файлам в потоках файла thumbnails.db (вроде так файл называется). Касперский хранит метаданные о сканированных файлах так же в потоках.
Так же можно там хранить ЛЮБУЮ информацию потеря которой не критична (метаданные, кеш, или различные метки и тп), да даже теже конфигурационные файлы программы можно там хранить.
Так же можно там хранить ЛЮБУЮ информацию потеря которой не критична (метаданные, кеш, или различные метки и тп), да даже теже конфигурационные файлы программы можно там хранить.
сейчас вирусы/трояны друг друга прячут/достают туда/оттуда
Забавные фокусы. Вот еще rarjpeg: lurkmore.ru/Rarjpeg
Использование AltDS скрыто от пользователя и не доступно обычными средствами.
Как по мне, оказывает всё очень открыто.
Как по мне, оказывает всё очень открыто.
Касперский антивирус таким способом хэши файлов хранит.
В связи с этим, по моим наблюдениями в 2003-й винде и в ХР невозможно копирование таких файлов по сети (через сетевое окружение), файл сперва копируется до 100%, а потом выдает ошибку и не сохраняется. Вот так… Как только NTFS-поток у файла удаляется — все сразу работает без проблем.
В связи с этим, по моим наблюдениями в 2003-й винде и в ХР невозможно копирование таких файлов по сети (через сетевое окружение), файл сперва копируется до 100%, а потом выдает ошибку и не сохраняется. Вот так… Как только NTFS-поток у файла удаляется — все сразу работает без проблем.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Альтернативные потоки данных в NTFS или как спрятать блокнот