ADS o lo que es lo mismo Alternate Data Streams son una característica del sistema de archivos NTFS que permite almacenar meta-información con un fichero, sin necesidad de usar un fichero separado para almacenarla creados principalmente para compatibilidad de los sistemas MAC y programas POSIX.
El tema es que el archivo oculto en otros no varia su contenido, tamaño (generalmente en disco si varia pero no es visible en el archivo) o permisos siendo muy difícil de averiguar si no es por herramientas especializadas.
Como ejemplo, vamos a ocultar un archivo ejecutable nc.exe en un archivo de texto leeme.txt, para ello, abrimos la consola CMD de Windows y ejecutamos estos comandos:
type nc.exe>leeme.txt:contraseña
Siendo:
- type: Envía a stdout el contenido de un archivo, o sea, funciona como un visualizador de texto.
- >: Redirecciona la salida a otro sitio, en este caso a un documento de texto.
- contraseña: Es una clave de identificación única, lo que podría ser un puntero al documento, puede ser cualquier otra cosa.
start ./leeme.txt:contraseña
¿ Curioso verdad ?, seguro que muchos piensan que es un error de seguridad, pero la verdad es que no lo es. Seguro a que mas de uno se le ocurren maldades como ocultación de troyanos.
¿Como descubrir ADS en Windows?
A partir de Windows Vista y Windows 2008 Server, el comando dir, entre otras cosas ofrece el FLAG /r muestra las secuencias alternativas de datos del archivo apareciendo una linea mas por debajo con información de este:
C:\Users\luis> dir /r
03/11/2015 12:11 2.142 JDownloader 2.lnk
13/03/2016 12:27 7 leeme.txt
6 leeme.txt:contraseña:$DATA
03/11/2015 12:11 1.757 Photoshop.lnk
Si dispones de una versión de Windows anterior tendrás que usar herramientas de terceros para escanear estos archivos con atributos especiales o probar con un buen antivirus, aunque lo ideal sería siempre disponer de una versión de Windows moderna.
No hay comentarios:
Publicar un comentario