Chatear en RedIrc

domingo, 13 de marzo de 2016

ADS, Ocultar archivos en otros archivos en Windows usando NTFS


CMD, consola de Windows

ADS o lo que es lo mismo Alternate Data Streams son una característica del sistema de archivos NTFS que permite almacenar meta-información con un fichero, sin necesidad de usar un fichero separado para almacenarla creados principalmente para compatibilidad de los sistemas MAC y programas POSIX.

El tema es que el archivo oculto en otros no varia su contenido, tamaño (generalmente en disco si varia pero no es visible en el archivo) o permisos siendo muy difícil de averiguar si no es por herramientas especializadas.

Como ejemplo, vamos a ocultar un archivo ejecutable nc.exe en un archivo de texto leeme.txt, para ello, abrimos la consola CMD de Windows y ejecutamos estos comandos:

type nc.exe>leeme.txt:contraseña

Siendo:
  • type: Envía a stdout el contenido de un archivo, o sea, funciona como un visualizador de texto.
  • >: Redirecciona la salida a otro sitio, en este caso a un documento de texto.
  • contraseña: Es una clave de identificación única, lo que podría ser un puntero al documento, puede ser cualquier otra cosa.
(Nota que se pueden incluir mas de un archivo cambiando el puntero, o sea, la contraseña). Con el comando anterior hemos insertado el archivo ejecutable dentro del documento de texto leeme.txt, ahora bien, si abrimos el archivo leeme.txt su contenido no vario. Para ejecutar nc.exe sería de la siguiente manera:

start ./leeme.txt:contraseña

¿ Curioso verdad ?, seguro que muchos piensan que es un error de seguridad, pero la verdad es que no lo es. Seguro a que mas de uno se le ocurren maldades como ocultación de troyanos.

¿Como descubrir ADS en Windows?


A partir de Windows Vista y Windows 2008 Server, el comando dir, entre otras cosas ofrece el FLAG /r muestra las secuencias alternativas de datos del archivo apareciendo una linea mas por debajo con información de este:
C:\Users\luis> dir /r

03/11/2015  12:11             2.142 JDownloader 2.lnk
13/03/2016  12:27                 7 leeme.txt
                                  6 leeme.txt:contraseña:$DATA
03/11/2015  12:11             1.757 Photoshop.lnk
Si dispones de una versión de Windows anterior tendrás que usar herramientas de terceros para escanear estos archivos con atributos especiales o probar con un buen antivirus, aunque lo ideal sería siempre disponer de una versión de Windows moderna.

No hay comentarios:

Publicar un comentario