Startseite > ADS, Datenschutz, hacking, NTFS, Privatsphäre, Rootkit, Trojaner, verseuchen, Verzeichnis, Virus > NTFS und eine kleine ADS Spielerei

NTFS und eine kleine ADS Spielerei


NTFS steht in diesem Fall für das Filesystem, dass in den meisten Windows Versionen Verwendung findet. Heute werde ich mal auf ein altbekanntes „Problem“ mit diesem Filesystem eingehen, dass zwar schon oft beschrieben wurde, aber immer wieder aktuell ist.

Es gibt die Möglichkeit sogenannte Metadaten zu einer Datei zu speichern. Das Ganze nennt sich ADS (Alternate Data Stream). An und für sich ist diese Funktion dazu gedacht z.B. Vorschaubilder oder andere Eigenschaften zu einer Datei zu speichern. Leider kann ein Angreifer auch andere Informationen damit zu verknüpfen – z.B. einen Virus an eine Textdatei anzuhängen oder vor den Augen des PC Benutzers zu verstecken! Das funktioniert übrigens auch ohne Administrator Rechte! Auch der User „Gast“ könnte die ADS Funktion nutzen.
Wer es nicht glaubt, der sollte mal folgendes ausprobieren:
echo „geheimer Text“ >> Textdatei.txt:mystream.txt“
Jetzt wird eine Datei Textdatei.txt angelegt – aber mit einem Stream namens mystream.txt.
Beim Auflisten der Dateien wird man aber nur die Datei „Textdatei.txt“ zu sehen bekommen.
Der Befehl „type Textdatei.txt“ wird auch keinen Inhalt anzeigen. Wie kommt man also wieder an die Informationen heran?
Ganz Einfach mit type Textdatei.txt:mystream.txt -> zeigt uns: „geheimer Text“
oder mit „notepad Textdatei.txt:mystream.txtlässt sich der Stream sogar bearbeiten.
Auch wenn der Stream noch so groß wird – die Dateigröße der Datei „Textdatei.txt“ wird sich nicht verändern. Der Stream wird also nicht bemerkt werden – na ja ausser die Platte läuft langsam voll, weil die Keylogger Datei zu groß wird 😉

Datastreams lassen sich auch mit Verzeichnissen verknüpfen. Ebenfalls lassen sich Binärdaten – also ausführbare Dateien wie Viren oder andere Schadprogramme in solchen Streams speichern und bei Bedarf starten, ohne das Sie je entdeckt wurden. Abhilfe könnten hier Rootkit Erkennungsprogramme schaffen. Aber wie ich schon in einem älteren Post berichtete arbeiten Rootkit Scanner auch nicht immer zuverlässig. Ich werde mir vielleicht nochmal die Mühe machen und ein paar aktuelle Versionen testen.

Hier ein paar Links zu kostenlosen Rootkit Scannern:

andere Rootkit Scaner:

  • Avira Rootkit Detection
  • Bitdefender RootKit Uncover
  • F-Secure BlackLight
  • Grisoft AVG AntiRootkit
  • McAfee RootKit Detective
  • Panda Software Panda Anti-Rootkit
  • Sophos Sophos Antirootkit
  • Trend Micro RootKit Buster


NF

Advertisements
  1. Es gibt noch keine Kommentare.
  1. No trackbacks yet.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: