Kitame ankstesniame straipsnyje mes matėme nedidelį triuką, kaip paslėpti failus nuotraukos viduje su .jpg plėtiniu.
Tokiu atveju viskas, kas buvo padaryta, buvo sukurti „winrar“ archyvą vaizdo failo viduje su viskuo, ko tik norite.
Aišku, kad .jpg failo dydis tampa didesnis, atsižvelgiant į tai, kiek jame yra failų. Norėdami jį atidaryti, tiesiog atlikite „Atidaryti su ..“ ir pasirinkite „Winrar“.
Tačiau virusai neslepia, kad ne tik būtų lengva jį rasti, bet ir .rar archyvas yra visiškai nekenksmingas, jis nieko neatsidaro atmintyje ir nesuaktyvina jokio proceso.
Jie yra vadinami ADS ( Alternate Data Stream ) - tie failai, kurie paslėpti kitame faile, nekeičiant jo dydžio ir visiškai paslėpti nuo „Windows“ vaizdo .
Atidarius ir paleidus failą, kuriame yra ADS, jis suaktyvina ADS ir paleidžia pagal jį programą.
Šiame straipsnyje matome, kaip galite lengvai sukurti ADS naudodami kompiuterį ir paslėpti bet kurį failą kitame, kad paleidus ADS jis būtų suaktyvinamas vietoje.
1) Atidarykite „Windows Explorer“, eikite į diską C: ir sukurkite naują aplanką, kurį galime pavadinti „Skelbimai“.
2) Viduje, norėdami išbandyti eksperimentą, sukurkite naują tekstinį failą ir pavadinkite jį „test.txt“ ir nukopijuokite visas nuotraukas ar paveikslėlius, esančius kompiuteryje ir kuriuos galima pervadinti į immagine_test.jpg.
3) Atidarykite komandų eilutę, rastą „Star“ -> Programos -> Priedai arba eikite į Pradėti -> Vykdyti -> ir parašykite „ cmd “
4) Dabar parašykite cd \ ads, kad per „Dos“ įvestumėte anksčiau sukurtą aplanką.
5) Norėdami sukurti elementarius ADS ir pradėti suprasti, kokie jie yra, galite parašyti „ echo Ciao bello> test.txt: testonascosto.txt “; galite pastebėti, kad į skelbimų aplanką nebuvo pridėta jokių failų.
6) parašykite ant eilutės „ notepad test.txt: testonascosto.txt “ ir tarsi stebuklingai užrašų knygelė atsidaro su anksčiau parašytu tekstu; Tiesą sakant, kažkas užrašyto buvo paslėptas ir liko nematomas kompiuteryje, išskyrus vykdant šio tipo komandas.
Jei smalsumas pradeda erzinti įsilaužėlių dvasią, kuri yra kiekviename iš mūsų, eikime į priekį ir pažiūrėkime, ką dar galima padaryti.
7) Jei teksto slėpimą gali naudoti tik CŽV šnipai, įsilaužėlis gali pagalvoti apie šios technikos naudojimą, kad paslėptų blogą failą.
Norėdami atlikti praktinį eksperimentą, galite nukopijuoti failą calc.exe aplanke Skelbimai, kuris yra „Windows“ sistemos aplanke ir naudojamas įprastam skaičiuotuvui atidaryti.
Norėdami nukopijuoti failą į aplanką Skelbimai, komandų eilutėje tiesiog parašykite „ copy C: \ windows \ system32 \ calc.exe c: \ ads “.
8) Dabar galite įterpti „image_test.jpg“ failą, kurį buvome paėmę anksčiau ir kuris vis tiek turėtų būti „Ads“ aplanke, „calc.exe“ failo viduje.
Norėdami padaryti šį įsiskverbimą, turite užrašyti ant juodo DOS lango, kurio iki šiol mes niekada neuždarėme : „ type immagine_test.jpg> calc.exe: immagine_test.jpg “.
9) Rezultatas: paleidus failą calc.exe, nieko keisto neatsitiks; Jei pradedate nuo skaičiuoti failą calc.exe, rašydami taip: pradėti ./calc.exe : immagine_test.jpg arba pradėti C: \ ads \ calc.exe: immagine_test.jpg (tai visada užima visą kelią), jis atidaromas 'prieš tai pasirinktas vaizdas, o ne skaičiuotuvas; jei ištrinsite „image_test“ failą iš aplanko Skelbimai, rezultatas nesikeis.
Tai reiškia, kad JPG failas buvo paslėptas „calc.exe“ failo viduje, jo nebematyti, „calc.exe“ dydis liko nepakitęs ir nėra nieko, kas signalizuotų apie duomenų srauto buvimą.
Skirtingai nuo metodo, naudojamo naudojant „Winrar“, šį kartą nėra archyvo, o paslėptas failas suaktyvinamas ir vykdomas paleidus pagrindinį kompiuterį, spustelėjus failą calc.exe iš atidaryto aplanko, vaizdas nerodomas.
Taip pat galite paslėpti failus aplanke, kuris bus klaidingai tuščias.
10) Galite sukurti naują aplanką „Ads“ ir vadinti jį „Ads2“, tada iš „Dos“ parašyti „cd Ads2“ ir įvesti komandą „ type c: \ ads \ calc.exe>: pippo.exe “; „calc.exe“ failas yra aplanke „Ads2“, bet jo negalite pamatyti nei naudodami komandą „ dir “, kuri rodo failus kataloguose, nei eidami ieškoti išteklių naudodami įprastą grafinę sąsają.
Tai gana seni gudrybės, tačiau daugelis jų taip pat nežinomi, nes iš tikrųjų jie neturi tikro naudingumo, bent jau normaliems vartotojams; jie yra blogi įsilaužėliai, kurie juos išnaudoja, ir praeityje naudodamiesi duomenų srautais padarė daug žalos.
Tiesą sakant, įsivaizduoti, kad mūsų aukščiau esančio pavyzdžio 8 punkte vietoj įprasto ir nekenksmingo vaizdo failo jis paslėpė skaičiuoklės viduje tikrą virusą, tai būtų skausmas.
Jei tada tikrasis virusas vadina save, pavyzdžiui, svchost.exe, kuris kelis kartus yra užduočių tvarkytuvėje, tada jį rasti bus tikrai sunku.
Čia viskas nesibaigia, nes ekspertas įsilaužėlis žino, kad tokios programos kaip skaičiuoklė ar užrašų knygelė visada yra kelyje C: \ Windows \ System32, taigi, galbūt, jis gali sugadinti tą failą ir nereikės kurti nieko naujo.
Vis dėlto, nepatirdami nepatogumų virusams, galite paslėpti 10 GB failą 10 KB talpa ir, nesuprasdami kodėl, atsidūrėte užrakintame kompiuteryje ir be didesnės vietos.
Laimei, šios saugumo problemos didžiąja dalimi yra pašalintos, antivirusai randa paslėptus virusus skraidydami ir visiškai tikėtina, kad nepatirsite tokio išpuolio, jei būsite apsaugoti.
Vienintelė rekomendacija, kurią turiu pateikti, yra ta, kad atsižvelgiant į tai, kaip lengvai galite tokiu būdu sukurti kenksmingą failą, nepriimkite jokių failų iš nepažįstamų žmonių, galbūt siunčiamų per MSN ar paštu, net jei tai būtų nuotraukos, vaizdai, muzika, tekstiniai failai ar bet kas.
Dėl įrašo ADS veikia tik NTFS disko skaidiniuose, o ne FAT32, todėl norėdami ištrinti ADS failą, galite pašalinti tą, kuriame yra priegloba, ištrindami arba perkeldami į FAT32 skaidinį.
Yra įrankių, kurie gali identifikuoti duomenų srautus, o geriausias yra garsusis Hijackthis, su kuriuo mes jau esame kelis kartus susidūrę šiame tinklaraštyje.
Hijackthyje atidarius „Įvairūs įrankiai“ yra naudingumas „ADS Spy“, kuris nuskaito srautus ir, jei norite juos pašalinti, bet, sąžiningai, tai būtų per didelis užsidegimas saugumu ir todėl, kad daugelis ADS yra naudingi „Windows“. ir jūs rizikuosite padaryti žalą.
Tokiu atveju viskas, kas buvo padaryta, buvo sukurti „winrar“ archyvą vaizdo failo viduje su viskuo, ko tik norite.
Aišku, kad .jpg failo dydis tampa didesnis, atsižvelgiant į tai, kiek jame yra failų. Norėdami jį atidaryti, tiesiog atlikite „Atidaryti su ..“ ir pasirinkite „Winrar“.
Tačiau virusai neslepia, kad ne tik būtų lengva jį rasti, bet ir .rar archyvas yra visiškai nekenksmingas, jis nieko neatsidaro atmintyje ir nesuaktyvina jokio proceso.
Jie yra vadinami ADS ( Alternate Data Stream ) - tie failai, kurie paslėpti kitame faile, nekeičiant jo dydžio ir visiškai paslėpti nuo „Windows“ vaizdo .
Atidarius ir paleidus failą, kuriame yra ADS, jis suaktyvina ADS ir paleidžia pagal jį programą.
Šiame straipsnyje matome, kaip galite lengvai sukurti ADS naudodami kompiuterį ir paslėpti bet kurį failą kitame, kad paleidus ADS jis būtų suaktyvinamas vietoje.
1) Atidarykite „Windows Explorer“, eikite į diską C: ir sukurkite naują aplanką, kurį galime pavadinti „Skelbimai“.
2) Viduje, norėdami išbandyti eksperimentą, sukurkite naują tekstinį failą ir pavadinkite jį „test.txt“ ir nukopijuokite visas nuotraukas ar paveikslėlius, esančius kompiuteryje ir kuriuos galima pervadinti į immagine_test.jpg.
3) Atidarykite komandų eilutę, rastą „Star“ -> Programos -> Priedai arba eikite į Pradėti -> Vykdyti -> ir parašykite „ cmd “
4) Dabar parašykite cd \ ads, kad per „Dos“ įvestumėte anksčiau sukurtą aplanką.
5) Norėdami sukurti elementarius ADS ir pradėti suprasti, kokie jie yra, galite parašyti „ echo Ciao bello> test.txt: testonascosto.txt “; galite pastebėti, kad į skelbimų aplanką nebuvo pridėta jokių failų.
6) parašykite ant eilutės „ notepad test.txt: testonascosto.txt “ ir tarsi stebuklingai užrašų knygelė atsidaro su anksčiau parašytu tekstu; Tiesą sakant, kažkas užrašyto buvo paslėptas ir liko nematomas kompiuteryje, išskyrus vykdant šio tipo komandas.
Jei smalsumas pradeda erzinti įsilaužėlių dvasią, kuri yra kiekviename iš mūsų, eikime į priekį ir pažiūrėkime, ką dar galima padaryti.
7) Jei teksto slėpimą gali naudoti tik CŽV šnipai, įsilaužėlis gali pagalvoti apie šios technikos naudojimą, kad paslėptų blogą failą.
Norėdami atlikti praktinį eksperimentą, galite nukopijuoti failą calc.exe aplanke Skelbimai, kuris yra „Windows“ sistemos aplanke ir naudojamas įprastam skaičiuotuvui atidaryti.
Norėdami nukopijuoti failą į aplanką Skelbimai, komandų eilutėje tiesiog parašykite „ copy C: \ windows \ system32 \ calc.exe c: \ ads “.
8) Dabar galite įterpti „image_test.jpg“ failą, kurį buvome paėmę anksčiau ir kuris vis tiek turėtų būti „Ads“ aplanke, „calc.exe“ failo viduje.
Norėdami padaryti šį įsiskverbimą, turite užrašyti ant juodo DOS lango, kurio iki šiol mes niekada neuždarėme : „ type immagine_test.jpg> calc.exe: immagine_test.jpg “.
9) Rezultatas: paleidus failą calc.exe, nieko keisto neatsitiks; Jei pradedate nuo skaičiuoti failą calc.exe, rašydami taip: pradėti ./calc.exe : immagine_test.jpg arba pradėti C: \ ads \ calc.exe: immagine_test.jpg (tai visada užima visą kelią), jis atidaromas 'prieš tai pasirinktas vaizdas, o ne skaičiuotuvas; jei ištrinsite „image_test“ failą iš aplanko Skelbimai, rezultatas nesikeis.
Tai reiškia, kad JPG failas buvo paslėptas „calc.exe“ failo viduje, jo nebematyti, „calc.exe“ dydis liko nepakitęs ir nėra nieko, kas signalizuotų apie duomenų srauto buvimą.
Skirtingai nuo metodo, naudojamo naudojant „Winrar“, šį kartą nėra archyvo, o paslėptas failas suaktyvinamas ir vykdomas paleidus pagrindinį kompiuterį, spustelėjus failą calc.exe iš atidaryto aplanko, vaizdas nerodomas.
Taip pat galite paslėpti failus aplanke, kuris bus klaidingai tuščias.
10) Galite sukurti naują aplanką „Ads“ ir vadinti jį „Ads2“, tada iš „Dos“ parašyti „cd Ads2“ ir įvesti komandą „ type c: \ ads \ calc.exe>: pippo.exe “; „calc.exe“ failas yra aplanke „Ads2“, bet jo negalite pamatyti nei naudodami komandą „ dir “, kuri rodo failus kataloguose, nei eidami ieškoti išteklių naudodami įprastą grafinę sąsają.
Tai gana seni gudrybės, tačiau daugelis jų taip pat nežinomi, nes iš tikrųjų jie neturi tikro naudingumo, bent jau normaliems vartotojams; jie yra blogi įsilaužėliai, kurie juos išnaudoja, ir praeityje naudodamiesi duomenų srautais padarė daug žalos.
Tiesą sakant, įsivaizduoti, kad mūsų aukščiau esančio pavyzdžio 8 punkte vietoj įprasto ir nekenksmingo vaizdo failo jis paslėpė skaičiuoklės viduje tikrą virusą, tai būtų skausmas.
Jei tada tikrasis virusas vadina save, pavyzdžiui, svchost.exe, kuris kelis kartus yra užduočių tvarkytuvėje, tada jį rasti bus tikrai sunku.
Čia viskas nesibaigia, nes ekspertas įsilaužėlis žino, kad tokios programos kaip skaičiuoklė ar užrašų knygelė visada yra kelyje C: \ Windows \ System32, taigi, galbūt, jis gali sugadinti tą failą ir nereikės kurti nieko naujo.
Vis dėlto, nepatirdami nepatogumų virusams, galite paslėpti 10 GB failą 10 KB talpa ir, nesuprasdami kodėl, atsidūrėte užrakintame kompiuteryje ir be didesnės vietos.
Laimei, šios saugumo problemos didžiąja dalimi yra pašalintos, antivirusai randa paslėptus virusus skraidydami ir visiškai tikėtina, kad nepatirsite tokio išpuolio, jei būsite apsaugoti.
Vienintelė rekomendacija, kurią turiu pateikti, yra ta, kad atsižvelgiant į tai, kaip lengvai galite tokiu būdu sukurti kenksmingą failą, nepriimkite jokių failų iš nepažįstamų žmonių, galbūt siunčiamų per MSN ar paštu, net jei tai būtų nuotraukos, vaizdai, muzika, tekstiniai failai ar bet kas.
Dėl įrašo ADS veikia tik NTFS disko skaidiniuose, o ne FAT32, todėl norėdami ištrinti ADS failą, galite pašalinti tą, kuriame yra priegloba, ištrindami arba perkeldami į FAT32 skaidinį.
Yra įrankių, kurie gali identifikuoti duomenų srautus, o geriausias yra garsusis Hijackthis, su kuriuo mes jau esame kelis kartus susidūrę šiame tinklaraštyje.
Hijackthyje atidarius „Įvairūs įrankiai“ yra naudingumas „ADS Spy“, kuris nuskaito srautus ir, jei norite juos pašalinti, bet, sąžiningai, tai būtų per didelis užsidegimas saugumu ir todėl, kad daugelis ADS yra naudingi „Windows“. ir jūs rizikuosite padaryti žalą.
