I en annan tidigare artikel hade vi sett ett litet trick att dölja filer på ett foto med .jpg-förlängningen.
I så fall var allt som gjordes att skapa ett winrar-arkiv i bildfilen med vad du vill ha inuti.
Det är uppenbart att storleken på denna .jpg-fil blir större beroende på hur många filer som finns i den och för att öppna den gör du bara "Öppna med .." och välj Winrar.
Men virus gömmer sig inte så här, inte bara skulle det vara lätt att hitta det, utan ett .rar-arkiv är helt ofarligt, öppnar inte något i minnet och aktiverar inte någon process.
De kallas ADS ( Alternate Data Stream ) för de filer som är dolda i en annan fil, utan att ändra dess storlek och förbli helt dolda från Windows-vyn .
När du öppnar och kör en fil som innehåller en ADS, aktiveras den ADS och startar programmet under den.
I den här artikeln ser vi hur du enkelt kan skapa en ADS med din PC och dölja alla filer i en annan så att när du kör ADS aktiveras den på sin plats.
1) Öppna Windows Utforskaren, gå till disk C: och skapa en ny mapp som vi kan kalla "Annonser".
2) Inuti, för att testa experimentet, skapa en ny textfil och kalla den "test.txt" och kopiera alla foton eller bilder som finns på datorn och som kan bytas om till immagine_test.jpg.
3) Öppna kommandotolken som finns i Star -> Program -> Tillbehör eller genom att gå till Start -> Run -> och skriva " cmd "
4) Skriv nu cd \ annonser för att ange mappen som skapats tidigare via Dos.
5) För att skapa ett elementärt ADS och börja förstå vad de är, kan du skriva " echo Ciao bello> test.txt: testonascosto.txt "; du kanske märker att inga filer har lagts till i annonsmappen.
6) Skriv på prompten " anteckningsblock test.txt: testonascosto.txt " och som om det är magiskt öppnar anteckningsblocket med texten skriven tidigare; i själva verket har något skrivet gömts som förblir osynligt på datorn utom genom att utföra denna typ av kommando.
Om nyfikenheten börjar kittla hackerånden som finns i var och en av oss, låt oss gå vidare och se vad mer som kan göras.
7) Om gömmer en text bara kan användas av CIA-spioner, kan en hacker tänka sig att använda den här tekniken för att dölja en dålig fil i en bra.
För att göra ett praktiskt experiment kan du kopiera filen calc.exe i mappen Annonser, som finns i Windows-systemmappen och används för att öppna den vanliga räknaren.
Om du vill kopiera filen till mappen Annonser skriver du bara " kopiera C: \ windows \ system32 \ calc.exe c: \ ads " i kommandotolken.
8) Nu kan du infoga den image_test.jpg-fil som vi tagit tidigare och som fortfarande borde finnas i mappen Annonser, i calc.exe-filen.
För att göra denna infiltration måste du skriva i det svarta DOS-fönstret att vi hittills aldrig har stängt: " typ immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Resultat: om du startar filen calc.exe händer inget konstigt; om du börjar från beräkna filen calc.exe genom att skriva så här: starta ./calc.exe : immagine_test.jpg eller starta C: \ ads \ calc.exe: immagine_test.jpg (det tar alltid hela vägen), det öppnar 'bild valt före och inte kalkylatorn; om du tar bort filen image_test från mappen Annonser förändras inte resultatet.
Detta betyder att jpg-filen har gömts inuti calc.exe-filen, den är inte längre synlig, storleken på calc.exe har förblivit oförändrad och det finns inget som signalerar närvaron av dataströmmen.
Till skillnad från den metod som används med Winrar finns det den här gången inget arkiv och den dolda filen aktiveras och körs när värden startas, genom att klicka på filen calc.exe från den öppna mappen, bilden visas inte.
Du kan också dölja filer i en mapp som verkar vara felaktigt tomma.
10) Du kan skapa en ny mapp i annonser och kalla den Ads2 sedan från Dos, skriva cd-annonser2 och skriva kommandot " typ c: \ ads \ calc.exe>: pippo.exe "; filen calc.exe finns i Ads2-mappen men du kan inte se den, varken med kommandot " dir " som visar filerna i katalogerna, eller genom att gå bort utforska resurser med det normala grafiska gränssnittet.
Dessa är ganska gamla knep men som många är okända också för att de faktiskt inte har ett verkligt verktyg, åtminstone för vanliga användare; är de dåliga hackarna som utnyttjar dem och tidigare har gjort mycket skada med dataströmmar.
I själva verket, föreställde sig att i vårt exempel ovan, i punkt 8, i stället för en normal och ofarlig bildfil, hade han gömt sig i räknaren, ett riktigt virus, skulle det vara ont.
Om det verkliga viruset kallar sig själv, till exempel svchost.exe som finns flera gånger i uppgiftshanteraren, skulle det vara riktigt svårt att hitta.
Det slutar inte här, eftersom en experthacker vet att program som kalkylatorn eller anteckningsblocket alltid finns i sökvägen C: \ Windows \ System32, därför kan det potentiellt gå till att skada den filen utan att behöva skapa något nytt.
Fortfarande, utan att ha besvär på virus, kan du dölja en 10 GB-fil i en 10 Kbyte och utan att förstå varför kan du hitta dig själv med datorn låst och utan mer utrymme.
Lyckligtvis övervinns dessa säkerhetsproblem till stor del, antivirus hittar dolda virus i farten och det är helt osannolikt att drabbas av en sådan attack om du är skyddad.
Den enda rekommendationen jag måste göra är att med tanke på hur enkelt du kan skapa en skadlig fil på detta sätt, skulle det vara fallet att inte acceptera några filer från främlingar, kanske skickade via MSN eller per post, även om det här var foton, bilder, musik, textfiler eller vad som helst.
För posten fungerar ADS bara på NTFS-diskspartitioner och inte på FAT32. För att radera en ADS-fil kan du antingen ta bort den som är värd för den genom att ta bort den eller flytta den till en FAT32-partition.
Det finns verktyg som kan identifiera dataströmmarna, och det bästa är den berömda Hijackthis som vi redan har stött på flera gånger i den här bloggen.
På Hijackthis, genom att öppna "Övriga verktyg", hittar du ett verktyg som heter "ADS Spy" som skannar strömmarna och om du vill ta bort dem men ärligt talat skulle det vara en överdriven säkerhetssjäl också eftersom många ADS är användbara för Windows och du riskerar att göra skador.
I så fall var allt som gjordes att skapa ett winrar-arkiv i bildfilen med vad du vill ha inuti.
Det är uppenbart att storleken på denna .jpg-fil blir större beroende på hur många filer som finns i den och för att öppna den gör du bara "Öppna med .." och välj Winrar.
Men virus gömmer sig inte så här, inte bara skulle det vara lätt att hitta det, utan ett .rar-arkiv är helt ofarligt, öppnar inte något i minnet och aktiverar inte någon process.
De kallas ADS ( Alternate Data Stream ) för de filer som är dolda i en annan fil, utan att ändra dess storlek och förbli helt dolda från Windows-vyn .
När du öppnar och kör en fil som innehåller en ADS, aktiveras den ADS och startar programmet under den.
I den här artikeln ser vi hur du enkelt kan skapa en ADS med din PC och dölja alla filer i en annan så att när du kör ADS aktiveras den på sin plats.
1) Öppna Windows Utforskaren, gå till disk C: och skapa en ny mapp som vi kan kalla "Annonser".
2) Inuti, för att testa experimentet, skapa en ny textfil och kalla den "test.txt" och kopiera alla foton eller bilder som finns på datorn och som kan bytas om till immagine_test.jpg.
3) Öppna kommandotolken som finns i Star -> Program -> Tillbehör eller genom att gå till Start -> Run -> och skriva " cmd "
4) Skriv nu cd \ annonser för att ange mappen som skapats tidigare via Dos.
5) För att skapa ett elementärt ADS och börja förstå vad de är, kan du skriva " echo Ciao bello> test.txt: testonascosto.txt "; du kanske märker att inga filer har lagts till i annonsmappen.
6) Skriv på prompten " anteckningsblock test.txt: testonascosto.txt " och som om det är magiskt öppnar anteckningsblocket med texten skriven tidigare; i själva verket har något skrivet gömts som förblir osynligt på datorn utom genom att utföra denna typ av kommando.
Om nyfikenheten börjar kittla hackerånden som finns i var och en av oss, låt oss gå vidare och se vad mer som kan göras.
7) Om gömmer en text bara kan användas av CIA-spioner, kan en hacker tänka sig att använda den här tekniken för att dölja en dålig fil i en bra.
För att göra ett praktiskt experiment kan du kopiera filen calc.exe i mappen Annonser, som finns i Windows-systemmappen och används för att öppna den vanliga räknaren.
Om du vill kopiera filen till mappen Annonser skriver du bara " kopiera C: \ windows \ system32 \ calc.exe c: \ ads " i kommandotolken.
8) Nu kan du infoga den image_test.jpg-fil som vi tagit tidigare och som fortfarande borde finnas i mappen Annonser, i calc.exe-filen.
För att göra denna infiltration måste du skriva i det svarta DOS-fönstret att vi hittills aldrig har stängt: " typ immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Resultat: om du startar filen calc.exe händer inget konstigt; om du börjar från beräkna filen calc.exe genom att skriva så här: starta ./calc.exe : immagine_test.jpg eller starta C: \ ads \ calc.exe: immagine_test.jpg (det tar alltid hela vägen), det öppnar 'bild valt före och inte kalkylatorn; om du tar bort filen image_test från mappen Annonser förändras inte resultatet.
Detta betyder att jpg-filen har gömts inuti calc.exe-filen, den är inte längre synlig, storleken på calc.exe har förblivit oförändrad och det finns inget som signalerar närvaron av dataströmmen.
Till skillnad från den metod som används med Winrar finns det den här gången inget arkiv och den dolda filen aktiveras och körs när värden startas, genom att klicka på filen calc.exe från den öppna mappen, bilden visas inte.
Du kan också dölja filer i en mapp som verkar vara felaktigt tomma.
10) Du kan skapa en ny mapp i annonser och kalla den Ads2 sedan från Dos, skriva cd-annonser2 och skriva kommandot " typ c: \ ads \ calc.exe>: pippo.exe "; filen calc.exe finns i Ads2-mappen men du kan inte se den, varken med kommandot " dir " som visar filerna i katalogerna, eller genom att gå bort utforska resurser med det normala grafiska gränssnittet.
Dessa är ganska gamla knep men som många är okända också för att de faktiskt inte har ett verkligt verktyg, åtminstone för vanliga användare; är de dåliga hackarna som utnyttjar dem och tidigare har gjort mycket skada med dataströmmar.
I själva verket, föreställde sig att i vårt exempel ovan, i punkt 8, i stället för en normal och ofarlig bildfil, hade han gömt sig i räknaren, ett riktigt virus, skulle det vara ont.
Om det verkliga viruset kallar sig själv, till exempel svchost.exe som finns flera gånger i uppgiftshanteraren, skulle det vara riktigt svårt att hitta.
Det slutar inte här, eftersom en experthacker vet att program som kalkylatorn eller anteckningsblocket alltid finns i sökvägen C: \ Windows \ System32, därför kan det potentiellt gå till att skada den filen utan att behöva skapa något nytt.
Fortfarande, utan att ha besvär på virus, kan du dölja en 10 GB-fil i en 10 Kbyte och utan att förstå varför kan du hitta dig själv med datorn låst och utan mer utrymme.
Lyckligtvis övervinns dessa säkerhetsproblem till stor del, antivirus hittar dolda virus i farten och det är helt osannolikt att drabbas av en sådan attack om du är skyddad.
Den enda rekommendationen jag måste göra är att med tanke på hur enkelt du kan skapa en skadlig fil på detta sätt, skulle det vara fallet att inte acceptera några filer från främlingar, kanske skickade via MSN eller per post, även om det här var foton, bilder, musik, textfiler eller vad som helst.
För posten fungerar ADS bara på NTFS-diskspartitioner och inte på FAT32. För att radera en ADS-fil kan du antingen ta bort den som är värd för den genom att ta bort den eller flytta den till en FAT32-partition.
Det finns verktyg som kan identifiera dataströmmarna, och det bästa är den berömda Hijackthis som vi redan har stött på flera gånger i den här bloggen.
På Hijackthis, genom att öppna "Övriga verktyg", hittar du ett verktyg som heter "ADS Spy" som skannar strömmarna och om du vill ta bort dem men ärligt talat skulle det vara en överdriven säkerhetssjäl också eftersom många ADS är användbara för Windows och du riskerar att göra skador.
