Σε ένα άλλο προηγούμενο άρθρο είχαμε δει ένα μικρό τέχνασμα για να κρύψουμε αρχεία μέσα σε μια φωτογραφία με την επέκταση .jpg.
Σε αυτή την περίπτωση, το μόνο που έγινε ήταν να δημιουργηθεί ένα αρχείο winrar μέσα στο αρχείο εικόνας με ό, τι θέλετε μέσα.
Είναι σαφές ότι το μέγεθος αυτού του αρχείου .jpg γίνεται μεγαλύτερο, ανάλογα με τον αριθμό των αρχείων που υπάρχουν σε αυτό και για να το ανοίξετε απλά κάντε "Άνοιγμα με .." και επιλέξτε το Winrar.
Αλλά οι ιοί δεν κρύβονται έτσι, όχι μόνο θα ήταν εύκολο να το βρεις, αλλά ένα .rar αρχείο είναι εντελώς ακίνδυνο, δεν ανοίγει τίποτα στη μνήμη και δεν ενεργοποιεί καμία διαδικασία.
Ονομάζονται ADS ( Alternate Data Stream ) τα αρχεία που είναι κρυμμένα μέσα σε άλλο αρχείο, χωρίς να αλλάζουν το μέγεθός του και να παραμένουν εντελώς κρυμμένα από την προβολή των Windows .
Όταν ανοίγετε και εκτελείτε ένα αρχείο που περιέχει ένα ADS, ενεργοποιεί το ADS και εκκινεί το πρόγραμμα κάτω από αυτό.
Σε αυτό το άρθρο βλέπουμε πώς μπορείτε εύκολα να δημιουργήσετε ένα ADS με τον υπολογιστή σας και να αποκρύψετε οποιοδήποτε αρχείο μέσα σε άλλο, έτσι ώστε όταν τρέχετε το ADS να ενεργοποιηθεί στη θέση του.
1) Ανοίξτε την Εξερεύνηση των Windows, μεταβείτε στο δίσκο C: και δημιουργήστε ένα νέο φάκελο τον οποίο μπορούμε να ονομάσουμε "Διαφημίσεις".
2) Στο εσωτερικό, για να δοκιμάσετε το πείραμα, δημιουργήστε ένα νέο αρχείο κειμένου και ονομάστε το "test.txt" και αντιγράψτε οποιαδήποτε φωτογραφία ή εικόνα που βρίσκεται στον υπολογιστή και που μπορεί να μετονομαστεί σε immagine_test.jpg.
3) Ανοίξτε τη γραμμή εντολών που βρίσκεται στο Star -> Programs -> Accessories ή πηγαίνοντας στο Start -> Run -> και γράψτε " cmd "
4) Τώρα γράψτε cd \ ads για να εισάγετε, μέσω Dos, το φάκελο που δημιουργήθηκε πριν.
5) Για να δημιουργήσετε ένα στοιχειώδες ADS και να αρχίσετε να καταλαβαίνετε τι είναι, μπορείτε να γράψετε " echo Ciao bello> test.txt: testonascosto.txt "; ενδέχεται να παρατηρήσετε ότι δεν έχουν προστεθεί αρχεία στο φάκελο διαφημίσεων.
6) Γράψτε στην προτροπή " σημειωματάριο test.txt: testonascosto.txt " και σαν να με μαγεία το σημειωματάριο ανοίγει με το κείμενο που γράφτηκε πριν. στην πραγματικότητα, κάτι γραπτό έχει κρυφτεί που παραμένει αόρατο στον υπολογιστή εκτός από την εκτέλεση αυτού του τύπου εντολής.
Αν η περιέργεια αρχίσει να χτυπάει το πνεύμα χάκερ που υπάρχει σε κάθε έναν από μας, ας πάμε μπροστά και να δούμε τι άλλο μπορεί να γίνει.
7) Αν κρύβεται ένα κείμενο μπορεί να χρησιμοποιηθεί μόνο από τους κατασκόπους της CIA, ένας χάκερ μπορεί να σκεφτεί να χρησιμοποιήσει αυτή την τεχνική για να κρύψει ένα κακό αρχείο μέσα σε ένα καλό.
Για να κάνετε ένα πρακτικό πείραμα, μπορείτε να αντιγράψετε το αρχείο calc.exe στο φάκελο "Διαφημίσεις", το οποίο βρίσκεται στο φάκελο συστήματος των Windows και χρησιμοποιείται για να ανοίξει η κανονική αριθμομηχανή.
Για να αντιγράψετε το αρχείο στο φάκελο "Διαφημίσεις", απλά γράψτε " C: \ windows \ system32 \ calc.exe c: \ ads " στη γραμμή εντολών.
8) Τώρα μπορείτε να εισαγάγετε το αρχείο image_test.jpg που είχαμε τραβήξει πριν και το οποίο θα έπρεπε να βρίσκεται μέσα στο φάκελο Ads, μέσα στο αρχείο calc.exe.
Για να γίνει αυτή η διείσδυση, πρέπει να γράψετε στο μαύρο παράθυρο DOS ότι μέχρι τώρα δεν έχουμε κλείσει: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Αποτέλεσμα: αν ξεκινήσετε το αρχείο calc.exe, δεν συμβαίνει τίποτα περίεργο. αν ξεκινήσετε από το αρχείο calc.exe να το γράψετε γράφοντας έτσι: ξεκινήστε ./calc.exe : immagine_test.jpg ή ξεκινήστε το C: \ ads \ calc.exe: immagine_test.jpg (παίρνει πάντα όλη τη διαδρομή), ανοίγει 'την εικόνα που επιλέξατε πριν και όχι την αριθμομηχανή. εάν διαγράψετε το αρχείο image_test από το φάκελο Ads, το αποτέλεσμα δεν αλλάζει.
Αυτό σημαίνει ότι το αρχείο jpg έχει κρυφτεί μέσα στο αρχείο calc.exe, δεν είναι πλέον ορατό, το μέγεθος του calc.exe παρέμεινε αμετάβλητο και δεν υπάρχει τίποτα που να σηματοδοτεί την παρουσία της ροής δεδομένων.
Σε αντίθεση με τη μέθοδο που χρησιμοποιήθηκε με το Winrar, αυτή τη φορά, δεν υπάρχει αρχείο και το κρυφό αρχείο είναι ενεργοποιημένο και εκτελείται όταν ξεκινά ο κεντρικός υπολογιστής, κάνοντας κλικ στο αρχείο calc.exe από το φάκελο η εικόνα δεν εμφανίζεται.
Μπορείτε επίσης να αποκρύψετε αρχεία μέσα σε ένα φάκελο που θα φαίνεται εσφαλμένα κενό.
10) Μπορείτε να δημιουργήσετε ένα νέο φάκελο στο Ads και να το ονομάσετε Ads2 και στη συνέχεια από το Dos, γράψτε cd Ads2 και πληκτρολογήστε την εντολή " type c: \ ads \ calc.exe>: pippo.exe "; το αρχείο calc.exe βρίσκεται στο φάκελο Ads2 αλλά δεν μπορείτε να το δείτε, ούτε με την εντολή " dir " που εμφανίζει τα αρχεία στους καταλόγους, ούτε με τη μετάβαση να εξερευνήσετε πόρους με την κανονική γραφική διεπαφή.
Αυτά είναι αρκετά παλιά κόλπα, αλλά πολλά από αυτά είναι άγνωστα και επειδή, στην πραγματικότητα, δεν έχουν πραγματική χρησιμότητα, τουλάχιστον για τους κανονικούς χρήστες. είναι οι κακοί χάκερ που τους εκμεταλλεύονται και, στο παρελθόν, έχουν κάνει μεγάλες ζημιές με τη χρήση ροών δεδομένων.
Στην πραγματικότητα, φαντάζοντας ότι, στο παραπάνω παράδειγμα, στο σημείο 8, αντί για ένα κανονικό και αβλαβές αρχείο εικόνας, είχε κρυφτεί μέσα στην αριθμομηχανή, ένας πραγματικός ιός, θα ήταν πόνος.
Αν τότε ο πραγματικός ιός καλείται ο ίδιος, για παράδειγμα το svchost.exe που υπάρχει αρκετές φορές στον διαχειριστή εργασιών, τότε θα ήταν πραγματικά δύσκολο να βρεθεί.
Δεν τελειώνει εδώ, επειδή ένας εμπειρογνώμονας hacker γνωρίζει ότι προγράμματα όπως η αριθμομηχανή ή το σημειωματάριο βρίσκονται πάντα στη διαδρομή C: \ Windows \ System32 επομένως, ενδεχομένως, θα μπορούσε να πάει να καταστρέψει αυτό το αρχείο, χωρίς να χρειάζεται να δημιουργήσει κάτι νέο.
Ακόμα, χωρίς να ενοχλούν τους ιούς, θα μπορούσατε να αποκρύψετε ένα αρχείο 10GB μέσα σε ένα 10 Kbyte και, χωρίς να καταλάβετε γιατί, θα μπορούσατε να βρεθείτε με τον υπολογιστή κλειδωμένο και χωρίς περισσότερο χώρο.
Ευτυχώς, αυτά τα προβλήματα ασφαλείας είναι σε μεγάλο βαθμό ξεπεραστούν, τα antivirus βρίσκουν κρυμμένους ιούς σε κατάσταση πτώσης και είναι μάλλον απίθανο να υποστούν μια τέτοια επίθεση, εάν είστε προστατευμένοι.
Η μόνη σύσταση που πρέπει να κάνω είναι ότι, δεδομένης της ευκολίας με την οποία μπορείτε να δημιουργήσετε ένα κακόβουλο αρχείο με αυτόν τον τρόπο, θα ήταν η περίπτωση να μην δεχτείτε αρχεία από ξένους, ίσως αποστέλλονται μέσω MSN ή ταχυδρομικώς, ακόμα κι αν πρόκειται για φωτογραφίες, μουσική, αρχεία κειμένου ή οτιδήποτε άλλο.
Για την καταγραφή, τα λειτουργικά συστήματα ADS λειτουργούν μόνο σε διαμερίσματα δίσκων NTFS και όχι σε FAT32, επομένως, για να διαγράψετε ένα αρχείο ADS, μπορείτε είτε να διαγράψετε αυτό που φιλοξενεί, διαγράφοντάς το είτε μετακινώντας το σε ένα διαμέρισμα FAT32.
Υπάρχουν εργαλεία που μπορούν να αναγνωρίσουν τα ρεύματα δεδομένων και το καλύτερο είναι το διάσημο Hijackthis που έχουμε ήδη συναντήσει αρκετές φορές σε αυτό το ιστολόγιο.
Στο Hijackthis, ανοίγοντας το "Misc Tools" θα βρείτε ένα βοηθητικό πρόγραμμα που ονομάζεται "ADS Spy" το οποίο σαρώνει τα ρεύματα και εάν θέλετε να τα αφαιρέσετε αλλά ειλικρινά θα ήταν υπερβολικός ζήλος ασφαλείας επίσης επειδή πολλά ADS είναι χρήσιμα για τα Windows και θα μπορούσατε να κάνετε ζημιά.
Σε αυτή την περίπτωση, το μόνο που έγινε ήταν να δημιουργηθεί ένα αρχείο winrar μέσα στο αρχείο εικόνας με ό, τι θέλετε μέσα.
Είναι σαφές ότι το μέγεθος αυτού του αρχείου .jpg γίνεται μεγαλύτερο, ανάλογα με τον αριθμό των αρχείων που υπάρχουν σε αυτό και για να το ανοίξετε απλά κάντε "Άνοιγμα με .." και επιλέξτε το Winrar.
Αλλά οι ιοί δεν κρύβονται έτσι, όχι μόνο θα ήταν εύκολο να το βρεις, αλλά ένα .rar αρχείο είναι εντελώς ακίνδυνο, δεν ανοίγει τίποτα στη μνήμη και δεν ενεργοποιεί καμία διαδικασία.
Ονομάζονται ADS ( Alternate Data Stream ) τα αρχεία που είναι κρυμμένα μέσα σε άλλο αρχείο, χωρίς να αλλάζουν το μέγεθός του και να παραμένουν εντελώς κρυμμένα από την προβολή των Windows .
Όταν ανοίγετε και εκτελείτε ένα αρχείο που περιέχει ένα ADS, ενεργοποιεί το ADS και εκκινεί το πρόγραμμα κάτω από αυτό.
Σε αυτό το άρθρο βλέπουμε πώς μπορείτε εύκολα να δημιουργήσετε ένα ADS με τον υπολογιστή σας και να αποκρύψετε οποιοδήποτε αρχείο μέσα σε άλλο, έτσι ώστε όταν τρέχετε το ADS να ενεργοποιηθεί στη θέση του.
1) Ανοίξτε την Εξερεύνηση των Windows, μεταβείτε στο δίσκο C: και δημιουργήστε ένα νέο φάκελο τον οποίο μπορούμε να ονομάσουμε "Διαφημίσεις".
2) Στο εσωτερικό, για να δοκιμάσετε το πείραμα, δημιουργήστε ένα νέο αρχείο κειμένου και ονομάστε το "test.txt" και αντιγράψτε οποιαδήποτε φωτογραφία ή εικόνα που βρίσκεται στον υπολογιστή και που μπορεί να μετονομαστεί σε immagine_test.jpg.
3) Ανοίξτε τη γραμμή εντολών που βρίσκεται στο Star -> Programs -> Accessories ή πηγαίνοντας στο Start -> Run -> και γράψτε " cmd "
4) Τώρα γράψτε cd \ ads για να εισάγετε, μέσω Dos, το φάκελο που δημιουργήθηκε πριν.
5) Για να δημιουργήσετε ένα στοιχειώδες ADS και να αρχίσετε να καταλαβαίνετε τι είναι, μπορείτε να γράψετε " echo Ciao bello> test.txt: testonascosto.txt "; ενδέχεται να παρατηρήσετε ότι δεν έχουν προστεθεί αρχεία στο φάκελο διαφημίσεων.
6) Γράψτε στην προτροπή " σημειωματάριο test.txt: testonascosto.txt " και σαν να με μαγεία το σημειωματάριο ανοίγει με το κείμενο που γράφτηκε πριν. στην πραγματικότητα, κάτι γραπτό έχει κρυφτεί που παραμένει αόρατο στον υπολογιστή εκτός από την εκτέλεση αυτού του τύπου εντολής.
Αν η περιέργεια αρχίσει να χτυπάει το πνεύμα χάκερ που υπάρχει σε κάθε έναν από μας, ας πάμε μπροστά και να δούμε τι άλλο μπορεί να γίνει.
7) Αν κρύβεται ένα κείμενο μπορεί να χρησιμοποιηθεί μόνο από τους κατασκόπους της CIA, ένας χάκερ μπορεί να σκεφτεί να χρησιμοποιήσει αυτή την τεχνική για να κρύψει ένα κακό αρχείο μέσα σε ένα καλό.
Για να κάνετε ένα πρακτικό πείραμα, μπορείτε να αντιγράψετε το αρχείο calc.exe στο φάκελο "Διαφημίσεις", το οποίο βρίσκεται στο φάκελο συστήματος των Windows και χρησιμοποιείται για να ανοίξει η κανονική αριθμομηχανή.
Για να αντιγράψετε το αρχείο στο φάκελο "Διαφημίσεις", απλά γράψτε " C: \ windows \ system32 \ calc.exe c: \ ads " στη γραμμή εντολών.
8) Τώρα μπορείτε να εισαγάγετε το αρχείο image_test.jpg που είχαμε τραβήξει πριν και το οποίο θα έπρεπε να βρίσκεται μέσα στο φάκελο Ads, μέσα στο αρχείο calc.exe.
Για να γίνει αυτή η διείσδυση, πρέπει να γράψετε στο μαύρο παράθυρο DOS ότι μέχρι τώρα δεν έχουμε κλείσει: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Αποτέλεσμα: αν ξεκινήσετε το αρχείο calc.exe, δεν συμβαίνει τίποτα περίεργο. αν ξεκινήσετε από το αρχείο calc.exe να το γράψετε γράφοντας έτσι: ξεκινήστε ./calc.exe : immagine_test.jpg ή ξεκινήστε το C: \ ads \ calc.exe: immagine_test.jpg (παίρνει πάντα όλη τη διαδρομή), ανοίγει 'την εικόνα που επιλέξατε πριν και όχι την αριθμομηχανή. εάν διαγράψετε το αρχείο image_test από το φάκελο Ads, το αποτέλεσμα δεν αλλάζει.
Αυτό σημαίνει ότι το αρχείο jpg έχει κρυφτεί μέσα στο αρχείο calc.exe, δεν είναι πλέον ορατό, το μέγεθος του calc.exe παρέμεινε αμετάβλητο και δεν υπάρχει τίποτα που να σηματοδοτεί την παρουσία της ροής δεδομένων.
Σε αντίθεση με τη μέθοδο που χρησιμοποιήθηκε με το Winrar, αυτή τη φορά, δεν υπάρχει αρχείο και το κρυφό αρχείο είναι ενεργοποιημένο και εκτελείται όταν ξεκινά ο κεντρικός υπολογιστής, κάνοντας κλικ στο αρχείο calc.exe από το φάκελο η εικόνα δεν εμφανίζεται.
Μπορείτε επίσης να αποκρύψετε αρχεία μέσα σε ένα φάκελο που θα φαίνεται εσφαλμένα κενό.
10) Μπορείτε να δημιουργήσετε ένα νέο φάκελο στο Ads και να το ονομάσετε Ads2 και στη συνέχεια από το Dos, γράψτε cd Ads2 και πληκτρολογήστε την εντολή " type c: \ ads \ calc.exe>: pippo.exe "; το αρχείο calc.exe βρίσκεται στο φάκελο Ads2 αλλά δεν μπορείτε να το δείτε, ούτε με την εντολή " dir " που εμφανίζει τα αρχεία στους καταλόγους, ούτε με τη μετάβαση να εξερευνήσετε πόρους με την κανονική γραφική διεπαφή.
Αυτά είναι αρκετά παλιά κόλπα, αλλά πολλά από αυτά είναι άγνωστα και επειδή, στην πραγματικότητα, δεν έχουν πραγματική χρησιμότητα, τουλάχιστον για τους κανονικούς χρήστες. είναι οι κακοί χάκερ που τους εκμεταλλεύονται και, στο παρελθόν, έχουν κάνει μεγάλες ζημιές με τη χρήση ροών δεδομένων.
Στην πραγματικότητα, φαντάζοντας ότι, στο παραπάνω παράδειγμα, στο σημείο 8, αντί για ένα κανονικό και αβλαβές αρχείο εικόνας, είχε κρυφτεί μέσα στην αριθμομηχανή, ένας πραγματικός ιός, θα ήταν πόνος.
Αν τότε ο πραγματικός ιός καλείται ο ίδιος, για παράδειγμα το svchost.exe που υπάρχει αρκετές φορές στον διαχειριστή εργασιών, τότε θα ήταν πραγματικά δύσκολο να βρεθεί.
Δεν τελειώνει εδώ, επειδή ένας εμπειρογνώμονας hacker γνωρίζει ότι προγράμματα όπως η αριθμομηχανή ή το σημειωματάριο βρίσκονται πάντα στη διαδρομή C: \ Windows \ System32 επομένως, ενδεχομένως, θα μπορούσε να πάει να καταστρέψει αυτό το αρχείο, χωρίς να χρειάζεται να δημιουργήσει κάτι νέο.
Ακόμα, χωρίς να ενοχλούν τους ιούς, θα μπορούσατε να αποκρύψετε ένα αρχείο 10GB μέσα σε ένα 10 Kbyte και, χωρίς να καταλάβετε γιατί, θα μπορούσατε να βρεθείτε με τον υπολογιστή κλειδωμένο και χωρίς περισσότερο χώρο.
Ευτυχώς, αυτά τα προβλήματα ασφαλείας είναι σε μεγάλο βαθμό ξεπεραστούν, τα antivirus βρίσκουν κρυμμένους ιούς σε κατάσταση πτώσης και είναι μάλλον απίθανο να υποστούν μια τέτοια επίθεση, εάν είστε προστατευμένοι.
Η μόνη σύσταση που πρέπει να κάνω είναι ότι, δεδομένης της ευκολίας με την οποία μπορείτε να δημιουργήσετε ένα κακόβουλο αρχείο με αυτόν τον τρόπο, θα ήταν η περίπτωση να μην δεχτείτε αρχεία από ξένους, ίσως αποστέλλονται μέσω MSN ή ταχυδρομικώς, ακόμα κι αν πρόκειται για φωτογραφίες, μουσική, αρχεία κειμένου ή οτιδήποτε άλλο.
Για την καταγραφή, τα λειτουργικά συστήματα ADS λειτουργούν μόνο σε διαμερίσματα δίσκων NTFS και όχι σε FAT32, επομένως, για να διαγράψετε ένα αρχείο ADS, μπορείτε είτε να διαγράψετε αυτό που φιλοξενεί, διαγράφοντάς το είτε μετακινώντας το σε ένα διαμέρισμα FAT32.
Υπάρχουν εργαλεία που μπορούν να αναγνωρίσουν τα ρεύματα δεδομένων και το καλύτερο είναι το διάσημο Hijackthis που έχουμε ήδη συναντήσει αρκετές φορές σε αυτό το ιστολόγιο.
Στο Hijackthis, ανοίγοντας το "Misc Tools" θα βρείτε ένα βοηθητικό πρόγραμμα που ονομάζεται "ADS Spy" το οποίο σαρώνει τα ρεύματα και εάν θέλετε να τα αφαιρέσετε αλλά ειλικρινά θα ήταν υπερβολικός ζήλος ασφαλείας επίσης επειδή πολλά ADS είναι χρήσιμα για τα Windows και θα μπορούσατε να κάνετε ζημιά.
