前回の別の記事で、拡張子が.jpgの写真内のファイルを隠すためのちょっとしたトリックを見ました。
その場合、行われたのは、イメージファイル内に必要なものを含めて、winrarアーカイブを作成することだけでした。
明らかに、この.jpgファイルのサイズは、その中にあるファイルの数に応じて大きくなります。それを開くには、「で開く」を実行してWinrarを選択します。
しかし、ウイルスはこのように隠れません。見つけやすいだけでなく、.rarアーカイブは完全に無害で、メモリ内の何も開かず、プロセスをアクティブにしません。
それらは、 ADS ( Alternate Data Stream )と呼ばれ、 ファイルのサイズを変更せずに、 別のファイル内に 隠され、Windowsからは完全に隠されたままのファイルです 。
ADSを含むファイルを開いて実行すると、ADSがアクティブになり、その下のプログラムが起動します。
この記事では、PCでADSを簡単に作成し、別のファイルを非表示にして、ADSを実行するとその場所でアクティブになるようにする方法を説明します。
1)Windowsエクスプローラーを開き、ディスクC:に移動して、「Ads」と呼ばれる新しいフォルダーを作成します。
2)内部で、実験をテストするために、新しいテキストファイルを作成して「test.txt」と呼び、コンピューター上にあるimmagine_test.jpgに名前を変更できる写真または画像をコピーします。
3)[スター]-> [プログラム]-> [アクセサリ]にあるコマンドプロンプトを開くか、[スタート]-> [ファイル名を指定して実行]-> [ cmd]と入力します。
4) cd \ adsを作成して、Dosを介して、前に作成したフォルダーに入ります。
5)基本ADSを作成し、それらが何であるかを理解するには、「 echo Ciao bello> test.txt:testonascosto.txt 」と書くことができます。 広告フォルダにファイルが追加されていないことに気付くかもしれません。
6)プロンプト「 notepad test.txt:testonascosto.txt 」に書き込み、魔法のようにメモ帳が開き、前に書き込まれたテキストで開きます。 実際、 書かれたものは隠されており、このタイプのコマンドを実行しない限り、コンピューター上では見えません 。
好奇心が私たちそれぞれにあるハッカーの精神をくすぐり始めたら、先に進み、他に何ができるか見てみましょう。
7)CIAスパイのみがテキストを非表示にできる場合、ハッカーはこの手法を使用して、不正なファイルを良好なファイル内に隠すことを考えることができます。
実際の実験を行うには、Windowsシステムフォルダーにあり、通常の電卓を開くために使用されるAdsフォルダーにcalc.exeファイルをコピーします。
ファイルをAdsフォルダーにコピーするには、コマンドプロンプトで「 copy C:\ windows \ system32 \ calc.exe c:\ ads 」と書きます。
8)これで、以前に取得したimage_test.jpgファイルを挿入できます。これは、まだAdsフォルダー内、calc.exeファイル内にあるはずです。
この潜入を行うには、今まで閉じたことのない黒いDOSウィンドウに書き込む必要があります: " type immagine_test.jpg> calc.exe:immagine_test.jpg "。
9)結果:calc.exeファイルを起動しても、奇妙なことは起こりません。 calcからファイルcalc.exeを次のように記述して開始する場合 : start ./calc.exe:immagine_test.jpgまたはstart C:\ ads \ calc.exe:immagine_test.jpg (常にパス全体を使用します) '電卓ではなく、前に選択された画像; Adsフォルダーからimage_testファイルを削除しても、結果は変わりません。
これは、jpgファイルが calc.exeファイル内に非表示になり、 表示され なくなり 、calc.exeのサイズが変更されず、データストリームの存在を示すものが何もないことを意味します。
Winrarで使用される方法とは異なり、今回はアーカイブはなく、隠しファイルがアクティブ化され、ホストの起動時に実行されます。開いているフォルダーからcalc.exeファイルをクリックすると、画像は表示されません。
また、誤って空に見えるフォルダ内のファイルを非表示にすることもできます 。
10)Ads内に新しいフォルダーを作成し、Ads2を呼び出してDosからcd Ads2を書き込み、コマンド「 type c:\ ads \ calc.exe>:pippo.exe 」を入力します。 calc.exeファイルはAds2フォルダにありますが、ディレクトリ内のファイルを表示する「 dir 」コマンドでも、通常のグラフィカルインターフェイスでリソースを探索しても、表示されません。
これらはかなり古いトリックですが、実際には少なくとも通常のユーザーには実際のユーティリティがないため、多くは不明です。 彼らは悪意のあるハッカーであり、過去にデータストリームを使用して多くの損害を与えてきました。
実際、上記の例では、ポイント8で通常の無害な画像ファイルではなく 、実際のウイルスである電卓の中に隠れていたと想像すると、苦痛になります。
次に、実際のウイルスが自分自身を呼び出す場合、たとえばタスクマネージャに複数回存在するsvchost.exeを見つけると、見つけるのは非常に困難です。
専門のハッカーは電卓やメモ帳などのプログラムが常にパスC:\ Windows \ System32にあることを知っているため、ここで終わりません。したがって、潜在的に、新しいファイルを作成することなく、そのファイルを破損する可能性があります。
それでも、迷惑なウイルスがなければ、10Kバイト内に10GBのファイルを隠すことができ、理由を理解することなく、PCがロックされた状態で、空き容量を増やすことができます。
幸いなことに、これらのセキュリティ問題は大部分が克服されており、アンチウイルスは隠されたウイルスを即座に発見し、保護されていればこのような攻撃を受けることはほとんどありません。
私がしなければならない唯一の推奨事項は、この方法で悪意のあるファイルを簡単に作成できることを考えると、MSNまたはメールで送信された見知らぬ人からのファイルを、写真、画像、音楽、テキストファイルなど。
レコードについては、ADSはNTFSディスクパーティションでのみ機能し、FAT32では機能しません。したがって、ADSファイルを削除するには、それをホストするものを削除するか、FAT32パーティションに移動して削除します。
データストリームを特定できるツールがありますが、このブログで何度か出会った有名なHijackthisが一番です。
Hijackthisでは、「Misc Tools」を開くと、ストリームをスキャンする「ADS Spy」というユーティリティがあります。ストリームを削除したい場合は、正直なところ、多くのADSがWindowsに役立つため、過度のセキュリティになります損害を被るリスクがあります。
その場合、行われたのは、イメージファイル内に必要なものを含めて、winrarアーカイブを作成することだけでした。
明らかに、この.jpgファイルのサイズは、その中にあるファイルの数に応じて大きくなります。それを開くには、「で開く」を実行してWinrarを選択します。
しかし、ウイルスはこのように隠れません。見つけやすいだけでなく、.rarアーカイブは完全に無害で、メモリ内の何も開かず、プロセスをアクティブにしません。
それらは、 ADS ( Alternate Data Stream )と呼ばれ、 ファイルのサイズを変更せずに、 別のファイル内に 隠され、Windowsからは完全に隠されたままのファイルです 。
ADSを含むファイルを開いて実行すると、ADSがアクティブになり、その下のプログラムが起動します。
この記事では、PCでADSを簡単に作成し、別のファイルを非表示にして、ADSを実行するとその場所でアクティブになるようにする方法を説明します。
1)Windowsエクスプローラーを開き、ディスクC:に移動して、「Ads」と呼ばれる新しいフォルダーを作成します。
2)内部で、実験をテストするために、新しいテキストファイルを作成して「test.txt」と呼び、コンピューター上にあるimmagine_test.jpgに名前を変更できる写真または画像をコピーします。
3)[スター]-> [プログラム]-> [アクセサリ]にあるコマンドプロンプトを開くか、[スタート]-> [ファイル名を指定して実行]-> [ cmd]と入力します。
4) cd \ adsを作成して、Dosを介して、前に作成したフォルダーに入ります。
5)基本ADSを作成し、それらが何であるかを理解するには、「 echo Ciao bello> test.txt:testonascosto.txt 」と書くことができます。 広告フォルダにファイルが追加されていないことに気付くかもしれません。
6)プロンプト「 notepad test.txt:testonascosto.txt 」に書き込み、魔法のようにメモ帳が開き、前に書き込まれたテキストで開きます。 実際、 書かれたものは隠されており、このタイプのコマンドを実行しない限り、コンピューター上では見えません 。
好奇心が私たちそれぞれにあるハッカーの精神をくすぐり始めたら、先に進み、他に何ができるか見てみましょう。
7)CIAスパイのみがテキストを非表示にできる場合、ハッカーはこの手法を使用して、不正なファイルを良好なファイル内に隠すことを考えることができます。
実際の実験を行うには、Windowsシステムフォルダーにあり、通常の電卓を開くために使用されるAdsフォルダーにcalc.exeファイルをコピーします。
ファイルをAdsフォルダーにコピーするには、コマンドプロンプトで「 copy C:\ windows \ system32 \ calc.exe c:\ ads 」と書きます。
8)これで、以前に取得したimage_test.jpgファイルを挿入できます。これは、まだAdsフォルダー内、calc.exeファイル内にあるはずです。
この潜入を行うには、今まで閉じたことのない黒いDOSウィンドウに書き込む必要があります: " type immagine_test.jpg> calc.exe:immagine_test.jpg "。
9)結果:calc.exeファイルを起動しても、奇妙なことは起こりません。 calcからファイルcalc.exeを次のように記述して開始する場合 : start ./calc.exe:immagine_test.jpgまたはstart C:\ ads \ calc.exe:immagine_test.jpg (常にパス全体を使用します) '電卓ではなく、前に選択された画像; Adsフォルダーからimage_testファイルを削除しても、結果は変わりません。
これは、jpgファイルが calc.exeファイル内に非表示になり、 表示され なくなり 、calc.exeのサイズが変更されず、データストリームの存在を示すものが何もないことを意味します。
Winrarで使用される方法とは異なり、今回はアーカイブはなく、隠しファイルがアクティブ化され、ホストの起動時に実行されます。開いているフォルダーからcalc.exeファイルをクリックすると、画像は表示されません。
また、誤って空に見えるフォルダ内のファイルを非表示にすることもできます 。
10)Ads内に新しいフォルダーを作成し、Ads2を呼び出してDosからcd Ads2を書き込み、コマンド「 type c:\ ads \ calc.exe>:pippo.exe 」を入力します。 calc.exeファイルはAds2フォルダにありますが、ディレクトリ内のファイルを表示する「 dir 」コマンドでも、通常のグラフィカルインターフェイスでリソースを探索しても、表示されません。
これらはかなり古いトリックですが、実際には少なくとも通常のユーザーには実際のユーティリティがないため、多くは不明です。 彼らは悪意のあるハッカーであり、過去にデータストリームを使用して多くの損害を与えてきました。
実際、上記の例では、ポイント8で通常の無害な画像ファイルではなく 、実際のウイルスである電卓の中に隠れていたと想像すると、苦痛になります。
次に、実際のウイルスが自分自身を呼び出す場合、たとえばタスクマネージャに複数回存在するsvchost.exeを見つけると、見つけるのは非常に困難です。
専門のハッカーは電卓やメモ帳などのプログラムが常にパスC:\ Windows \ System32にあることを知っているため、ここで終わりません。したがって、潜在的に、新しいファイルを作成することなく、そのファイルを破損する可能性があります。
それでも、迷惑なウイルスがなければ、10Kバイト内に10GBのファイルを隠すことができ、理由を理解することなく、PCがロックされた状態で、空き容量を増やすことができます。
幸いなことに、これらのセキュリティ問題は大部分が克服されており、アンチウイルスは隠されたウイルスを即座に発見し、保護されていればこのような攻撃を受けることはほとんどありません。
私がしなければならない唯一の推奨事項は、この方法で悪意のあるファイルを簡単に作成できることを考えると、MSNまたはメールで送信された見知らぬ人からのファイルを、写真、画像、音楽、テキストファイルなど。
レコードについては、ADSはNTFSディスクパーティションでのみ機能し、FAT32では機能しません。したがって、ADSファイルを削除するには、それをホストするものを削除するか、FAT32パーティションに移動して削除します。
データストリームを特定できるツールがありますが、このブログで何度か出会った有名なHijackthisが一番です。
Hijackthisでは、「Misc Tools」を開くと、ストリームをスキャンする「ADS Spy」というユーティリティがあります。ストリームを削除したい場合は、正直なところ、多くのADSがWindowsに役立つため、過度のセキュリティになります損害を被るリスクがあります。
