В іншій попередній статті ми побачили невелику хитрість приховати файли всередині фотографії з розширенням .jpg.
У цьому випадку все, що було зроблено, - це створити архів winrar всередині файлу зображення з усім, що ви хочете всередині.
Очевидно, що розмір цього файлу .jpg збільшується залежно від того, скільки файлів у ньому, і щоб відкрити його, просто зробіть "Відкрити з .." та виберіть Winrar.
Але віруси не приховують подібне, не тільки легко було б його знайти, але .rar архів абсолютно нешкідливий, нічого не відкриває в пам'яті і не активує жоден процес.
Вони називаються ADS ( альтернативний потік даних ) ті файли, які приховані всередині іншого файлу, не змінюючи його розмір і залишаючись повністю прихованими від подання Windows .
Коли ви відкриваєте та запускаєте файл, що містить ADS, він активує ADS та запускає програму під ним.
У цій статті ми бачимо, як ви можете легко створити ADS за допомогою свого ПК та приховати будь-який файл всередині іншого, щоб при запуску ADS він активувався на його місці.
1) Відкрийте Провідник Windows, перейдіть на диск C: і створіть нову папку, яку ми можемо називати "Оголошення".
2) Всередині, щоб перевірити експеримент, створіть новий текстовий файл і назвіть його "test.txt" та скопіюйте будь-яку фотографію чи зображення, які є на комп’ютері і які можуть бути перейменовані на immagine_test.jpg.
3) Відкрийте командний рядок, знайдений у зірці -> Програми -> Аксесуари або перейшовши до Пуск -> Виконати -> та напишіть " cmd "
4) Тепер запишіть cd \ ads, щоб увести через Dos папку, створену раніше.
5) Щоб створити елементарну ADS і почати розуміти, що вони є, ви можете написати " echo Ciao bello> test.txt: testonascosto.txt "; ви можете помітити, що до папки оголошень не додано жодного файлу.
6) Напишіть у підказці « блокнот test.txt: testonascosto.txt » і ніби за допомогою магії блокнот відкривається текстом, написаним раніше; насправді щось приховане було приховано, що залишається невидимим на комп’ютері, за винятком виконання цього типу команд.
Якщо цікавість починає лоскотати хакерський дух, який є у кожного з нас, давайте продовжимо і подивимося, що ще можна зробити.
7) Якщо приховування тексту можуть використовувати лише шпигуни ЦРУ, хакер може подумати про використання цієї методики, щоб приховати поганий файл у хорошому.
Щоб зробити практичний експеримент, ви можете скопіювати файл calc.exe у папку Ads, яка знаходиться в системній папці Windows і використовується для відкриття звичайного калькулятора.
Щоб скопіювати файл у папку Ads, просто напишіть у командному рядку " копіювати C: \ windows \ system32 \ calc.exe c: \ ads ".
8) Тепер ви можете вставити файл image_test.jpg, який ми раніше брали і який все ще повинен знаходитися у папці Ads, всередині calc.exe.
Щоб зробити цю інфільтрацію, вам потрібно написати на чорному вікні DOS, що досі ми ніколи не закривались: " введіть immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Результат: якщо ви запускаєте файл calc.exe, нічого дивного не відбувається; якщо ви почнете з calc файл calc.exe, написавши так: start ./calc.exe : immagine_test.jpg або запустіть C: \ ads \ calc.exe: immagine_test.jpg (він завжди займає весь шлях), він відкриється 'зображення, вибране раніше, а не калькулятор; якщо ви видалите файл image_test із папки "Оголошення", результат не змінюється.
Це означає, що файл jpg був прихований всередині файлу calc.exe, він більше не видно, розмір calc.exe залишився незмінним, і нічого, що сигналізує про присутність потоку даних, нічого не було.
На відміну від методу, який використовується у Winrar, цього разу архіву немає, а прихований файл активується та виконується при запуску хоста, натиснувши на файл calc.exe з відкритої папки, зображення не відображається
Ви також можете приховати файли всередині папки, яка виявиться помилково порожньою.
10) Ви можете створити нову папку всередині Ads і назвати її Ads2, потім з Dos, написати cd Ads2 і ввести команду " type c: \ ads \ calc.exe>: pippo.exe "; файл calc.exe знаходиться в папці Ads2, але його ви не бачите, ні з командою " dir ", яка показує файли в каталогах, ні шляхом відходу досліджувати ресурси за допомогою звичайного графічного інтерфейсу.
Це досить старі хитрощі, але багато з них невідомі ще й тому, що насправді вони не мають справжньої корисності, принаймні для звичайних користувачів; вони - погані хакери, які їх експлуатують, і в минулому завдали великої шкоди за допомогою потоків даних.
Насправді, уявивши, що в нашому прикладі вище, у пункті 8, замість нормального і нешкідливого файла зображення він заховав всередині калькулятора справжній вірус, це був би біль.
Якщо тоді справжній вірус викликає себе, наприклад svchost.exe, який декілька разів присутній в диспетчері завдань, то його було б дійсно важко знайти.
На цьому це не закінчується, тому що експерт-хакер знає, що такі програми, як калькулятор чи блокнот, завжди знаходяться на шляху C: \ Windows \ System32, отже, потенційно, він може перешкодити цьому файлу, не створюючи нічого нового.
Тим не менш, не маючи незручностей вірусів, ви можете сховати файл 10 ГБ всередині 10 Кбайт і, не розуміючи чому, ви можете опинитися з заблокованим ПК та без більше місця.
На щастя, ці проблеми із безпекою значною мірою подолані, антивіруси виявляють приховані віруси на льоту, і навряд чи переживеш таку атаку, якщо ти захищений.
Єдина рекомендація, яку я маю зробити, - це, враховуючи простоту, з якою ви можете створити шкідливий файл таким чином, було б не приймати жодних файлів від сторонніх людей, можливо, надісланих через MSN або поштою, навіть якщо це фотографії, зображення, музику, текстові файли чи інше.
Для запису ADS працює лише на дискових розділах NTFS, а не на FAT32, тому для видалення файлу ADS ви можете видалити той, який розміщує його, видаливши його або перемістивши його до розділу FAT32.
Є інструменти, які дозволяють ідентифікувати потоки даних, а найкращим є відомий Hijackthis, з яким ми вже не раз стикалися в цьому блозі.
На Hijackthis, відкривши "Інші інструменти" є утиліта під назвою "ADS Spy", яка сканує потоки, і, якщо ви хочете їх видалити, але, чесно кажучи, це було б надмірним завзяттям безпеки ще й тому, що багато рекламних оголошень корисні для Windows і ви ризикуєте зробити шкоду.
У цьому випадку все, що було зроблено, - це створити архів winrar всередині файлу зображення з усім, що ви хочете всередині.
Очевидно, що розмір цього файлу .jpg збільшується залежно від того, скільки файлів у ньому, і щоб відкрити його, просто зробіть "Відкрити з .." та виберіть Winrar.
Але віруси не приховують подібне, не тільки легко було б його знайти, але .rar архів абсолютно нешкідливий, нічого не відкриває в пам'яті і не активує жоден процес.
Вони називаються ADS ( альтернативний потік даних ) ті файли, які приховані всередині іншого файлу, не змінюючи його розмір і залишаючись повністю прихованими від подання Windows .
Коли ви відкриваєте та запускаєте файл, що містить ADS, він активує ADS та запускає програму під ним.
У цій статті ми бачимо, як ви можете легко створити ADS за допомогою свого ПК та приховати будь-який файл всередині іншого, щоб при запуску ADS він активувався на його місці.
1) Відкрийте Провідник Windows, перейдіть на диск C: і створіть нову папку, яку ми можемо називати "Оголошення".
2) Всередині, щоб перевірити експеримент, створіть новий текстовий файл і назвіть його "test.txt" та скопіюйте будь-яку фотографію чи зображення, які є на комп’ютері і які можуть бути перейменовані на immagine_test.jpg.
3) Відкрийте командний рядок, знайдений у зірці -> Програми -> Аксесуари або перейшовши до Пуск -> Виконати -> та напишіть " cmd "
4) Тепер запишіть cd \ ads, щоб увести через Dos папку, створену раніше.
5) Щоб створити елементарну ADS і почати розуміти, що вони є, ви можете написати " echo Ciao bello> test.txt: testonascosto.txt "; ви можете помітити, що до папки оголошень не додано жодного файлу.
6) Напишіть у підказці « блокнот test.txt: testonascosto.txt » і ніби за допомогою магії блокнот відкривається текстом, написаним раніше; насправді щось приховане було приховано, що залишається невидимим на комп’ютері, за винятком виконання цього типу команд.
Якщо цікавість починає лоскотати хакерський дух, який є у кожного з нас, давайте продовжимо і подивимося, що ще можна зробити.
7) Якщо приховування тексту можуть використовувати лише шпигуни ЦРУ, хакер може подумати про використання цієї методики, щоб приховати поганий файл у хорошому.
Щоб зробити практичний експеримент, ви можете скопіювати файл calc.exe у папку Ads, яка знаходиться в системній папці Windows і використовується для відкриття звичайного калькулятора.
Щоб скопіювати файл у папку Ads, просто напишіть у командному рядку " копіювати C: \ windows \ system32 \ calc.exe c: \ ads ".
8) Тепер ви можете вставити файл image_test.jpg, який ми раніше брали і який все ще повинен знаходитися у папці Ads, всередині calc.exe.
Щоб зробити цю інфільтрацію, вам потрібно написати на чорному вікні DOS, що досі ми ніколи не закривались: " введіть immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Результат: якщо ви запускаєте файл calc.exe, нічого дивного не відбувається; якщо ви почнете з calc файл calc.exe, написавши так: start ./calc.exe : immagine_test.jpg або запустіть C: \ ads \ calc.exe: immagine_test.jpg (він завжди займає весь шлях), він відкриється 'зображення, вибране раніше, а не калькулятор; якщо ви видалите файл image_test із папки "Оголошення", результат не змінюється.
Це означає, що файл jpg був прихований всередині файлу calc.exe, він більше не видно, розмір calc.exe залишився незмінним, і нічого, що сигналізує про присутність потоку даних, нічого не було.
На відміну від методу, який використовується у Winrar, цього разу архіву немає, а прихований файл активується та виконується при запуску хоста, натиснувши на файл calc.exe з відкритої папки, зображення не відображається
Ви також можете приховати файли всередині папки, яка виявиться помилково порожньою.
10) Ви можете створити нову папку всередині Ads і назвати її Ads2, потім з Dos, написати cd Ads2 і ввести команду " type c: \ ads \ calc.exe>: pippo.exe "; файл calc.exe знаходиться в папці Ads2, але його ви не бачите, ні з командою " dir ", яка показує файли в каталогах, ні шляхом відходу досліджувати ресурси за допомогою звичайного графічного інтерфейсу.
Це досить старі хитрощі, але багато з них невідомі ще й тому, що насправді вони не мають справжньої корисності, принаймні для звичайних користувачів; вони - погані хакери, які їх експлуатують, і в минулому завдали великої шкоди за допомогою потоків даних.
Насправді, уявивши, що в нашому прикладі вище, у пункті 8, замість нормального і нешкідливого файла зображення він заховав всередині калькулятора справжній вірус, це був би біль.
Якщо тоді справжній вірус викликає себе, наприклад svchost.exe, який декілька разів присутній в диспетчері завдань, то його було б дійсно важко знайти.
На цьому це не закінчується, тому що експерт-хакер знає, що такі програми, як калькулятор чи блокнот, завжди знаходяться на шляху C: \ Windows \ System32, отже, потенційно, він може перешкодити цьому файлу, не створюючи нічого нового.
Тим не менш, не маючи незручностей вірусів, ви можете сховати файл 10 ГБ всередині 10 Кбайт і, не розуміючи чому, ви можете опинитися з заблокованим ПК та без більше місця.
На щастя, ці проблеми із безпекою значною мірою подолані, антивіруси виявляють приховані віруси на льоту, і навряд чи переживеш таку атаку, якщо ти захищений.
Єдина рекомендація, яку я маю зробити, - це, враховуючи простоту, з якою ви можете створити шкідливий файл таким чином, було б не приймати жодних файлів від сторонніх людей, можливо, надісланих через MSN або поштою, навіть якщо це фотографії, зображення, музику, текстові файли чи інше.
Для запису ADS працює лише на дискових розділах NTFS, а не на FAT32, тому для видалення файлу ADS ви можете видалити той, який розміщує його, видаливши його або перемістивши його до розділу FAT32.
Є інструменти, які дозволяють ідентифікувати потоки даних, а найкращим є відомий Hijackthis, з яким ми вже не раз стикалися в цьому блозі.
На Hijackthis, відкривши "Інші інструменти" є утиліта під назвою "ADS Spy", яка сканує потоки, і, якщо ви хочете їх видалити, але, чесно кажучи, це було б надмірним завзяттям безпеки ще й тому, що багато рекламних оголошень корисні для Windows і ви ризикуєте зробити шкоду.
