Toisessa edellisessä artikkelissa olimme nähneet pienen tempun tiedostojen piilottamiseen valokuvan sisällä .jpg-tunnisteella.
Siinä kaikki, mitä tehtiin, oli luoda winrar-arkisto kuvatiedoston sisälle mitä haluat sisältä.
Tämän .jpg-tiedoston koko on selvästi suurempi sen mukaan, kuinka monta tiedostoa siinä on. Voit avata sen tekemällä "Avaa kanssa .." ja valitsemalla Winrar.
Mutta virukset eivät piiloutu tällä tavoin. Sen lisäksi, että sen löytäminen olisi helppoa, myös .rar-arkisto on täysin vaaraton, ei avaa mitään muistissa eikä aktivoi mitään prosessia.
Niitä kutsutaan ADS ( Alternate Data Stream ) tiedostoiksi, jotka on piilotettu toisessa tiedostossa muuttamatta sen kokoa ja jäämällä täysin piilotettuina Windowsin näkymästä .
Kun avaat ja suoritat tiedoston, joka sisältää ADS: n, se aktivoi ADS: n ja käynnistää sen alla olevan ohjelman.
Tässä artikkelissa näemme, kuinka voit luoda ADS-tiedostot helposti tietokoneellasi ja piilottaa kaikki tiedostot toisen sisällä, jotta ADS: ää suoritettaessa se aktivoituu paikalleen.
1) Avaa Windows Explorer, siirry levylle C: ja luo uusi kansio, jota voimme kutsua "Mainoksiksi".
2) Sisällä kokeilun testaamiseksi luo uusi tekstitiedosto ja kutsu sitä "test.txt" ja kopioi kaikki tietokoneella olevat valokuvat tai kuvat, jotka voidaan nimetä uudelleen nimellä imamagine_test.jpg.
3) Avaa komentokehote, joka löytyy Tähti -> Ohjelmat -> Apuohjelmat tai avaamalla Käynnistä -> Suorita -> ja kirjoita " cmd "
4) Kirjoita nyt CD-mainokset kirjoittaaksesi Dosin kautta aiemmin luodun kansion.
5) Voit luoda perustiedot ADS: stä ja alkaa ymmärtää mitä ne ovat kirjoittamalla " echo Ciao bello> test.txt: testonascosto.txt "; saatat huomata, että tiedostoja ei ole lisätty mainoskansioon.
6) Kirjoita kehoteelle " notepad test.txt: testonascosto.txt " ja ikään kuin taikuuden avulla muistilehtiö aukeaa aiemmin kirjoitetulla tekstillä; Itse asiassa jotain kirjoitettua on piilotettu, mikä pysyy näkymättömänä tietokoneella paitsi suorittamalla tämän tyyppinen komento.
Jos uteliaisuus alkaa kutistaa hakkerointihenkeä, joka meissä kaikissa on, mennään eteenpäin ja katsotaan, mitä muuta voidaan tehdä.
7) Jos vain CIA vakoojat voivat käyttää tekstin piilottamista, hakkeri voi harkita tämän tekniikan käyttöä piilottaaksesi huonon tiedoston hyvän sisällä.
Käytännöllisen kokeilun tekemiseksi voit kopioida calc.exe-tiedoston Mainokset-kansioon, joka sijaitsee Windows-järjestelmäkansiossa ja jota käytetään normaalin laskimen avaamiseen.
Kopioida tiedosto mainokset-kansioon kirjoittamalla vain " copy C: \ Windows \ system32 \ calc.exe c: \ ads " komentokehotteeseen.
8) Nyt voit lisätä image_test.jpg-tiedoston, jonka olimme aiemmin ottaneet ja jonka pitäisi silti olla Mainokset-kansiossa, calc.exe-tiedoston sisään.
Tätä tunkeutumista varten sinun on kirjoitettava mustaan DOS-ikkunaan, jota emme ole tähän päivään mennessä sulkeneet: " kirjoita immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Tulos: jos käynnistät calc.exe-tiedoston, mitään outoa ei tapahdu; Jos aloitat laskutiedostosta calc.exe kirjoittamalla näin: aloita ./calc.exe : immagine_test.jpg tai aloita C: \ ads \ calc.exe: immagine_test.jpg (se kulkee aina koko polun), se aukeaa 'edessä valittu kuva, ei laskin; Jos poistat image_test-tiedoston Mainokset-kansiosta, tulos ei muutu.
Tämä tarkoittaa, että jpg-tiedosto on piilotettu calc.exe-tiedoston sisään, sitä ei enää näy, calc.exe-koko on pysynyt muuttumattomana, eikä mikään merkitse tietovirran olemassaoloa.
Toisin kuin Winrarin kanssa käytetyssä menetelmässä, tällä kertaa ei ole arkistoa ja piilotettu tiedosto aktivoidaan ja suoritetaan, kun isäntä käynnistetään napsauttamalla avoimessa kansiossa olevaa calc.exe-tiedostoa, kuvaa ei tule näkyviin.
Voit myös piilottaa tiedostot kansiossa, joka näyttää olevan erehdyksessä tyhjä.
10) Voit luoda uuden kansion Ads ja kutsua sitä Ads2, sitten Dos, kirjoittaa cd Ads2 ja kirjoittaa komento " type c: \ ads \ calc.exe>: pippo.exe "; calc.exe-tiedosto on Ads2-kansiossa, mutta et voi nähdä sitä, eikä " dir " -komennolla, joka näyttää hakemistojen tiedostoja, tai poistumalla tutkimaan resursseja normaalilla graafisella käyttöliittymällä.
Nämä ovat melko vanhoja temppuja, mutta monia niistä ei tunneta myöskään siksi, että niillä ei todellakaan ole todellista hyötyä, ainakaan tavallisille käyttäjille; he ovat pahoja hakkereita, jotka käyttävät heitä hyväkseen, ja ovat aiemmin tehneet paljon vaurioita Data Streams -sovelluksen avulla.
Itse asiassa kuvitellaan, että yllä olevan esimerkin 8 kohdassa normaalin ja vaarattoman kuvatiedoston sijasta hän oli piiloutunut laskimen sisään, todellinen virus .
Jos sitten todellinen virus kutsuu itseään, esimerkiksi svchost.exe, joka on useita kertoja läsnä tehtävähallinnassa, niin se olisi todella vaikea löytää.
Se ei lopu tähän, koska asiantuntija hakkeri tietää, että laskimen tai muistilappun kaltaiset ohjelmat ovat aina polulla C: \ Windows \ System32, joten se voi mahdollisesti vioittaa kyseisen tiedoston tarvitsematta luoda mitään uutta.
Voit silti piilottaa 10 Gt: n tiedoston 10 kilotavun sisällä, aiheuttamatta haittaa viruksille, ja ymmärtämättä miksi, voit löytää itsesi tietokoneella lukittuna ja ilman enemmän tilaa.
Onneksi nämä turvallisuusongelmat ratkaistaan suurelta osin, virustorjunta löytää piilotettuja viruksia lennossa ja on melko epätodennäköistä, että kärsit tällaisesta hyökkäyksestä, jos olet suojattu.
Ainoa suositus, joka minun on tehtävä, on se, että koska haitallisen tiedoston luominen tällä tavalla on helppoa, niin ei pidä hyväksyä tiedostoja muukalaisilta, jotka mahdollisesti lähetetään MSN: n tai postitse, vaikka nämä olisivat valokuvia, kuvia, musiikkia, tekstitiedostoja tai muuta.
Tietueena ADS toimii vain NTFS-levyosioissa, ei FAT32: ssä. ADS-tiedoston poistamiseksi voit poistaa ADS-tiedoston poistamalla sen tai siirtämällä sen FAT32-osioon.
On työkaluja, jotka tunnistavat datavirtat, ja parasta on kuuluisa Hijackthis, jonka olemme jo tavanneet useita kertoja tässä blogissa.
Hijackthis-palvelussa avaamalla "Sekalaiset työkalut" löydät apuohjelman nimeltä "ADS Spy", joka skannaa virrat, ja jos haluat poistaa ne, mutta rehellisesti sanottuna se olisi liian turvatarkasta myös siksi, että monet ADS ovat hyödyllisiä Windowsille ja vaarassa on vaurioita.
Siinä kaikki, mitä tehtiin, oli luoda winrar-arkisto kuvatiedoston sisälle mitä haluat sisältä.
Tämän .jpg-tiedoston koko on selvästi suurempi sen mukaan, kuinka monta tiedostoa siinä on. Voit avata sen tekemällä "Avaa kanssa .." ja valitsemalla Winrar.
Mutta virukset eivät piiloutu tällä tavoin. Sen lisäksi, että sen löytäminen olisi helppoa, myös .rar-arkisto on täysin vaaraton, ei avaa mitään muistissa eikä aktivoi mitään prosessia.
Niitä kutsutaan ADS ( Alternate Data Stream ) tiedostoiksi, jotka on piilotettu toisessa tiedostossa muuttamatta sen kokoa ja jäämällä täysin piilotettuina Windowsin näkymästä .
Kun avaat ja suoritat tiedoston, joka sisältää ADS: n, se aktivoi ADS: n ja käynnistää sen alla olevan ohjelman.
Tässä artikkelissa näemme, kuinka voit luoda ADS-tiedostot helposti tietokoneellasi ja piilottaa kaikki tiedostot toisen sisällä, jotta ADS: ää suoritettaessa se aktivoituu paikalleen.
1) Avaa Windows Explorer, siirry levylle C: ja luo uusi kansio, jota voimme kutsua "Mainoksiksi".
2) Sisällä kokeilun testaamiseksi luo uusi tekstitiedosto ja kutsu sitä "test.txt" ja kopioi kaikki tietokoneella olevat valokuvat tai kuvat, jotka voidaan nimetä uudelleen nimellä imamagine_test.jpg.
3) Avaa komentokehote, joka löytyy Tähti -> Ohjelmat -> Apuohjelmat tai avaamalla Käynnistä -> Suorita -> ja kirjoita " cmd "
4) Kirjoita nyt CD-mainokset kirjoittaaksesi Dosin kautta aiemmin luodun kansion.
5) Voit luoda perustiedot ADS: stä ja alkaa ymmärtää mitä ne ovat kirjoittamalla " echo Ciao bello> test.txt: testonascosto.txt "; saatat huomata, että tiedostoja ei ole lisätty mainoskansioon.
6) Kirjoita kehoteelle " notepad test.txt: testonascosto.txt " ja ikään kuin taikuuden avulla muistilehtiö aukeaa aiemmin kirjoitetulla tekstillä; Itse asiassa jotain kirjoitettua on piilotettu, mikä pysyy näkymättömänä tietokoneella paitsi suorittamalla tämän tyyppinen komento.
Jos uteliaisuus alkaa kutistaa hakkerointihenkeä, joka meissä kaikissa on, mennään eteenpäin ja katsotaan, mitä muuta voidaan tehdä.
7) Jos vain CIA vakoojat voivat käyttää tekstin piilottamista, hakkeri voi harkita tämän tekniikan käyttöä piilottaaksesi huonon tiedoston hyvän sisällä.
Käytännöllisen kokeilun tekemiseksi voit kopioida calc.exe-tiedoston Mainokset-kansioon, joka sijaitsee Windows-järjestelmäkansiossa ja jota käytetään normaalin laskimen avaamiseen.
Kopioida tiedosto mainokset-kansioon kirjoittamalla vain " copy C: \ Windows \ system32 \ calc.exe c: \ ads " komentokehotteeseen.
8) Nyt voit lisätä image_test.jpg-tiedoston, jonka olimme aiemmin ottaneet ja jonka pitäisi silti olla Mainokset-kansiossa, calc.exe-tiedoston sisään.
Tätä tunkeutumista varten sinun on kirjoitettava mustaan DOS-ikkunaan, jota emme ole tähän päivään mennessä sulkeneet: " kirjoita immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Tulos: jos käynnistät calc.exe-tiedoston, mitään outoa ei tapahdu; Jos aloitat laskutiedostosta calc.exe kirjoittamalla näin: aloita ./calc.exe : immagine_test.jpg tai aloita C: \ ads \ calc.exe: immagine_test.jpg (se kulkee aina koko polun), se aukeaa 'edessä valittu kuva, ei laskin; Jos poistat image_test-tiedoston Mainokset-kansiosta, tulos ei muutu.
Tämä tarkoittaa, että jpg-tiedosto on piilotettu calc.exe-tiedoston sisään, sitä ei enää näy, calc.exe-koko on pysynyt muuttumattomana, eikä mikään merkitse tietovirran olemassaoloa.
Toisin kuin Winrarin kanssa käytetyssä menetelmässä, tällä kertaa ei ole arkistoa ja piilotettu tiedosto aktivoidaan ja suoritetaan, kun isäntä käynnistetään napsauttamalla avoimessa kansiossa olevaa calc.exe-tiedostoa, kuvaa ei tule näkyviin.
Voit myös piilottaa tiedostot kansiossa, joka näyttää olevan erehdyksessä tyhjä.
10) Voit luoda uuden kansion Ads ja kutsua sitä Ads2, sitten Dos, kirjoittaa cd Ads2 ja kirjoittaa komento " type c: \ ads \ calc.exe>: pippo.exe "; calc.exe-tiedosto on Ads2-kansiossa, mutta et voi nähdä sitä, eikä " dir " -komennolla, joka näyttää hakemistojen tiedostoja, tai poistumalla tutkimaan resursseja normaalilla graafisella käyttöliittymällä.
Nämä ovat melko vanhoja temppuja, mutta monia niistä ei tunneta myöskään siksi, että niillä ei todellakaan ole todellista hyötyä, ainakaan tavallisille käyttäjille; he ovat pahoja hakkereita, jotka käyttävät heitä hyväkseen, ja ovat aiemmin tehneet paljon vaurioita Data Streams -sovelluksen avulla.
Itse asiassa kuvitellaan, että yllä olevan esimerkin 8 kohdassa normaalin ja vaarattoman kuvatiedoston sijasta hän oli piiloutunut laskimen sisään, todellinen virus .
Jos sitten todellinen virus kutsuu itseään, esimerkiksi svchost.exe, joka on useita kertoja läsnä tehtävähallinnassa, niin se olisi todella vaikea löytää.
Se ei lopu tähän, koska asiantuntija hakkeri tietää, että laskimen tai muistilappun kaltaiset ohjelmat ovat aina polulla C: \ Windows \ System32, joten se voi mahdollisesti vioittaa kyseisen tiedoston tarvitsematta luoda mitään uutta.
Voit silti piilottaa 10 Gt: n tiedoston 10 kilotavun sisällä, aiheuttamatta haittaa viruksille, ja ymmärtämättä miksi, voit löytää itsesi tietokoneella lukittuna ja ilman enemmän tilaa.
Onneksi nämä turvallisuusongelmat ratkaistaan suurelta osin, virustorjunta löytää piilotettuja viruksia lennossa ja on melko epätodennäköistä, että kärsit tällaisesta hyökkäyksestä, jos olet suojattu.
Ainoa suositus, joka minun on tehtävä, on se, että koska haitallisen tiedoston luominen tällä tavalla on helppoa, niin ei pidä hyväksyä tiedostoja muukalaisilta, jotka mahdollisesti lähetetään MSN: n tai postitse, vaikka nämä olisivat valokuvia, kuvia, musiikkia, tekstitiedostoja tai muuta.
Tietueena ADS toimii vain NTFS-levyosioissa, ei FAT32: ssä. ADS-tiedoston poistamiseksi voit poistaa ADS-tiedoston poistamalla sen tai siirtämällä sen FAT32-osioon.
On työkaluja, jotka tunnistavat datavirtat, ja parasta on kuuluisa Hijackthis, jonka olemme jo tavanneet useita kertoja tässä blogissa.
Hijackthis-palvelussa avaamalla "Sekalaiset työkalut" löydät apuohjelman nimeltä "ADS Spy", joka skannaa virrat, ja jos haluat poistaa ne, mutta rehellisesti sanottuna se olisi liian turvatarkasta myös siksi, että monet ADS ovat hyödyllisiä Windowsille ja vaarassa on vaurioita.
