U drugom prethodnom članku vidjeli smo mali trik za skrivanje datoteka unutar fotografije s ekstenzijom .jpg.
U tom slučaju, sve što je učinjeno bilo je stvaranje winrar arhive unutar datoteke slike s onim što želite unutra.
Jasno je da veličina ove .jpg datoteke postaje veća ovisno o tome koliko je datoteka u njoj i da biste je otvorili samo učinite "Otvori sa .." i odaberite Winrar.
Ali virusi se ne kriju ovako, ne samo da bi ga bilo lako pronaći, već je .rar arhiva potpuno bezopasna, ne otvara ništa u sjećanju i ne aktivira nijedan proces.
Nazivaju ih ADS ( Alternate Data Stream ) one datoteke koje su skrivene unutar druge datoteke, bez promjene njezine veličine i ostale potpuno skrivene od pogleda na Windows .
Kada otvorite i pokrenete datoteku koja sadrži ADS, ona aktivira ADS i pokreće program pod njim.
U ovom ćemo članku vidjeti kako možete jednostavno napraviti ADS sa svojim računalom i sakriti bilo koju datoteku unutar druge, tako da kada pokrenete ADS aktivira se na svom mjestu.
1) Otvorite Windows Explorer, idite na disk C: i stvorite novu mapu koju možemo nazvati "Ads".
2) Unutar, za testiranje eksperimenta, stvorite novu tekstualnu datoteku i nazovite je "test.txt" i kopirajte sve fotografije ili slike koje se nalaze na računalu i koje se mogu preimenovati u immagine_test.jpg.
3) Otvorite naredbeni redak koji se nalazi u zvijezdi -> Programi -> Pribor ili idite na Start -> Run -> i napišite " cmd "
4) Sada napišite cd \ oglase da unesete preko Dos mapu prethodno kreiranu.
5) Da biste stvorili elementarni ADS i počeli razumjeti o čemu se radi, možete napisati " echo Ciao bello> test.txt: testonascosto.txt "; možda ćete primijetiti da u mapu oglasa nije dodana nijedna datoteka.
6) Na upit zapišite " notepad test.txt: testonascosto.txt " i kao da se magijom bilježnica otvara s prethodno napisanim tekstom; u stvari je skriveno nešto što ostaje nevidljivo na računalu osim izvršavanjem ove vrste naredbi.
Ako radoznalost počne golicati hakerski duh koji je u svakome od nas, idemo naprijed i pogledajmo što se još može učiniti.
7) Ako skrivanje teksta mogu koristiti samo špijuni CIA-e, haker može smisliti kako koristiti ovu tehniku kako bi sakrio lošu datoteku unutar dobre.
Da biste izveli praktični eksperiment, možete kopirati datoteku calc.exe u mapu Ads koja se nalazi u sistemskoj mapi sustava Windows i koristi se za otvaranje uobičajenog kalkulatora.
Da biste kopirali datoteku u mapu Ads, samo u naredbeni redak napišite " copy C: \ windows \ system32 \ calc.exe c: \ ads ".
8) Sada možete umetnuti image_test.jpg datoteku koju smo ranije snimili i koja bi i dalje trebala biti unutar mape Ads, unutar datoteke calc.exe.
Da biste učinili ovu infiltraciju, na crni DOS prozor morate napisati da do sada nikad nismo zatvorili: " upišite immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Rezultat: ako pokrenete datoteku calc.exe, ne događa se ništa neobično; ako krenete od calc datoteke calc.exe pišući ovako: start ./calc.exe : immagine_test.jpg ili pokrenete C: \ ads \ calc.exe: immagine_test.jpg (uvijek traje cijeli put), otvara se 'slika odabrana prije, a ne kalkulator; ako izbrišete datoteku image_test iz mape Oglasi, rezultat se ne mijenja.
To znači da je jpg datoteka sakrivena unutar datoteke calc.exe, više nije vidljiva, veličina calc.exe ostala je nepromijenjena i ne postoji ništa što signalizira prisutnost Struje podataka.
Za razliku od metode koja se koristi s Winrarom, ovaj put nema arhive i skrivena se datoteka aktivira i izvršava kada se pokrene domaćin klikom na datoteku calc.exe iz otvorene mape, slika se ne pojavljuje.
Također možete sakriti datoteke unutar mape koja će se činiti pogrešno praznim.
10) Možete stvoriti novu mapu unutar oglasa i nazvati je Ads2, a zatim iz Dos-a, napisati cd Ads2 i upisati naredbu " upišite c: \ ads \ calc.exe>: pippo.exe "; datoteka calc.exe nalazi se u mapi Ads2, ali je ne možete vidjeti, ni pomoću naredbe " dir " koja prikazuje datoteke u direktorijima, niti odlaskom u istraživanje resursa s uobičajenim grafičkim sučeljem.
Ovo su prilično stari trikovi, ali mnogi su nepoznati i zato što, zapravo, nemaju stvarnu korisnost, barem za normalne korisnike; oni su loši hakeri koji ih iskorištavaju i u prošlosti su napravili veliku štetu koristeći Data Streams.
Zapravo, zamišljajući da bi u našem gornjem primjeru, u točki 8., umjesto normalne i bezopasne datoteke slika, sakrio unutar kalkulatora, pravi virus, to bi bila bol.
Ako tada pravi virus nazove sebe, na primjer svchost.exe koji je prisutan nekoliko puta u upravitelju zadataka, bilo bi ga zaista teško pronaći.
Ovdje se ne završava, jer stručnjak haker zna da su programi poput kalkulatora ili bilježnice uvijek na putu C: \ Windows \ System32, pa bi, potencijalno, mogli pokvariti tu datoteku, a da ne moraju stvoriti ništa novo.
Ipak, bez neugodnih virusa, mogli biste sakriti datoteku od 10 GB unutar 10 Kbajta i, bez razumijevanja zašto, možete se naći s računarom zaključanim i bez više prostora.
Srećom, ovi sigurnosni problemi u velikoj su mjeri prevladani, antivirusi nalaze skrivene viruse u letu i vrlo je vjerojatno da ćete doživjeti takav napad ako ste zaštićeni.
Jedina preporuka koju moram dati je da, s obzirom na lakoću stvaranja zlonamjerne datoteke na ovaj način, bio bi slučaj da ne prihvaćate nijednu datoteku od stranaca, možda poslanu putem MSN-a ili poštom, čak i ako su to fotografije, slike, glazba, tekstualne datoteke ili bilo što drugo.
Za zapis, ADS radi samo na NTFS particijama diska, a ne na FAT32, stoga za brisanje ADS datoteke možete izbrisati onu koja je domaćin tako što ćete je izbrisati ili je premjestiti na FAT32 particiju.
Postoje alati koji mogu prepoznati podatkovne tokove, a najbolji je poznati Hijackthis s kojim smo se već nekoliko puta susreli na ovom blogu.
Na Hijackthisu, otvaranjem "Alata za ostalo", naći ćete uslužni program pod nazivom "ADS Spy" koji skenira struje i, ako ih želite ukloniti, ali, iskreno, bila bi pretjerana briga za sigurnost i zato što su mnogi ADS korisni za Windows i riskirali biste da napravite štetu.
U tom slučaju, sve što je učinjeno bilo je stvaranje winrar arhive unutar datoteke slike s onim što želite unutra.
Jasno je da veličina ove .jpg datoteke postaje veća ovisno o tome koliko je datoteka u njoj i da biste je otvorili samo učinite "Otvori sa .." i odaberite Winrar.
Ali virusi se ne kriju ovako, ne samo da bi ga bilo lako pronaći, već je .rar arhiva potpuno bezopasna, ne otvara ništa u sjećanju i ne aktivira nijedan proces.
Nazivaju ih ADS ( Alternate Data Stream ) one datoteke koje su skrivene unutar druge datoteke, bez promjene njezine veličine i ostale potpuno skrivene od pogleda na Windows .
Kada otvorite i pokrenete datoteku koja sadrži ADS, ona aktivira ADS i pokreće program pod njim.
U ovom ćemo članku vidjeti kako možete jednostavno napraviti ADS sa svojim računalom i sakriti bilo koju datoteku unutar druge, tako da kada pokrenete ADS aktivira se na svom mjestu.
1) Otvorite Windows Explorer, idite na disk C: i stvorite novu mapu koju možemo nazvati "Ads".
2) Unutar, za testiranje eksperimenta, stvorite novu tekstualnu datoteku i nazovite je "test.txt" i kopirajte sve fotografije ili slike koje se nalaze na računalu i koje se mogu preimenovati u immagine_test.jpg.
3) Otvorite naredbeni redak koji se nalazi u zvijezdi -> Programi -> Pribor ili idite na Start -> Run -> i napišite " cmd "
4) Sada napišite cd \ oglase da unesete preko Dos mapu prethodno kreiranu.
5) Da biste stvorili elementarni ADS i počeli razumjeti o čemu se radi, možete napisati " echo Ciao bello> test.txt: testonascosto.txt "; možda ćete primijetiti da u mapu oglasa nije dodana nijedna datoteka.
6) Na upit zapišite " notepad test.txt: testonascosto.txt " i kao da se magijom bilježnica otvara s prethodno napisanim tekstom; u stvari je skriveno nešto što ostaje nevidljivo na računalu osim izvršavanjem ove vrste naredbi.
Ako radoznalost počne golicati hakerski duh koji je u svakome od nas, idemo naprijed i pogledajmo što se još može učiniti.
7) Ako skrivanje teksta mogu koristiti samo špijuni CIA-e, haker može smisliti kako koristiti ovu tehniku kako bi sakrio lošu datoteku unutar dobre.
Da biste izveli praktični eksperiment, možete kopirati datoteku calc.exe u mapu Ads koja se nalazi u sistemskoj mapi sustava Windows i koristi se za otvaranje uobičajenog kalkulatora.
Da biste kopirali datoteku u mapu Ads, samo u naredbeni redak napišite " copy C: \ windows \ system32 \ calc.exe c: \ ads ".
8) Sada možete umetnuti image_test.jpg datoteku koju smo ranije snimili i koja bi i dalje trebala biti unutar mape Ads, unutar datoteke calc.exe.
Da biste učinili ovu infiltraciju, na crni DOS prozor morate napisati da do sada nikad nismo zatvorili: " upišite immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) Rezultat: ako pokrenete datoteku calc.exe, ne događa se ništa neobično; ako krenete od calc datoteke calc.exe pišući ovako: start ./calc.exe : immagine_test.jpg ili pokrenete C: \ ads \ calc.exe: immagine_test.jpg (uvijek traje cijeli put), otvara se 'slika odabrana prije, a ne kalkulator; ako izbrišete datoteku image_test iz mape Oglasi, rezultat se ne mijenja.
To znači da je jpg datoteka sakrivena unutar datoteke calc.exe, više nije vidljiva, veličina calc.exe ostala je nepromijenjena i ne postoji ništa što signalizira prisutnost Struje podataka.
Za razliku od metode koja se koristi s Winrarom, ovaj put nema arhive i skrivena se datoteka aktivira i izvršava kada se pokrene domaćin klikom na datoteku calc.exe iz otvorene mape, slika se ne pojavljuje.
Također možete sakriti datoteke unutar mape koja će se činiti pogrešno praznim.
10) Možete stvoriti novu mapu unutar oglasa i nazvati je Ads2, a zatim iz Dos-a, napisati cd Ads2 i upisati naredbu " upišite c: \ ads \ calc.exe>: pippo.exe "; datoteka calc.exe nalazi se u mapi Ads2, ali je ne možete vidjeti, ni pomoću naredbe " dir " koja prikazuje datoteke u direktorijima, niti odlaskom u istraživanje resursa s uobičajenim grafičkim sučeljem.
Ovo su prilično stari trikovi, ali mnogi su nepoznati i zato što, zapravo, nemaju stvarnu korisnost, barem za normalne korisnike; oni su loši hakeri koji ih iskorištavaju i u prošlosti su napravili veliku štetu koristeći Data Streams.
Zapravo, zamišljajući da bi u našem gornjem primjeru, u točki 8., umjesto normalne i bezopasne datoteke slika, sakrio unutar kalkulatora, pravi virus, to bi bila bol.
Ako tada pravi virus nazove sebe, na primjer svchost.exe koji je prisutan nekoliko puta u upravitelju zadataka, bilo bi ga zaista teško pronaći.
Ovdje se ne završava, jer stručnjak haker zna da su programi poput kalkulatora ili bilježnice uvijek na putu C: \ Windows \ System32, pa bi, potencijalno, mogli pokvariti tu datoteku, a da ne moraju stvoriti ništa novo.
Ipak, bez neugodnih virusa, mogli biste sakriti datoteku od 10 GB unutar 10 Kbajta i, bez razumijevanja zašto, možete se naći s računarom zaključanim i bez više prostora.
Srećom, ovi sigurnosni problemi u velikoj su mjeri prevladani, antivirusi nalaze skrivene viruse u letu i vrlo je vjerojatno da ćete doživjeti takav napad ako ste zaštićeni.
Jedina preporuka koju moram dati je da, s obzirom na lakoću stvaranja zlonamjerne datoteke na ovaj način, bio bi slučaj da ne prihvaćate nijednu datoteku od stranaca, možda poslanu putem MSN-a ili poštom, čak i ako su to fotografije, slike, glazba, tekstualne datoteke ili bilo što drugo.
Za zapis, ADS radi samo na NTFS particijama diska, a ne na FAT32, stoga za brisanje ADS datoteke možete izbrisati onu koja je domaćin tako što ćete je izbrisati ili je premjestiti na FAT32 particiju.
Postoje alati koji mogu prepoznati podatkovne tokove, a najbolji je poznati Hijackthis s kojim smo se već nekoliko puta susreli na ovom blogu.
Na Hijackthisu, otvaranjem "Alata za ostalo", naći ćete uslužni program pod nazivom "ADS Spy" koji skenira struje i, ako ih želite ukloniti, ali, iskreno, bila bi pretjerana briga za sigurnost i zato što su mnogi ADS korisni za Windows i riskirali biste da napravite štetu.
