Mengapa sih NTFS memungkinkan executable tak terlihat?

105

Anda dapat menyembunyikan file apa pun di dalam file lain hanya dengan mengetik:

type sol.exe > container.txt:sol.exe

dan untuk menjalankan file hidden file cukup gunakan:

start c:\hide\container.txt:sol.exe

Tetapi bagian yang gila tentang ini adalah tidak meningkatkan ukuran file (jadi ini benar-benar tersembunyi).

Dan jika Anda menghapus file dengan hal-hal tersembunyi di dalamnya, hal-hal tersembunyi tidak terhapus. Cukup gunakan:

more <  container.txt:sol.exe > sol.exe

Mengapa NTFS mengizinkan ini? Sepertinya cara terbaik untuk menyembunyikan virus.

windows ntfs virus alternate-data-stream Kredns
sumber
1
bagus, sepertinya mac resourceforks.
Stefano Borini
15
buruk, ketika Anda mulai sol.exe seperti itu, task manager menunjukkan nama proses sebagai container.txt
hasen
16
Kita harus mengebom google sehingga "menakutkan" mengarah ke pertanyaan ini
hasen
4
Dengan selama ini telah ada, masih mengejutkan untuk sesekali bertemu dengan pengembang AV / orang lain yang bekerja sangat keras dengan sistem file yang MASIH tidak mengetahuinya. Saya tidak berharap pengembang aplikasi rata-rata tahu tentang hal itu karena tidak perlu, tetapi jika Anda berat dalam hal-hal filesystem ... :-)
Brian Knoblauch
Seharusnya Anda juga bisa melampirkan ADS ke folder. Anda dapat menghapus ADS dengan menghapus folder, tetapi ketika folder tersebut adalah akar dari drive Anda, Anda tidak dapat menghapus drive C: Anda, misalnya, tanpa memformat ulang drive. Sepertinya mekanisme untuk membuat virus rootkit tersembunyi bagi saya (?).
HighTechGeek

Jawaban:

98

Ada dua sisi dari pertanyaan ini. Yang pertama adalah mengapa fitur ini ada sama sekali, dan yang kedua adalah mengapa GUI (atau command prompt) tidak membuatnya lebih mudah untuk melihat dan mengelola fitur tersebut.

Itu ada karena berguna. Beberapa platform lain mendukung beberapa aliran data per file. Di Mac, mereka disebut garpu , misalnya. Saya cukup yakin bahwa hal-hal serupa ada di dunia mainframe, tetapi tidak dapat menempatkan jari saya pada contoh eksplisit hari ini.

Pada Windows modern, ini digunakan untuk menyimpan atribut tambahan untuk file. Anda mungkin memperhatikan bahwa kotak Properties yang tersedia dari Windows Explorer memiliki tab Summary yang dalam tampilan Simple (saya di Windows XP, jarak tempuh Anda akan berbeda pada rasa yang lain) termasuk banyak bidang yang berguna seperti Judul, Subjek, Penulis, dan sebagainya. Data itu disimpan dalam aliran alternatif, alih-alih membuat semacam database sisi-mobil untuk menampung semua yang akan dipisahkan dari file dengan terlalu mudah.

Aliran alternatif juga digunakan untuk menahan penanda yang mengatakan file tersebut berasal dari sumber jaringan yang tidak tepercaya yang diterapkan oleh Internet Explorer dan Firefox pada unduhan.

Pertanyaan sulitnya adalah mengapa tidak ada antarmuka pengguna yang lebih baik untuk memperhatikan bahwa aliran ada sama sekali, dan mengapa dimungkinkan untuk menempatkan konten yang dapat dieksekusi di dalamnya dan yang lebih buruk, jalankan nanti. Jika ada bug dan risiko keamanan di sini, ini dia.

Sunting:

Terinspirasi oleh komentar untuk jawaban lain, berikut adalah salah satu cara untuk mengetahui apakah perlindungan anti-virus dan / atau anti-malware Anda mengetahui aliran alternatif.

Dapatkan salinan file tes EICAR . Ini adalah 68 byte teks ASCII yang kebetulan juga merupakan x86 yang dapat dieksekusi. Meskipun sama sekali tidak berbahaya, telah disetujui oleh industri anti-virus untuk dideteksi seolah-olah itu adalah virus nyata. Pencetusnya berpikir bahwa pengujian perangkat lunak AV dengan virus asli akan sedikit seperti menguji alarm kebakaran dengan menyalakan keranjang sampah terbakar ...

File EICAR adalah:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Simpan dengan ekstensi .COMdan itu akan dijalankan (kecuali AV Anda memperhatikan) dan cetak salam.

Akan informatif untuk menyimpannya dalam aliran data alternatif dan menjalankan pemindaian ...

RBerteig
sumber
11
Dengan desain ukuran file yang ditampilkan hanya menunjukkan ukuran aliran $ DATA utama. Ini juga yang biasanya Anda inginkan. Anda tidak memasukkan panjang nama file (yang merupakan salah satu jenis metadata) ke dalam ukuran file juga. Adapun menjadi risiko keamanan. ADS tidak lebih berisiko daripada file individual apa pun. Saya belum pernah mendengar adanya malware yang berhasil menyebarkan / menyembunyikan dengan mekanisme itu.
Joey
4
Anda tidak dapat secara tidak sengaja menjalankan executable yang disimpan dalam ADS file teks. Itu tersembunyi dengan baik, terlalu tersembunyi bagi pengguna biasa untuk menjalankannya secara tidak sengaja. Anda harus dikompromikan terlebih dahulu.
R. Martinho Fernandes
7
@ashh: Martinho memakukannya - ketidakjelasan yang membuatnya sulit untuk menemukan executable pada aliran seperti itu juga membuatnya sulit untuk mengeksekusi satu tanpa secara aktif mencoba. Bandingkan hal ini dengan, katakanlah, seluruh kegagalan "ekstensi file tersembunyi", di mana file yang dapat dieksekusi tampaknya, katakanlah, file teks dalam GUI ... dan masih dijalankan dengan sangat mudah.
Shog9
3
Dengan asumsi Anda memiliki AV yang setidaknya memberikan perhatian real time ke file .COM, Anda tidak akan dapat melampirkannya sebagai ADS karena AV akan mencegah Anda mengakses file .COM (melampirkan karena ADS memerlukan satu untuk mengakses mengajukan). Namun Anda harus dapat melampirkan file teks dengan string EICAR dan beri nama dengan ekstensi .COM di dalam ADS. yaitu ketik EICAR.txt> test.txt: EICAR.COM
KTC
2
Fakta menarik tentang file EICAR.COM: Ini tidak akan berjalan pada Windows versi 64-bit, jadi saya kira trik ini tidak akan berfungsi lagi setelah semua orang menggunakan mesin 64-bit (yang mungkin masih lama).
Kredns
15

Fitur ini diperlukan untuk fitur lintas platform Windows Server: layanan untuk mac.

Ini memungkinkan server windows yang berjalan di NTFS berbagi ke mac melalui AFP. Agar fitur ini berfungsi, sistem file NTFS harus mendukung garpu, dan sejak hari pertama.

Dan sebelum Anda bertanya, apakah fitur ini masih digunakan? Ya itu adalah saya menjalankannya dan digunakan setiap hari di server di klien yang saya dukung.

Masalah keamanan utama muncul ketika orang dan aplikasi lupa atau tidak menyadari bahwa itu ada.

Mungkin harus ada pilihan untuk memasukkan garpu dalam ukuran file total atau menunjukkannya di windows explorer.

Bruce McLeod
sumber
2
Jika Anda akan memilih, silakan tinggalkan komentar mengapa.
Bruce McLeod
2
Ini terdengar seperti alasan yang sepenuhnya masuk akal untuk fitur ada di tempat pertama.
RBerteig
3
menambahkan fitur ini hanya untuk memungkinkan berbagi file untuk mac tidak terdengar seperti alasan yang masuk akal. Berbagi melalui jaringan tidak mengharuskan file disimpan utuh di sisi server. Saya telah melihat beberapa server berbagi apel * nix yang membagi file menjadi data dan informasi sumber daya. Ini transparan untuk klien. Mengubah format drive yang sebenarnya hanya untuk memungkinkan AFP sepertinya tidak realistis. Mungkin bermanfaat tetapi bukan sebagai ALASAN untuk fitur ini.
Simurr
2
Ya, saya berpikir [rujukan?] Jika Anda akan menegaskan bahwa SfM adalah alasan utama MS mengimplementasikan ADSes di NTFS.
Afrazier
3
Kutipan yang ditemukan: ... Kemampuan ADS di mana awalnya disusun untuk memungkinkan kompatibilitas dengan Macintosh Hierarchical File System, HFS ; di mana informasi file terkadang bercabang menjadi sumber daya yang terpisah. Aliran Data Alternatif telah digunakan secara sah oleh berbagai program, termasuk sistem operasi Windows asli untuk menyimpan informasi file seperti atribut dan penyimpanan sementara. sumber: windowsecurity.com/articles/Alternate_Data_Streams.html
JamesBarnett
5

Saya membayangkan salah satu kegunaan utama (bahkan mungkin penggunaan yang dimaksudkan) adalah untuk secara transparan mengizinkan penambahan segala jenis meta-data ke file. Alasan ukuran file tidak berubah adalah dalam skenario ini Anda tidak ingin file terlihat atau berperilaku berbeda jangan sampai aplikasi berasal bergantung pada beberapa aspek dari cara file terlihat.

Saya bisa membayangkan penggunaan yang menarik dalam IDE misalnya, di mana kadang-kadang beberapa file terlibat untuk membentuk satu unit (file kode / file formulir, dll), yang dapat dilampirkan ke file asli dengan cara ini sehingga mereka tidak dapat secara tidak sengaja terpisah.

Saya juga percaya ada perintah untuk menemukan semua 'lampiran' di pohon direktori yang diberikan, sehingga mereka tidak benar-benar tersembunyi. Ini juga akan mengejutkan saya jika pemindai virus yang lebih baik tidak menyadari hal ini dan memeriksa area 'tersembunyi' ini, tetapi Anda dapat memeriksa bahwa dengan sengaja melampirkan file executable yang terinfeksi ke file teks dan melihat apakah itu diambil.

jerigen
sumber
Bisakah Anda memposting tautan ke executable tersebut sehingga saya dapat mencoba? ;)
R. Martinho Fernandes
Saya sarankan Anda menjalankan AVG pada mesin Anda, dan kemudian ambil salah satu yang dapat dieksekusi dari folder karantina untuk mencoba;)
jerryjvl
2
@martinho, Anda menginginkan file tes EICAR: X5O! P% @ AP [4 \ PZX54 (P ^) 7CC) 7} $ EICAR-STANDAR-ANTIVIRUS-TEST-FILE! $ H + H * Cukup tempel teks itu (persis 68 byte teks ASCII, lihat eicar.org/anti_virus_test_file.htm untuk keseluruhan cerita) ke dalam file yang dinamai dengan ekstensi .COM. Ini akan berjalan dan mencetak pesan. Kecuali jika AV Anda berfungsi, tentu saja. Masukkan ke aliran data alternatif dan periksa di sana juga.
RBerteig
@RBerteig: Hai, keren ... tidak tahu ada hal seperti itu.
jerryjvl
@jerryjvl, seperti yang mereka katakan, itu mengalahkan menguji alarm kebakaran dengan menyalakan keranjang sampah terbakar ...
RBerteig
5

Berikut adalah artikel yang bagus tentang potensi kerentanan keamanan yang ditimbulkan oleh Alternate Data Streams .

JP Alioto
sumber
6
<nitpick> Ini kerentanan, bukan ancaman </nitpick>. Dan itu tidak sebesar masalah kedengarannya. Anda harus sudah memiliki kredensial untuk menggunakannya.
romandas
Tidak masalah. Btw, periksa ejaan Anda. Dan selalu ingat: Ancaman mengeksploitasi kerentanan. Ancaman adalah manusia, biasanya, tetapi bencana alam dan buatan juga penting.
romandas
@romanda, kredensial apa yang sudah Anda butuhkan? Di rumah sebagian besar pengguna Windows (khususnya XP) berjalan dengan hak istimewa Admin, jadi mengapa ini tidak menjadi masalah besar?
Ash
@ashh, "dengan metode menyembunyikan ... pada sistem yang dilanggar". Sistem harus dikompromikan untuk menyembunyikan sesuatu, dan juga untuk mengeksekusi sesuatu yang tersembunyi seperti ini.
KTC
5

Pertanyaan bagus, saya tidak benar-benar mengetahui ADS sampai tahun lalu dan saya telah menjadi pengembang Windows selama bertahun-tahun. Saya dapat menjamin bahwa saya tidak sendirian dalam hal ini.

Mengenai bisa memeriksa data alternatif pada file, saya menemukan alat kecil yang berguna yang disebut Lads tersedia dari perangkat lunak Frank Heyne. Itu dapat mendaftar ADS pada semua file dalam direktori yang diberikan, bahkan pada file yang dienkripsi (dan juga dalam subdirektori).

Abu
sumber