موصى به, 2020

اختيار المحرر

إنشاء وتشغيل ملفات ADS مخفية في ملفات أخرى لبدء أي برنامج

في مقالة سابقة أخرى رأينا خدعة صغيرة لإخفاء الملفات داخل صورة بامتداد .jpg.

في هذه الحالة ، لم يتم القيام بأي شيء سوى إنشاء ملف صورة داخل الأرشيف ، بما في ذلك ما تريده في الداخل.

من الواضح أن حجم ملف .jpg هذا يصبح أعلى اعتمادًا على عدد الملفات الموجودة في الداخل ولفتحه فقط قم بفتح "Open with ..." واختر Winrar.

لكن الفيروسات لا تخفي ذلك ، ليس فقط من السهل العثور عليه ، ولكن الأرشيف .rar غير ضار تماما ، فإنه لا يفتح أي شيء في الذاكرة ولا ينشط أي عملية.

يطلق عليها ADS ( Alternate Data Stream ) تلك الملفات المخفية في ملف آخر ، دون تغيير الحجم وتبقى مخفية تمامًا عن طريقة عرض Windows .

عند فتح وتشغيل ملف يحتوي على ADS ، يمكنك تنشيطه وتشغيل البرنامج أدناه.

في هذه المقالة نرى كيف يمكنك بسهولة إنشاء ، مع جهاز الكمبيوتر الخاص بك ، والإعلان وإخفاء أي ملف داخل آخر بحيث عند تشغيله ، يتم تنشيط ADS في مكانها.

1) افتح Explorer ، انتقل إلى القرص C: وأنشئ مجلدًا جديدًا يمكننا الاتصال به "الإعلانات".

2) من الداخل ، لتجربة التجربة ، أنشئ ملفًا نصيًا جديدًا واسمه "test.txt" وانسخ صورة أو أي صورة موجودة على جهاز الكمبيوتر الخاص بك ويمكنك إعادة تسميتها في image_test.jpg.

3) افتح موجه الأوامر الموجود في Star -> Programs -> Accessories أو بالانتقال إلى Start -> Run -> واكتب " cmd "

4) الآن اكتب cd \ ads للإدخال ، عبر دوس ، في المجلد الذي تم إنشاؤه من قبل.

5) لإنشاء ADS الابتدائية والبدء في فهم ما هي عليه ، يمكنك كتابة " صدى مرحبا جميلة> test.txt: testonascosto.txt "؛ يمكنك أن ترى أنه لم تتم إضافة أي ملفات إلى مجلد الإعلانات.

6) اكتب إلى " المفكرة test.txt: testonascosto.txt " وكما لو كان عن طريق السحر فتح المفكرة مع النص المكتوب من قبل ؛ في الواقع أنه قد تم إخفاء شيء مكتوب لا يزال غير مرئي على الكمبيوتر إذا لم يتم تنفيذ هذا النوع من الأوامر.

إذا كان الفضول يبدأ في دغدغة القراصنة في كل واحد منا ، دعونا نمضي قدما ونرى ما يمكن القيام به.

7) إذا كان إخفاء النص لا يخدم إلا جواسيس وكالة المخابرات المركزية ، يمكن للهاكر التفكير في استخدام هذه التقنية لإخفاء ملف سيء داخل ملف جيد.

في مجلد الإعلانات ، لإجراء تجربة عملية ، يمكنك نسخ ملف calc.exe الموجود في مجلد نظام Windows والذي يعمل على فتح الحاسبة العادية.

لنسخ الملف إلى مجلد "الإعلانات" ، فقط اكتب " نسخ C: \ windows \ system32 \ calc.exe c: \ ads " في موجه الأوامر.

8) الآن يمكنك إدراج ملف image_test.jpg الذي أخذناه من قبل والذي يجب أن يظل داخل مجلد Ads ، داخل الملف calc.exe.

للقيام بهذا التسلل ، يجب أن تكتب على النافذة السوداء DOS حتى الآن ، لم نغلق أبدا: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".

9) النتيجة: إذا قمت بتشغيل الملف calc.exe ، لا يحدث شيء غريب ؛ إذا بدأت من دوس ملف calc.exe كتابة مثل هذا: بدء ./calc.exe : immagine_test.jpg أو بدء C: \ ads \ calc.exe: immagine_test.jpg (فإنه يأخذ دائما المسار بأكمله) ، يفتح الصورة المختارة أولا وليس الآلة الحاسبة. إذا قمت بحذف ملف image_test من مجلد "الإعلانات" ، فلن تتغير النتيجة.

هذا يعني أنه تم إخفاء ملف jpg داخل ملف calc.exe ، لم يعد مرئيًا ، وظل حجم calc.exe بدون تغيير ولا يوجد شيء يشير إلى وجود دفق البيانات.

بخلاف الطريقة المستخدمة مع Winrar ، هذه المرة ، لا يوجد أرشيف ويتم تنشيط الملف المخفي وتنفيذه عند بدء تشغيل ذلك المضيف في الواقع ، وذلك بالنقر على الملف calc.exe من المجلد المفتوح ، لا تظهر الصورة.

يمكنك أيضًا إخفاء الملفات داخل مجلد سيبدو فارغًا بشكل غير صحيح.

10) يمكنك إنشاء مجلد جديد داخل Ads واستدعائه Ads2 ثم من Dos وكتابة cd Ads2 واكتب الأمر " type c: \ ads \ calc.exe>: pippo.exe "؛ الملف calc.exe موجود في المجلد Ads2 ولكن لم يتم رؤيته ، ولا مع الأمر " dir " الذي يعرض الملفات في الدلائل ، ولا يؤدي إلى استبعاد الموارد بالواجهة الرسومية العادية.

هذه حيل قديمة جدا لكن الكثير منها غير معروف حتى ، في الحقيقة ، ليس لديهم فائدة حقيقية ، على الأقل بالنسبة للمستخدمين العاديين. هم المتسللين السيئين الذين يستغلونها ، وفي الماضي ، ألحقوا الكثير من الضرر باستخدام Data Stream.

في الواقع ، في مثالنا أعلاه ، عند النقطة 8 ، بدلاً من ملف صور طبيعي وغير ضار ، كان مخفيًا داخل الآلة الحاسبة ، فيروس حقيقي ، سيكون بمثابة آلام.

إذا كان الفيروس الحقيقي يطلق نفسه ، على سبيل المثال svchost.exe والذي يوجد عدة مرات في مدير المهام ، فسيكون من الصعب العثور عليه.

لا ينتهي الأمر هنا ، لأن أحد المخترقين ذوي الخبرة ، يعرف أن برامج مثل الآلة الحاسبة أو المفكرة تكون دائمًا في المسار C: \ Windows \ System32 لذا ، فمن المحتمل أن تذهب إلى هذا الملف الفاسد ، دون الحاجة إلى إنشاء أي شيء جديد.

ومع ذلك ، دون الإخلال بالفيروس ، يمكنك إخفاء ملف 10GB داخل ملف 10Kbyte ، ودون فهم لماذا ، يمكنك أن تجد نفسك مع كمبيوتر مقفل ولا توجد مساحة إضافية.

لحسن الحظ ، فإن هذه القضايا الأمنية قديمة إلى حد كبير ، لذا فإن الفيروسات تجد الفيروسات الخفية على الطاير ومن غير المحتمل أن تتعرض للهجوم مثل هذا إذا كنت محميًا.

التوصية الوحيدة التي يتعين عليّ القيام بها هي أنه ، بالنظر إلى سهولة إنشاء ملف خبيث بهذه الطريقة ، سيكون من المناسب عدم قبول أي ملفات من الغرباء ، ربما إرسالها عبر MSN أو البريد ، حتى لو كانت هذه صورًا وصورًا الموسيقى ، ملفات نصية أو أيا كان.

بالنسبة للسجل ، يعمل ADS فقط على أقسام قرص NTFS وليس على FAT32 لذا لحذف ملف ADS يمكنك إما حذف تلك التي تستضيفه عن طريق حذفه أو نقله إلى قسم FAT32.

هناك أدوات يمكنها التعرف على دفق البيانات ، وأفضلها هي هيجكثيس الشهيرة التي التقيناها عدة مرات في هذه المدونة.
على Hijackthis ، فإن فتح "أدوات Misc" هو أداة مساعدة تسمى "ADS Spy" تقوم بمسح Streams ، وإذا كنت تريد إزالتها ولكن ، بصراحة ، ستكون حماسة مفرطة للأمان أيضًا لأن العديد من ADS مفيدة لنظام Windows وسوف تخاطر بالضرر.

Top