Corrientes de datos alternativas de Windows


Introducción

Cualquiera que esté en el campo de la seguridad debería saber sobre los flujos de datos alternativos de Windows, también conocidos como ADS. Aunque no es muy publicitado, la falta de este atributo poco conocido del sistema de archivos de Windows NTFS puede afectar a la forma de resolver un problema en el futuro.

Los ADS se introdujeron en el sistema de archivos de Windows NTFS a partir de Windows NT 3.1. Esta "característica" fue implementada para permitir la compatibilidad con el Sistema de Archivo Jerárquico de Macintosh (HFS). En resumen, el sistema de archivos de Macintosh almacena sus datos en dos partes, la bifurcación de recursos y la bifurcación de datos. El tenedor de datos es donde los datos están realmente contenidos y el tenedor de recursos se utiliza para indicar al sistema operativo cómo utilizar la porción de datos. Windows hace algo similar a través de extensiones como .bat, .exe, .txt, .html. Estas extensiones le dicen al sistema operativo cómo usar los datos particulares que se encuentran en los archivos.

Para que Windows fuera compatible con el sistema de archivos de Macintosh, introdujeron flujos de datos alternativos. Esta corriente oculta se utiliza como el tenedor de recursos se utilizó; para decirle al sistema cómo utilizar los datos contenidos en el archivo.

Aunque el ADS fue creado para ser compatible con el mundo Mac, no se utiliza únicamente para ese propósito. Muchas aplicaciones usan ADS para almacenar atributos de un archivo en ellas. Por ejemplo, si haces un documento de texto, y haces clic con el botón derecho del ratón y entras en sus propiedades, verás una página de resumen. Esta información resumida se adjunta al archivo a través de ADS. Te mostraré más sobre eso más tarde y las aplicaciones para ver esta información.

En resumen, piense en el ADS como archivos ocultos que se adjuntan a los visibles. La razón principal por la que son tan peligrosos es que no son bien conocidos, generalmente están ocultos para el usuario, y que hay pocos programas de seguridad que puedan reconocerlos.

Programas para ver ADS

Antes de continuar, quiero mencionar algunos, no todos, los programas que se pueden usar para ver el ADS. Esto es así, mientras lees este tutorial, y sigues algunos ejemplos, puedes ver realmente los archivos ADS que estás creando.

Los programas son los siguientes:

Lads - http:/www.heysoft.deFramesf_sw_la_en.htm

ADSSpy

Cómo hacer un ADS

Desde un símbolo de comando, el siguiente es un ejemplo de cómo hacer un ADS:

C:\N-ecurso "ADS"; test.txt:escondido.txt

Se acaba de crear un nuevo ADS llamado hidden.txt y se ha adjuntado al archivo test.txt. El archivo ADS se muestra después del : , y : debe ser usado cuando se agrega un ADS.

Si haces un DIR en ese directorio todo lo que ves es el archivo normal.

Folder ADS

Por otra parte, si se ejecuta LADS, se puede ver el ADS, hidden.txt 9, adjunto al archivo test.txt

 C:N-primero los muchachos
LADS - Versión gratuita 3.21
(C) Copyright 1998-2003 Frank Heyne Software (http:/www.heysoft.de)
Este programa lista los archivos con flujos de datos alternativos (ADS)
¡Usa el LADS bajo tu propio riesgo!
Escaneando el directorio C:N-test
tamaño ADS en el archivo
---------- ---------------------------------
8 C:N-Test.txt:hidden.txt
8 bytes en 1 ADS listado

Si quieres ver el ADS hidden.txt, o añadirle información, sólo tienes que ejecutar el bloc de notas para abrir el archivo.

Por ejemplo:

C:test> notepad test.txt:hidden.txt

Esto abrirá el archivo en el bloc de notas y le permitirá editarlo y guardarlo.

También puedes usar el bloc de notas para crear un archivo ADS. Sólo tienes que escribir:

C:test;notepad otro.txt:ads.txt

El bloc de notas se lanzará y dirá que este archivo no existe y que te gustaría crearlo. Dirías que sí, y luego ingresarías la información y la guardarías. Este método acaba de crear un nuevo ADS llamado ads.txt.

Los archivos ADS no tienen que ser adjuntados a un archivo, pero también pueden ser adjuntados a un directorio. Esto causa un problema cuando se crea un ADS contra la raíz de un disco duro, ya que hace imposible eliminar el ADS a menos que se reformatee. Si alguien sabe de un programa que pueda arreglar esto, por favor hágamelo saber.

Aquí hay un ejemplo de cómo hacer un ADS contra un directorio:

C:\N-test; echo test> :hidden.txt

Este comando ha adjuntado un ADS al propio directorio. Ejecute LADS para ver el ADS adjunto al directorio.

¿Qué tiene esto de dañino?

¿Y si te dijera que el ADS también puede ser usado con archivos ejecutables? Así es, los archivos ADS que son ejecutables pueden ser adjuntados a cualquier archivo como adjuntaste los archivos .txt, y al igual que los archivos de texto, estarían ocultos de la mayoría de los programas.

Aquí hay un ejemplo:

C:\N-Test; tipo c:N- ventanas
otepad.exe; ads.txt:hidden.exe

Ahora ha creado un archivo ADS llamado hidden.exe y lo ha adjuntado al archivo de texto ads.txt. Una vez más, si diriges el directorio sólo verás ads.txt, y no hidden.exe. Ejecute LADS, y verá el ADS.

Hay una salvedad en el lanzamiento de archivos ejecutables que son archivos ADS. Siempre debe usar el comando START para lanzar el ejecutable ADS y siempre debe usar la ruta completa del archivo. Aquí hay algunos ejemplos de comandos de trabajo y comandos no de trabajo.

Primero haré mi ADS ejecutable.

C:\N-Test; tipo c:N- ventanas
otepad.exe; ads.txt:np.exe

Comandos que no lanzan el ejecutable np.exe ADS:

C:test;ads.txt:np.exe

El nombre del archivo, el nombre del directorio o la sintaxis de la etiqueta del volumen es incorrecta.

C:N-Test.c:N-Test.ads.txt:np.exe

El nombre del archivo, el nombre del directorio o la sintaxis de la etiqueta del volumen es incorrecta.:

C:N-empezar anuncios.txt:np.exe

El acceso está denegado.

El comando que lanzará el ejecutable:

C:\N-empieza c:N-prueba.txt:np.exe

Como puede ver, debe usar la ruta completa del archivo ejecutable de ADS.

Cómo borrar los archivos ADS

Los archivos ADS no son particularmente difíciles de borrar, pero pueden causar problemas. Para borrar un ADS adjunto a un archivo, sólo hay que borrar el archivo. Digamos, por ejemplo, que tienes un archivo llamado number.txt y que había un ADS adjunto llamado hidden.txt. Quieres deshacerte del archivo hidden.txt, pero mantienes la información en number.txt, así que no puedes borrar number.txt.

Para hacer esto harías algo como lo siguiente...

C:test;ren number.txt temp.txt

C:N-tipo temp.txt;N-número.txt

C:N- del temp.txt

Para borrar los archivos ADS que están adjuntos a un directorio, es necesario borrar el directorio. Esto puede causar un gran problema si el ADS está conectado a la raíz de un disco duro. Como no puede borrar el ADS de esta manera a menos que reformatee la unidad, puede hacerlo para deshacerse de la información no deseada en el archivo ADS.

C:N-ecurso vacio; llenador.txt

C:N-tipo de relleno.txt; :badads.txt

Actualización - 111104

Desde que escribí este tutorial, se han lanzado algunos programas de malware para infectar su máquina usando archivos de flujo de datos alternativos. Debido a esto ha habido mejoras en el software disponible para eliminar este tipo de programas de su ordenador. Un programa que buscará los archivos ADS en su ordenador y luego proporcionará una lista que puede eliminar es ADSSPY. Puedes encontrar un enlace a ese programa a continuación:

Enlace de descarga de ADSSPY

Otros usos para el ADS

Al principio mencioné que hay otros usos para los archivos ADS. Ciertos archivos de Windows tienen una pestaña de resumen en sus propiedades. Un ejemplo de esto son los documentos .txt. Si creas un nuevo documento .txt, y haces clic con el botón derecho del ratón sobre él, y seleccionas el resumen, puedes rellenar alguna información.

Esta información se guarda como archivos ADS adjuntos al documento. Por ejemplo, tenemos un archivo llamado readme.txt. Si voy a la sección de resumen e introduzco mi nombre en el campo de título y presiono OK, esa información se guardará como un ADS.

Puedes ver esto de la siguiente manera:

C:\N-Test;lads

LADS - Versión gratuita 3.21

Directorio de escaneo C:testN-br>

tamaño ADS en file

---------- ---------------------------------

11 C:testN-:hidden.txt

120 C:testreadme.txt:?SummaryInformation

0 C:testreadme.txt:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

131 bytes en 3 ADS listados

Resumen

Como puedes ver, los ADS pueden ser usados para mucho más de lo que se esperaba cuando Microsoft los introdujo. Tienen los usos legítimos, pero definitivamente pueden ser usados para intenciones más oscuras.

En resumen, aquí están las razones por las que el ADS puede ser considerado problemático:

- Hay pocos programas que detectan el ADS.
- Eliminar el ADS puede ser difícil.
- Explorer y Dir al determinar el espacio libre no calculan el espacio usado por ADS.

- Puedes esconder un ejecutable como un ADS.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir