Windows может скрыть данные в любом файле с помощью ADS

Во времена Windows 2000 файловая система нтфсразработанный и используемый Microsoft еще в 1993 году, представил поддержку Альтернативные потоки данных (ОБЪЯВЛЕНИЯ).

ADS используются для хранения наборов информации в дополнение к тем, которые обычно хранятся в файлах любого типа (TXT, DOCX, XLSX, ODT, JPG, PNG и т. д.).
Атрибут $DATA, который можно добавить к любому элементу, хранящемуся на уровне файла, позволяет вам управлять ADS.

В статье о хитростях и секретах файловой системы NTFS мы рассказали о ADS, вспомнив, сколько вредоносных программ использовали в прошлом и до сих пор используют эту технику для сокрытия информации, необходимой для их работы.
Большинство современных решений для защиты от вредоносных программ способны обнаруживать наличие любых ADS и сообщать о вредоносных данных, хранящихся в них.

Ма для чего нужны АДС? в винде? Какой смысл хранить дополнительные данные на уровне файловой системы, которые не видны напрямую пользователю и установленным приложениям?

Основная причина заключается в том, чтобы отметить, откуда берется файл: например, когда объект извлекается из Интернета, Windows отображает предупреждающее сообщение (компьютер защищен Windows) и привлекает внимание пользователя.
В любом случае, когда файл приходит с другого компьютера (поэтому он ранее не создавался и не модифицировался на вашем устройстве) Windows показывает предупреждение. Щелкнув правой кнопкой мыши, а затем выбрав «Свойства», вы заметите наличие указания «Файл исходит от другой учетной записи» и поле «Разблокировать» внизу.

Такое поведение связано с наличием ADS для указанного файла.
Попробуйте загрузить файл из Интернета, сохранить вложение к сообщению электронной почты или загрузить файл, доступный из браузера через интрасеть: откройте командную строку, перейдите в папку, содержащую файл, и введите следующее, чтобы прочитать содержимое ADS .

В случае загруженных файлов ZoneIdentifier ADS будет установлен на 3 (ZoneID) и будет содержать ссылки на хост, с которого была сделана загрузка.

Скрытие данных с помощью Windows и ADS

Это скорее любопытство, чем что-либо еще, но ADS по-прежнему позволяет вам скрыть данные в локальной системе.
Чтобы защитить данные и удалить их из поля зрения и диапазона неавторизованных пользователей, важно прибегнуть к шифрованию, например, с помощью BitLocker или VeraCrypt, или создать зашифрованные тома с помощью этого второго программного обеспечения.

Например, попробуйте создать новый текстовый файл и сохранить его на рабочем столе Windows. Файл может быть любого формата и сохранен в любой папке.

Предположим, однако, что вы вызываете этот файл test.txt, сохраняя информацию, которая должна быть удобочитаемой, а затем открываете его с помощью Блокнота Windows, нажимая Windows + R, а затем вводя следующее:

При запуске Блокнот не будет открывать содержимое файла test.txt, но укажет, что файл test.txt:Secret.txt не существует.
При ответе Да на запрос о создании нового файла будет создан новый ADS с именем Segreto.txt.

Если ввести информацию, которую нужно скрыть, и сохранить файл в Блокноте, они будут храниться в атрибуте $DATA на уровне файловой системы NTFS.

Обычно открытие файла test.txt показывает «открытую информацию» при нажатии Windows + R, а затем ввод блокнота %userprofile%\Desktop\test.txt:Secret.txt открывает доступ к скрытому потоку данных.

В командной строке вы можете проверить наличие ADS в файлах, сохраненных в текущей папке, введя следующее:

В примере, перейдя в папку на рабочем столе и набрав more < test.txt:Secret.txt, вы прочитаете содержимое скрытого потока.

Чтобы добавить ADS из командной строки в файл на основе test.txt, используйте следующий синтаксис:

Дополнительные потоки данных также могут быть прочитаны PowerShell с использованием синтаксиса Get-Content filename -Stream ADS-name.