Windows может скрыть данные в любом файле с помощью ADS

Альтернативный поток данных: инструмент, используемый Windows для сокрытия данных внутри любого файла, хранящегося на жестком диске и SSD.

Во времена Windows 2000 в файловой системе NTFS, разработанной и используемой Microsoft с 1993 года, появилась поддержка альтернативных потоков данных (ADS).

ADS используются для хранения наборов информации в дополнение к тем, которые обычно хранятся в файлах любого типа (TXT, DOCX, XLSX, ODT, JPG, PNG и т. д.).

Атрибут $DATA, который может быть добавлен к любому элементу, хранящемуся на уровне файла, позволяет вам управлять ADS.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

В статье о хитростях и секретах файловой системы NTFS мы рассказали о том, что ADS помнят, сколько вредоносных программ использовали в прошлом и до сих пор используют эту технику для сокрытия информации, необходимой для их работы.

Большинство решений для защиты от вредоносных программ теперь могут обнаруживать наличие любых ADS и сообщать о вредоносных данных, хранящихся в них.

Но для чего нужны ADS в Windows? Какой смысл хранить на уровне файловой системы дополнительные данные, не видимые напрямую пользователю и установленным приложениям?

Основная причина — отметить происхождение файла: например, когда объект берется из Интернета, Windows выводит предупреждающее сообщение (компьютер защищен Windows) и привлекает внимание пользователя.

В любом случае, когда файл поступает с другого компьютера (то есть он ранее не создавался и не модифицировался на вашем устройстве), Windows выводит предупреждение. Щелкнув правой кнопкой мыши, затем выбрав «Свойства», вы заметите наличие индикации «Файл получен из другой учетной записи» и поле «Разблокировать» внизу.

Windows может скрыть данные в любом файле с помощью ADS

Такое поведение связано с наличием ADS для указанного файла.

Попробуйте загрузить файл из Интернета, сохраните вложение к сообщению электронной почты или возьмите файл, доступный из браузера через интрасеть: открыв командную строку, перейдя в папку, содержащую файл, и набрав следующее, вы прочтете содержание АДС.

больше nome_file.ext:Zone.Identifier»
Windows может скрыть данные в любом файле с помощью ADS

В случае загруженных файлов ZoneIdentifier ADS будет установлен на 3 (ZoneID) и будет содержать ссылки на хост, с которого была сделана загрузка.

Скрыть данные с помощью Windows и ADS

Это больше любопытно, чем что-либо еще, но ADS по-прежнему позволяет вам скрывать данные в локальной системе.

Чтобы защитить данные и украсть их из поля зрения и диапазона неавторизованных пользователей, важно прибегнуть к шифрованию, например, с помощью BitLocker или VeraCrypt или путем создания зашифрованных томов с помощью этого второго программного обеспечения.

Например, попробуйте создать новый текстовый файл и сохранить его на рабочем столе Windows. Файл может быть в любом формате и сохранен в любой папке.

Windows может скрыть данные в любом файле с помощью ADS

Однако предположим, что вы вызываете этот файл test.txt, сохраняя информацию, которая должна быть удобочитаемой, затем открываете его с помощью Блокнота Windows, нажав Windows + R, а затем введите следующее:

блокнот %userprofile%Desktoptest.txt:Segreto.txt

Windows может скрыть данные в любом файле с помощью ADS

После запуска Блокнот не будет открывать содержимое файла test.txt, но укажет, что файл test.txt: Secret.txt не существует.

При ответе «Да» на запрос о создании нового файла будет создан новый ADS с именем Secret.txt.

Windows может скрыть данные в любом файле с помощью ADS

Если ввести информацию «скрыть» и сохранить файл в блокноте, он будет сохранен в атрибуте $DATA на уровне файловой системы NTFS.

Обычно открытие файла test.txt показывает «очевидную информацию» при нажатии Windows + R, а затем вводе notepad%userprofile%Desktoptest.txt: Secret.txt получит доступ к скрытому потоку данных.

Windows может скрыть данные в любом файле с помощью ADS

В командной строке вы можете проверить наличие ADS в файлах, сохраненных в текущей папке, введя следующее:

реж/р | найти «:$ДАННЫЕ»

В этом примере при переходе к папке на рабочем столе и последующем вводе будет прочитано содержимое скрытого потока.

Windows может скрыть данные в любом файле с помощью ADS

Чтобы добавить ADS из командной строки в файл на основе test.txt, используйте следующий синтаксис:

echo «Скрытый текст!» > test.txt: Секрет.txt

Дополнительные потоки данных также могут быть прочитаны PowerShell с использованием синтаксиса Get-Content filename -Stream ADS-name.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.