ADS

Verborgen bestanden (stromen)Cum 13 juli 2008

Rudiger

Popups in XP

• Sinds Servicepack2 van windows XP krijgen we meer en meer popups om te melden dat het niet meer veilig is als we bepaalde bestanden openen

• XP maakt hier gebruik van ADS (alternatieve data streams) om bij te houden waar we de bestanden gekregen hebben om te bepalen als het wel veilig is om ze te openen

Zone IdentifiersLokaal internet = 1Vertrouwde websites = 2internet = 3Websites met beperkte toegang= 4

Zone.Identifier [ZoneTransfer] ZoneId=3

Zone 3 internet

Alleen bij NTFS schijven

Wat is een Alternate Data-Stream• Een ADS is een verborgen bestand (de stream) dat is gelinkt aan

een normaal (zichtbaar) bestand.• Op deze manier wordt dus het bestand (dat de daadwerkelijke

gegevens bevat) afgeschermd van de buitenwereld.• De 2 belangrijkste eigenschappen zijn dat ADS-bestanden

ongelimiteerd zijn voor wat betreft de grootte en dat meerdere ADS's aan hetzelfde normale bestand kunnen worden gelinkt.

• Een ADS ziet er alsvolgt uit: Bestand:Stream, waarbij• - Bestand zichtbaar is en een willekeurig naam en extentie kan

hebben. Bestand kan trouwens elk soort bestand zijn ... dus ook een folder en zelfs de root van een partitie.

• - Stream is verborgen en bevat de werkelijke data.• Een stream kan praktisch elk soort bestand zijn, inclusief DLL of

Executable.

Waarom bestaan Alternate Data-streams

• Het idee komt van Microsoft en is geimplementeerd in het NTFS-filesysteem.

• De belangrijkste redenen voor de ontwikkeling van streams waren:

• - Compatibiliteit met het Macintosh-filesysteem.

• - Indexering van bv. opslagmedia vereenvoudigen.

Het gevaar van Alternate Data-streams

• Alternate Data-stream worden door normale Windows-programma's (zoals bv. Windows verkenner) niet gezien.

• Het enige dat ze zien is het normale bestand waaraan de stream is gekoppeld, maar niets wijst op de aanwezigheid van de stream zelf.

• Er zijn dus speciale programma's nodig, zoals bv. ADSSpy van Merijn en ADS Locator van Safer Networking, om de streams zichtbaar te maken.

Misbruik

• ADS's worden o.a. misbruikt door:• - CoolWebSearch-varianten (advertenties) • - Rootkits• - Virussen, bv. W2K.Stream en W32/Dumaru-

A

Nuttige' toepassingen van ADS

• - Kaspersky: iStream (zoals Kaspersky de ADS-methode noemt) gebruikt ADS-technieken om checksum-informatie van bestanden te bewaren. Het voordeel is dat een scan sneller kan worden uitgevoerd, omdat alleen de checksums-streams hoeven te worden gecontroleerd.

• Samenvatting informatie van bestanden in verkenner;

Samenvattingsinfo bestand

VISTA DIR /r commando

DOS commandos• Om tekst in een stroom te plaatsen:

echo text >> file:stream• Om tekst te bewerken in een stroom

notepad file:stream• Om een bestand toe te voegen aan een stroom:

type datafile >> file:stream• Om verborgen data uit een stroom naar een bestand

te schrijvenmore < file:stream > datafile

• Om een stroom uit te voerenstart .\file:stream more < file:stream | cmd -k

Verwijderen ADS

• ADS wordt verwijderd als men de folder of het bestand volledig verwijdert

• Wil men de ADS verwijderen maar de primaire data behouden heeft men volgende mogelijkheden

• Copy het bestand naar een FAT drive en copieer dit terug naar het oorspronkelijk bestand

• Overschrijf de ADS met een leeg bestand• Gebruik het programma ADS SPY van Merijn

Windows utilities• In Vista typ Dir /R• Streams

http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx

• Ladshttp://www.heysoft.de/Frames/f_sw_la_en.htm

• ZoneIDtrimmerhttp://www.gasanov.net/ZoneIDTrimmer.asp

• ADSspyhttp://www.merijn.org/programs.php#adsspy

Bronnen

• www.propagating.net

• http://www.hijackthis.nl/forum/viewtopic.php?t=2086