Citā iepriekšējā rakstā mēs bijām redzējuši nelielu triku, lai paslēptu failus fotoattēlā ar .jpg paplašinājumu.
Tādā gadījumā viss, kas tika darīts, bija izveidot faila faila iekšpusē Winrar arhīvu ar visu, ko vēlaties.
Acīmredzami šī .jpg faila lielums kļūst lielāks atkarībā no tā, cik failos tajā ir. Lai to atvērtu, vienkārši veiciet “Atvērt ar ..” un izvēlieties Winrar.
Bet vīrusi to neslēpj, ne tikai to būtu viegli atrast, bet .rar arhīvs ir pilnīgi nekaitīgs, neko neatver atmiņā un neaktivizē nevienu procesu.
Tos sauc par ADS ( Alternate Data Stream ) - tie faili, kas ir paslēpti cita faila iekšpusē, nemainot tā lielumu un paliekot pilnībā paslēpti no Windows skata .
Atverot un palaižot failu, kas satur ADS, tas aktivizē ADS un saskaņā ar to palaiž programmu.
Šajā rakstā mēs redzam, kā jūs varat viegli izveidot ADS ar datoru un paslēpt jebkuru failu citā, lai, palaižot ADS, tas tiktu aktivizēts tā vietā.
1) Atveriet Windows Explorer, dodieties uz disku C: un izveidojiet jaunu mapi, kuru mēs varam saukt par “Ads”.
2) Iekšpusē, lai pārbaudītu eksperimentu, izveidojiet jaunu teksta failu un nosauciet to par "test.txt" un nokopējiet visus fotoattēlus vai attēlus, kas atrodas datorā un kurus var pārdēvēt par immagine_test.jpg.
3) Atveriet komandu uzvedni, kas atrodama Star -> Programmas -> Aksesuāri vai dodieties uz Start -> Run -> un ierakstiet " cmd "
4) Tagad uzrakstiet cd \ ads, lai caur Dos ievadītu iepriekš izveidoto mapi.
5) Lai izveidotu elementāru ADS un sāktu saprast, kas tie ir, varat rakstīt " echo Ciao bello> test.txt: testonascosto.txt "; iespējams, pamanīsit, ka reklāmu mapei nav pievienoti faili.
6) Uzrakstiet uzvednē " notepad test.txt: testonascosto.txt " un it kā ar burvju palīdzību bloknots tiek atvērts ar iepriekš uzrakstīto tekstu; patiesībā ir paslēpts kaut kas uzrakstīts, kas datorā paliek neredzams, izņemot šāda veida komandu izpildīšanu.
Ja zinātkāre sāk kutināt hakeru garu, kas ir katrā no mums, iesim uz priekšu un redzēsim, ko vēl var izdarīt.
7) Ja teksta slēpšanu var izmantot tikai CIP spiegi, hakeris var padomāt par šīs tehnikas izmantošanu, lai sliktā failā paslēptu labu.
Lai veiktu praktisku eksperimentu, jūs varat nokopēt calc.exe failu mapē Reklāmas, kas atrodas Windows sistēmas mapē un tiek izmantots normāla kalkulatora atvēršanai.
Lai kopētu failu mapē Ads, komandu uzvednē vienkārši ierakstiet " copy C: \ windows \ system32 \ calc.exe c: \ ads ".
8) Tagad failā calc.exe var ievietot attēlu image_test.jpg, kuru mēs jau iepriekš paņēmām un kam joprojām vajadzētu būt mapē Reklāmas.
Lai veiktu šo infiltrāciju, uz melnā DOS loga ir jāraksta, ko līdz šim mēs nekad neesam aizvēruši: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) rezultāts: ja startējat failu calc.exe, nekas dīvains nenotiek; ja jūs sākat no faila calc.exe aprēķināšanas, rakstot šādi: sāciet ./calc.exe : immagine_test.jpg vai sāciet C: \ ads \ calc.exe: immagine_test.jpg (tas vienmēr ved visu ceļu), tas tiek atvērts 'iepriekš izvēlēts attēls, nevis kalkulators; izdzēšot attēlu_testa failu no mapes Reklāmas, rezultāts nemainās.
Tas nozīmē, ka jpg fails ir paslēpts faila calc.exe iekšpusē, tas vairs nav redzams, calc.exe lielums nav mainījies, un nekas neliecina par datu straumes esamību.
Atšķirībā no metodes, kuru izmanto Winrar, šoreiz nav arhīva un slēptais fails tiek aktivizēts un tiek izpildīts, startējot resursdatoru, no atvērtās mapes noklikšķinot uz faila calc.exe, attēls neparādās.
Failus var arī paslēpt mapē, kas šķietami ir kļūdaini tukša.
10) Jūs varat izveidot jaunu mapi Ads un saukt to par Ads2, pēc tam no Dos, uzrakstīt cd Ads2 un ievadīt komandu " type c: \ ads \ calc.exe>: pippo.exe "; fails calc.exe atrodas Ads2 mapē, bet jūs to nevarat redzēt ne ar komandu “ dir ”, kas parāda failus direktorijos, ne arī dodoties izpētīt resursus ar parasto grafisko interfeisu.
Šie ir diezgan seni triki, bet daudzi no tiem nav zināmi arī tāpēc, ka patiesībā tiem nav īstas lietderības, vismaz parastajiem lietotājiem; tie ir sliktie hakeri, kas tos izmanto, un agrāk, izmantojot datu straumes, ir nodarījuši daudz zaudējumu.
Patiesībā, iedomājoties, ka mūsu iepriekšējā piemēra 8. punktā parastā un nekaitīgā attēla faila vietā viņš kalkulatora iekšienē bija paslēpies - īsts vīruss, tas sagādā sāpes.
Ja īstais vīruss pats sevi izsauc, piemēram, svchost.exe, kas vairākas reizes atrodas uzdevumu pārvaldniekā, tad to tiešām būtu grūti atrast.
Ar to viss nebeidzas, jo eksperts hakeris zina, ka tādas programmas kā kalkulators vai piezīmju bloks vienmēr atrodas ceļā C: \ Windows \ System32, tāpēc, iespējams, tas varētu sabojāt šo failu, neradot neko jaunu.
Tomēr, neradot vīrusiem neērtības, jūs varētu paslēpt 10 GB failu 10 Kbyte iekšpusē, un, nesaprotot kāpēc, jūs varētu atrasties ar bloķētu datoru un bez vairāk vietas.
Par laimi, šīs drošības problēmas tiek lielā mērā pārvarētas, antivīrusi atrod paslēptus vīrusus lidojumā, un ir maz ticams, ka piedzīvosit šādu uzbrukumu, ja būsit aizsargāts.
Vienīgais ieteikums, kas man jāsniedz, ir tas, ka, ņemot vērā to, cik viegli šādā veidā ir izveidot ļaunprātīgu failu, tas būtu gadījumā, ja nepieņemtu nevienu failu no svešiniekiem, iespējams, nosūtītu caur MSN vai pa pastu, pat ja tie būtu fotoattēli, attēli, mūzika, teksta faili vai kas cits.
Ierakstam ADS darbojas tikai NTFS diska nodalījumos, nevis FAT32, tāpēc, lai izdzēstu ADS failu, varat izdzēst to, kas to mitina, izdzēšot vai pārvietojot uz FAT32 nodalījumu.
Ir rīki, kas var identificēt datu straumes, un labākais ir slavenais Hijackthis, ar kuru mēs jau esam vairākkārt saskārušies šajā emuārā.
Hijackthis atverot “Misc Tools”, ir utilīta “ADS Spy”, kas skenē straumes un, ja vēlaties tās noņemt, bet, ja godīgi, tā būtu pārmērīga drošības dedzība arī tāpēc, ka daudzas ADS ir noderīgas operētājsistēmai Windows. un jūs riskējat nodarīt zaudējumus.
Tādā gadījumā viss, kas tika darīts, bija izveidot faila faila iekšpusē Winrar arhīvu ar visu, ko vēlaties.
Acīmredzami šī .jpg faila lielums kļūst lielāks atkarībā no tā, cik failos tajā ir. Lai to atvērtu, vienkārši veiciet “Atvērt ar ..” un izvēlieties Winrar.
Bet vīrusi to neslēpj, ne tikai to būtu viegli atrast, bet .rar arhīvs ir pilnīgi nekaitīgs, neko neatver atmiņā un neaktivizē nevienu procesu.
Tos sauc par ADS ( Alternate Data Stream ) - tie faili, kas ir paslēpti cita faila iekšpusē, nemainot tā lielumu un paliekot pilnībā paslēpti no Windows skata .
Atverot un palaižot failu, kas satur ADS, tas aktivizē ADS un saskaņā ar to palaiž programmu.
Šajā rakstā mēs redzam, kā jūs varat viegli izveidot ADS ar datoru un paslēpt jebkuru failu citā, lai, palaižot ADS, tas tiktu aktivizēts tā vietā.
1) Atveriet Windows Explorer, dodieties uz disku C: un izveidojiet jaunu mapi, kuru mēs varam saukt par “Ads”.
2) Iekšpusē, lai pārbaudītu eksperimentu, izveidojiet jaunu teksta failu un nosauciet to par "test.txt" un nokopējiet visus fotoattēlus vai attēlus, kas atrodas datorā un kurus var pārdēvēt par immagine_test.jpg.
3) Atveriet komandu uzvedni, kas atrodama Star -> Programmas -> Aksesuāri vai dodieties uz Start -> Run -> un ierakstiet " cmd "
4) Tagad uzrakstiet cd \ ads, lai caur Dos ievadītu iepriekš izveidoto mapi.
5) Lai izveidotu elementāru ADS un sāktu saprast, kas tie ir, varat rakstīt " echo Ciao bello> test.txt: testonascosto.txt "; iespējams, pamanīsit, ka reklāmu mapei nav pievienoti faili.
6) Uzrakstiet uzvednē " notepad test.txt: testonascosto.txt " un it kā ar burvju palīdzību bloknots tiek atvērts ar iepriekš uzrakstīto tekstu; patiesībā ir paslēpts kaut kas uzrakstīts, kas datorā paliek neredzams, izņemot šāda veida komandu izpildīšanu.
Ja zinātkāre sāk kutināt hakeru garu, kas ir katrā no mums, iesim uz priekšu un redzēsim, ko vēl var izdarīt.
7) Ja teksta slēpšanu var izmantot tikai CIP spiegi, hakeris var padomāt par šīs tehnikas izmantošanu, lai sliktā failā paslēptu labu.
Lai veiktu praktisku eksperimentu, jūs varat nokopēt calc.exe failu mapē Reklāmas, kas atrodas Windows sistēmas mapē un tiek izmantots normāla kalkulatora atvēršanai.
Lai kopētu failu mapē Ads, komandu uzvednē vienkārši ierakstiet " copy C: \ windows \ system32 \ calc.exe c: \ ads ".
8) Tagad failā calc.exe var ievietot attēlu image_test.jpg, kuru mēs jau iepriekš paņēmām un kam joprojām vajadzētu būt mapē Reklāmas.
Lai veiktu šo infiltrāciju, uz melnā DOS loga ir jāraksta, ko līdz šim mēs nekad neesam aizvēruši: " type immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) rezultāts: ja startējat failu calc.exe, nekas dīvains nenotiek; ja jūs sākat no faila calc.exe aprēķināšanas, rakstot šādi: sāciet ./calc.exe : immagine_test.jpg vai sāciet C: \ ads \ calc.exe: immagine_test.jpg (tas vienmēr ved visu ceļu), tas tiek atvērts 'iepriekš izvēlēts attēls, nevis kalkulators; izdzēšot attēlu_testa failu no mapes Reklāmas, rezultāts nemainās.
Tas nozīmē, ka jpg fails ir paslēpts faila calc.exe iekšpusē, tas vairs nav redzams, calc.exe lielums nav mainījies, un nekas neliecina par datu straumes esamību.
Atšķirībā no metodes, kuru izmanto Winrar, šoreiz nav arhīva un slēptais fails tiek aktivizēts un tiek izpildīts, startējot resursdatoru, no atvērtās mapes noklikšķinot uz faila calc.exe, attēls neparādās.
Failus var arī paslēpt mapē, kas šķietami ir kļūdaini tukša.
10) Jūs varat izveidot jaunu mapi Ads un saukt to par Ads2, pēc tam no Dos, uzrakstīt cd Ads2 un ievadīt komandu " type c: \ ads \ calc.exe>: pippo.exe "; fails calc.exe atrodas Ads2 mapē, bet jūs to nevarat redzēt ne ar komandu “ dir ”, kas parāda failus direktorijos, ne arī dodoties izpētīt resursus ar parasto grafisko interfeisu.
Šie ir diezgan seni triki, bet daudzi no tiem nav zināmi arī tāpēc, ka patiesībā tiem nav īstas lietderības, vismaz parastajiem lietotājiem; tie ir sliktie hakeri, kas tos izmanto, un agrāk, izmantojot datu straumes, ir nodarījuši daudz zaudējumu.
Patiesībā, iedomājoties, ka mūsu iepriekšējā piemēra 8. punktā parastā un nekaitīgā attēla faila vietā viņš kalkulatora iekšienē bija paslēpies - īsts vīruss, tas sagādā sāpes.
Ja īstais vīruss pats sevi izsauc, piemēram, svchost.exe, kas vairākas reizes atrodas uzdevumu pārvaldniekā, tad to tiešām būtu grūti atrast.
Ar to viss nebeidzas, jo eksperts hakeris zina, ka tādas programmas kā kalkulators vai piezīmju bloks vienmēr atrodas ceļā C: \ Windows \ System32, tāpēc, iespējams, tas varētu sabojāt šo failu, neradot neko jaunu.
Tomēr, neradot vīrusiem neērtības, jūs varētu paslēpt 10 GB failu 10 Kbyte iekšpusē, un, nesaprotot kāpēc, jūs varētu atrasties ar bloķētu datoru un bez vairāk vietas.
Par laimi, šīs drošības problēmas tiek lielā mērā pārvarētas, antivīrusi atrod paslēptus vīrusus lidojumā, un ir maz ticams, ka piedzīvosit šādu uzbrukumu, ja būsit aizsargāts.
Vienīgais ieteikums, kas man jāsniedz, ir tas, ka, ņemot vērā to, cik viegli šādā veidā ir izveidot ļaunprātīgu failu, tas būtu gadījumā, ja nepieņemtu nevienu failu no svešiniekiem, iespējams, nosūtītu caur MSN vai pa pastu, pat ja tie būtu fotoattēli, attēli, mūzika, teksta faili vai kas cits.
Ierakstam ADS darbojas tikai NTFS diska nodalījumos, nevis FAT32, tāpēc, lai izdzēstu ADS failu, varat izdzēst to, kas to mitina, izdzēšot vai pārvietojot uz FAT32 nodalījumu.
Ir rīki, kas var identificēt datu straumes, un labākais ir slavenais Hijackthis, ar kuru mēs jau esam vairākkārt saskārušies šajā emuārā.
Hijackthis atverot “Misc Tools”, ir utilīta “ADS Spy”, kas skenē straumes un, ja vēlaties tās noņemt, bet, ja godīgi, tā būtu pārmērīga drošības dedzība arī tāpēc, ka daudzas ADS ir noderīgas operētājsistēmai Windows. un jūs riskējat nodarīt zaudējumus.
