태그 보관물: alternate-data-stream

alternate-data-stream

왜 NTFS가 보이지 않는 실행 파일을 허용합니까? 안에있는 파일을 숨길 수 있습니다. type sol.exe

다음을 입력하여 다른 파일 안에있는 파일을 숨길 수 있습니다.

type sol.exe > container.txt:sol.exe

파일 숨김 파일을 실행하려면 다음을 사용하십시오.

start c:\hide\container.txt:sol.exe

그러나 이것에 대한 미친 부분은 파일의 크기를 늘리지 않는다는 것입니다 (그래서 완전히 숨겨져 있습니다).

숨겨진 항목이있는 파일을 삭제하면 숨겨진 항목은 삭제되지 않습니다. 그냥 사용하십시오 :

more <  container.txt:sol.exe > sol.exe

NTFS가 왜 이것을 허용합니까? 바이러스를 숨기는 가장 좋은 방법 인 것 같습니다.



답변

이 질문에는 두 가지 측면이 있습니다. 첫 번째는이 기능이 전혀 존재하지 않는 이유이고 두 번째는 GUI (또는 명령 프롬프트)가 기능을보다 쉽게보고 관리 할 수없는 이유입니다.

유용하기 때문에 존재합니다. 다른 여러 플랫폼은 파일 당 여러 데이터 스트림을 지원합니다. 예를 들어 Mac에서는 포크 라고 불렀습니다 . 나는 메인 프레임 세계에 비슷한 것들이 존재한다고 확신하지만 오늘날에는 명백한 예에 손가락을 넣을 수는 없습니다.

최신 Windows에서는 파일의 추가 속성을 보유하는 데 사용됩니다. Windows 탐색기에서 사용할 수있는 속성 상자에는 간단한보기 (Windows XP에서는 마일리지가 다른 특징에 따라 다름)에 요약 탭이 있으며 제목, 제목, 작성자 및 등등. 해당 데이터는 파일과 너무 쉽게 분리되는 모든 것을 보유하기 위해 일종의 사이드카 데이터베이스를 작성하는 대신 대체 스트림에 저장됩니다.

대체 스트림은 파일을 다운로드 할 때 Internet Explorer와 Firefox가 모두 적용하는 신뢰할 수없는 네트워크 소스에서 온 것임을 나타내는 마커를 유지하는 데에도 사용됩니다.

어려운 질문은 스트림이 존재한다는 사실을 알기위한 더 나은 사용자 인터페이스가없는 이유와 실행 가능한 컨텐츠를 스트림에 넣고 나중에 실행할 수있는 이유입니다. 여기에 버그 및 보안 위험이있는 경우에 해당됩니다.

편집하다:

다른 답변에 대한 의견에서 영감을 얻은 안티 바이러스 및 / 또는 안티 멀웨어 보호가 대체 스트림을 인식하는지 확인하는 방법은 다음과 같습니다.

EICAR 테스트 파일 의 사본을 확보 하십시오 . 유효한 x86 실행 파일이되는 68 바이트의 ASCII 텍스트입니다. 완전히 무해하지만, 안티 바이러스 업계는 실제 바이러스 인 것처럼 탐지되도록 동의했습니다. 발신자들은 실제 바이러스로 AV 소프트웨어를 테스트하는 것은 쓰레기통에 불을 붙임으로써 화재 경보를 테스트하는 것과는 너무 비슷하다고 생각했습니다 …

EICAR 파일은 다음과 같습니다.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

확장명으로 저장하면 .COM(AV가주의를 기울이지 않는 한) 실행되고 인사말을 인쇄합니다.

대체 데이터 스트림에 저장하고 스캔을 실행하는 것이 유익합니다 …


답변

이 기능은 Windows Server의 크로스 플랫폼 기능인 mac 용 서비스에 필요합니다.

이렇게하면 NTFS에서 실행되는 Windows 서버가 AFP를 통해 Mac과 공유됩니다. 이 기능이 작동하려면 NTFS 파일 시스템이 포크를 지원해야하며 처음부터 시작해야합니다.

묻기 전에이 기능이 계속 사용됩니까? 예, 지원하는 클라이언트의 서버에서 매일 실행 중입니다.

주요 보안 문제는 사람과 응용 프로그램이 있다는 것을 잊거나 알지 못할 때 발생합니다.

총 파일 크기에 포크를 포함 시키거나 Windows 탐색기에 표시하는 옵션이있을 수 있습니다.


답변

주요 용도 중 하나 (아마도 의도 한 용도조차도)는 파일에 모든 종류의 메타 데이터를 투명하게 추가 할 수 있다고 생각합니다. 파일 크기가 변경되지 않는 이유는이 시나리오에서 원래 응용 프로그램이 파일 모양의 일부 측면에 의존하지 않도록 파일이 다르게 보이거나 다르게 동작하는 것을 원하지 않기 때문입니다.

예를 들어 IDE에서 여러 파일이 단일 단위 (코드 파일 / 양식 파일 등)를 형성하는 데 관여하는 경우가 있습니다.이 방법으로 원본 파일에 실수로 분리되지 않도록 첨부 할 수 있습니다.

또한 주어진 디렉토리 트리에서 이러한 ‘첨부 파일’을 모두 찾는 명령이 있으므로 실제로 완전히 숨겨져 있지는 않습니다. 또한 더 나은 바이러스 스캐너가이를 인식하지 못하고 이러한 ‘숨겨진’영역을 확인하면 놀라 울 것입니다. 그러나 감염된 실행 파일을 텍스트 파일에 의도적으로 첨부하고 파일이 선택되었는지 확인하여 확인할 수 있습니다.


답변

다음 은 Alternate Data Streams가 제기 할 수있는 잠재적 보안 취약점 에 대한 좋은 기사입니다 .


답변

좋은 질문은 작년까지 ADS를 제대로 인식하지 못했으며 수년 동안 Windows 개발자였습니다. 나는 이것에 혼자가 아니라고 보장 할 수 있습니다.

파일에서 대체 데이터를 확인할 수 있다는 점 에서 Frank Heyne 소프트웨어에서 Lads 라는 유용한 도구를 찾을 수있었습니다 . 지정된 디렉토리의 모든 파일, 암호화 된 파일 및 하위 디렉토리에있는 모든 파일의 ADS를 나열 할 수 있습니다.


답변