Monday, January 24, 2011

ADS - Alternate Data Stream

Hoje estava explicando para os novos trainees o conceito de Alternate Data Stream - ADS e, como todo bom técnico, procurei no Google alguns exemplos e achei alguns textos e artigos na internet que na maioria mais atrapalhavam do que explicavam realmente um conceito que é muito simples... O próprio site da Microsoft traz uma tradução automática que eu classifico como "tosca".

Basicamente, o ADS é um recurso do NTFS (desde o Windows NT) para tentar manter compatibilidade com o sistema de arquivos HFS do Macintosh (que já não é mais utilizado, o file system do Mac OS X é o HFS+, uma evolução do HFS). No HFS, este recurso é utilizado para armazenar os ícones dos arquivos, por exemplo.


 
O Mac OS utiliza HFS, já o MacOS X, HFS+


Alguns artigos que eu encontrei citavam o uso de rootkits para utilizar este recurso (que é do próprio file system) para ocultar informações. A idéia deste post é facilitar um pouco as coisas: acredite, você não precisa do metasploit instalado para brincar um pouco com o ADS...

Basicamente, vamos utilizar aqui o DOS e alguns comandos básicos para ocultar um arquivo de texto dentro do outro (.txt)



Perceberam como é fácil? Não vou explicar o passo a passo... Somente a parte principal: o segundo comando, informa o nome do arquivo, sucedido por um sinal de ":" e então o nome do arquivo oculto.

Bem simples, não?

O mesmo conceito se aplica para diretórios e também para executáveis.




Quem busca maiores informações sobre o ADS, achei um texto muito bom aqui.

[Update 01]


Encontrei uma referência muito boa sobre o tema, inclusive com uma imagem que ilustra muito bem o tema:



Perceberam a sutileza?? Arquivo:ADS...

Encontrei esta referência aqui.

[Update 02]


Para quem estiver interessado em detectar ADS no file system, também não precisa de nenhuma ferramenta sofisticada, veja:


Um simples DIR /R já lista os ADS do diretório... Reitero:  simples, não?

Update 04/04/11:
Nem só de ADS vive o homem... Você consegue imaginar quantas técnicas existem para ocultação de dados em disco?


Maiores informações aqui.

No comments:

Post a Comment