במאמר קודם קודם ראינו טריק קטן להסתיר קבצים בתוך תמונה עם סיומת ה- jpg.
במקרה כזה, כל מה שנעשה היה ליצור ארכיב Winrar בתוך קובץ התמונה עם כל מה שתרצו בפנים.
ברור שגודל קובץ ה- jpg הזה גדול יותר, תלוי בכמה קבצים שנמצאים בו וכדי לפתוח אותו פשוט עשה "פתח עם .." ובחר Winrar.
אבל וירוסים לא מסתתרים כך, לא רק שיהיה קל למצוא אותו, אלא ארכיון .rar אינו מזיק לחלוטין, אינו פותח שום דבר בזיכרון ואינו מפעיל אף תהליך.
הם נקראים ADS ( Alternate Data Stream ) אותם קבצים המוחבאים בתוך קובץ אחר, מבלי לשנות את גודלו ונשארים מוסתרים לחלוטין מתצוגת Windows .
כשפותחים ומריצים קובץ שמכיל ADS, הוא מפעיל את ה- ADS ומפעיל את התוכנית תחתיו.
במאמר זה אנו רואים כיצד ניתן ליצור בקלות ADS במחשב האישי ולהסתיר כל קובץ בתוך קובץ כך שכאשר אתה מפעיל את ה- ADS הוא מופעל במקומו.
1) פתח את סייר Windows, עבור לדיסק C: וצור תיקיה חדשה שאותה נוכל לקרוא "מודעות".
2) בפנים, לבדיקת הניסוי, צור קובץ טקסט חדש וקרא לו "test.txt" והעתק כל תמונה או תמונה שנמצאת במחשב וניתן לשנות את שמם ל- immagine_test.jpg.
3) פתח את שורת הפקודה שנמצאת בכוכב -> תוכניות -> אביזרים או על ידי מעבר אל התחל -> הפעלה -> וכתוב " cmd "
4) כעת כתוב תקליטורים \ מודעות כדי להזין באמצעות דוס את התיקיה שנוצרה לפני.
5) כדי ליצור ADS אלמנטרי ולהתחיל להבין מה הם, אתה יכול לכתוב " הד Ciao bello> test.txt: testonascosto.txt "; אתה יכול לשים לב שלא נוספו קבצים לתיקיית המודעות.
6) כתוב על הפקודה " פנקס רשימות test.txt: testonascosto.txt " וכאילו בקסם פנקס הרשימות נפתח עם הטקסט שנכתב לפני; למעשה, משהו שנכתב הוסתר שנשאר בלתי נראה במחשב אלא על ידי ביצוע סוג זה של פקודה.
אם הסקרנות מתחילה לדגדג את רוח ההאקר שנמצאת בכל אחד מאיתנו, בואו ונלך ונראה מה עוד ניתן לעשות.
7) אם מסתיר טקסט יכול לשמש רק מרגלים של CIA, האקר יכול לחשוב להשתמש בטכניקה זו כדי להסתיר קובץ רע בתוך קובץ טוב.
כדי לבצע ניסוי מעשי, תוכלו להעתיק את קובץ calc.exe בתיקיית המודעות, שנמצאת בתיקיית המערכת של Windows ומשמשת לפתיחת המחשבון הרגיל.
כדי להעתיק את הקובץ לתיקיית המודעות, פשוט כתוב " העתק C: \ windows \ system32 \ calc.exe c: \ ads " בשורת הפקודה.
8) כעת תוכלו להכניס את הקובץ image_test.jpg שצילמנו לפנינו ואשר עדיין צריך להיות בתיקיית המודעות, בתוך קובץ calc.exe.
כדי לבצע הסתננות זו עליכם לכתוב על חלון DOS השחור שעד כה מעולם לא סגרנו: " הקלד immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) תוצאה: אם אתה מפעיל את הקובץ calc.exe, שום דבר מוזר לא קורה; אם תתחיל לסדר את הקובץ calc.exe על ידי כתיבה כך: התחל ./calc.exe : immagine_test.jpg או התחל C: \ ads \ calc.exe: immagine_test.jpg (זה תמיד לוקח את כל הנתיב), הוא נפתח תמונה שנבחרה לפני ולא המחשבון; אם תמחק את קובץ ה- image_test מתיקיית המודעות, התוצאה לא תשתנה.
המשמעות היא שקובץ ה- jpg הוחבא בתוך קובץ calc.exe, הוא כבר לא נראה, גודל calc.exe נותר ללא שינוי ואין שום דבר שמסמן את נוכחותו של זרם הנתונים.
בניגוד לשיטה הנהוגה ב- Winrar, הפעם, אין ארכיון והקובץ הנסתר מופעל ומבוצע כאשר המארח מופעל, על ידי לחיצה על קובץ calc.exe מהתיקיה הפתוחה, התמונה לא מופיעה.
אתה יכול גם להסתיר קבצים בתוך תיקיה שנראה כאילו הם ריקים בטעות.
10) ניתן ליצור תיקיה חדשה בתוך מודעות ולקרוא לה Ads2 ואז מ- Dos, לכתוב תקליטור Ads2 ולהקלד את הפקודה " type c: \ ads \ calc.exe>: pippo.exe "; הקובץ calc.exe נמצא בתיקיית Ads2 אך אינך יכול לראות אותו, לא עם הפקודה " dir " שמציגה את הקבצים בספריות, או על ידי הסתלקות בחיפוש משאבים עם הממשק הגרפי הרגיל.
אלה טריקים ישנים למדי, אך רבים אינם ידועים גם מכיוון שלמעשה אין להם כלי עזר אמיתי, לפחות עבור משתמשים רגילים; הם האקרים הרעים המנצלים אותם ובעבר, הם גרמו נזק רב באמצעות זרמי נתונים.
למעשה, לדמיין שבדוגמא שלנו לעיל, בנקודה 8, במקום קובץ תמונה רגיל ולא מזיק, הוא הסתתר בתוך המחשבון, וירוס אמיתי, זה יהיה כאב.
אם אז הנגיף האמיתי קורא לעצמו, למשל svchost.exe שנמצא מספר פעמים במנהל המשימות, זה יהיה ממש קשה למצוא.
זה לא נגמר כאן, מכיוון שהאקר מומחה יודע שתוכניות כמו המחשבון או פנקס הרשימות נמצאות תמיד בנתיב C: \ Windows \ System32, כך שעלול להיפגע הקובץ הזה מבלי ליצור שום דבר חדש.
ובכל זאת, ללא וירוסים לא יתענגו, תוכלו להסתיר קובץ של 10 ג'יגה-בתים בקובייט 10 קילו, ובלי להבין מדוע, תוכלו למצוא את עצמכם כשהמחשב נעול וללא יותר מקום.
למרבה המזל, בעיות האבטחה הללו מתגברות ברובן, אנטי-וירוסים מוצאים וירוסים נסתרים תוך כדי תנועה וזה לא סביר שתסבול התקפה כזו אם אתה מוגן.
ההמלצה היחידה שעלי להמליץ היא, בהתחשב בקלות שבה ניתן ליצור קובץ זדוני בדרך זו, יהיה זה המקרה לא לקבל קבצים מזרים, אולי נשלחים באמצעות MSN או בדואר, גם אם היו אלה תמונות, תמונות, מוסיקה, קבצי טקסט או כל דבר אחר.
לצורך הרשומה, ADS עובדים רק על מחיצות דיסק של NTFS ולא על FAT32 ולכן כדי למחוק קובץ ADS אתה יכול למחוק את זה שמארח אותו על ידי מחיקתו או העברתו למחיצה FAT32.
ישנם כלים שיכולים לזהות את זרמי הנתונים, והטוב ביותר הוא החיג'אצ'יס המפורסם שכבר נתקלנו בו מספר פעמים בבלוג זה.
ב- Hijackthis, על ידי פתיחת "הכלים השונים" יש כלי שנקרא "מרגל ADS" הסורק את הזרמים, ואם ברצונך להסיר אותם, אך בכנות, זה יהיה תשוקה מוגזמת של אבטחה גם מכיוון שמספר ADS רבים מועילים עבור Windows והיית מסתכן בכך שאתה גורם נזק.
במקרה כזה, כל מה שנעשה היה ליצור ארכיב Winrar בתוך קובץ התמונה עם כל מה שתרצו בפנים.
ברור שגודל קובץ ה- jpg הזה גדול יותר, תלוי בכמה קבצים שנמצאים בו וכדי לפתוח אותו פשוט עשה "פתח עם .." ובחר Winrar.
אבל וירוסים לא מסתתרים כך, לא רק שיהיה קל למצוא אותו, אלא ארכיון .rar אינו מזיק לחלוטין, אינו פותח שום דבר בזיכרון ואינו מפעיל אף תהליך.
הם נקראים ADS ( Alternate Data Stream ) אותם קבצים המוחבאים בתוך קובץ אחר, מבלי לשנות את גודלו ונשארים מוסתרים לחלוטין מתצוגת Windows .
כשפותחים ומריצים קובץ שמכיל ADS, הוא מפעיל את ה- ADS ומפעיל את התוכנית תחתיו.
במאמר זה אנו רואים כיצד ניתן ליצור בקלות ADS במחשב האישי ולהסתיר כל קובץ בתוך קובץ כך שכאשר אתה מפעיל את ה- ADS הוא מופעל במקומו.
1) פתח את סייר Windows, עבור לדיסק C: וצור תיקיה חדשה שאותה נוכל לקרוא "מודעות".
2) בפנים, לבדיקת הניסוי, צור קובץ טקסט חדש וקרא לו "test.txt" והעתק כל תמונה או תמונה שנמצאת במחשב וניתן לשנות את שמם ל- immagine_test.jpg.
3) פתח את שורת הפקודה שנמצאת בכוכב -> תוכניות -> אביזרים או על ידי מעבר אל התחל -> הפעלה -> וכתוב " cmd "
4) כעת כתוב תקליטורים \ מודעות כדי להזין באמצעות דוס את התיקיה שנוצרה לפני.
5) כדי ליצור ADS אלמנטרי ולהתחיל להבין מה הם, אתה יכול לכתוב " הד Ciao bello> test.txt: testonascosto.txt "; אתה יכול לשים לב שלא נוספו קבצים לתיקיית המודעות.
6) כתוב על הפקודה " פנקס רשימות test.txt: testonascosto.txt " וכאילו בקסם פנקס הרשימות נפתח עם הטקסט שנכתב לפני; למעשה, משהו שנכתב הוסתר שנשאר בלתי נראה במחשב אלא על ידי ביצוע סוג זה של פקודה.
אם הסקרנות מתחילה לדגדג את רוח ההאקר שנמצאת בכל אחד מאיתנו, בואו ונלך ונראה מה עוד ניתן לעשות.
7) אם מסתיר טקסט יכול לשמש רק מרגלים של CIA, האקר יכול לחשוב להשתמש בטכניקה זו כדי להסתיר קובץ רע בתוך קובץ טוב.
כדי לבצע ניסוי מעשי, תוכלו להעתיק את קובץ calc.exe בתיקיית המודעות, שנמצאת בתיקיית המערכת של Windows ומשמשת לפתיחת המחשבון הרגיל.
כדי להעתיק את הקובץ לתיקיית המודעות, פשוט כתוב " העתק C: \ windows \ system32 \ calc.exe c: \ ads " בשורת הפקודה.
8) כעת תוכלו להכניס את הקובץ image_test.jpg שצילמנו לפנינו ואשר עדיין צריך להיות בתיקיית המודעות, בתוך קובץ calc.exe.
כדי לבצע הסתננות זו עליכם לכתוב על חלון DOS השחור שעד כה מעולם לא סגרנו: " הקלד immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) תוצאה: אם אתה מפעיל את הקובץ calc.exe, שום דבר מוזר לא קורה; אם תתחיל לסדר את הקובץ calc.exe על ידי כתיבה כך: התחל ./calc.exe : immagine_test.jpg או התחל C: \ ads \ calc.exe: immagine_test.jpg (זה תמיד לוקח את כל הנתיב), הוא נפתח תמונה שנבחרה לפני ולא המחשבון; אם תמחק את קובץ ה- image_test מתיקיית המודעות, התוצאה לא תשתנה.
המשמעות היא שקובץ ה- jpg הוחבא בתוך קובץ calc.exe, הוא כבר לא נראה, גודל calc.exe נותר ללא שינוי ואין שום דבר שמסמן את נוכחותו של זרם הנתונים.
בניגוד לשיטה הנהוגה ב- Winrar, הפעם, אין ארכיון והקובץ הנסתר מופעל ומבוצע כאשר המארח מופעל, על ידי לחיצה על קובץ calc.exe מהתיקיה הפתוחה, התמונה לא מופיעה.
אתה יכול גם להסתיר קבצים בתוך תיקיה שנראה כאילו הם ריקים בטעות.
10) ניתן ליצור תיקיה חדשה בתוך מודעות ולקרוא לה Ads2 ואז מ- Dos, לכתוב תקליטור Ads2 ולהקלד את הפקודה " type c: \ ads \ calc.exe>: pippo.exe "; הקובץ calc.exe נמצא בתיקיית Ads2 אך אינך יכול לראות אותו, לא עם הפקודה " dir " שמציגה את הקבצים בספריות, או על ידי הסתלקות בחיפוש משאבים עם הממשק הגרפי הרגיל.
אלה טריקים ישנים למדי, אך רבים אינם ידועים גם מכיוון שלמעשה אין להם כלי עזר אמיתי, לפחות עבור משתמשים רגילים; הם האקרים הרעים המנצלים אותם ובעבר, הם גרמו נזק רב באמצעות זרמי נתונים.
למעשה, לדמיין שבדוגמא שלנו לעיל, בנקודה 8, במקום קובץ תמונה רגיל ולא מזיק, הוא הסתתר בתוך המחשבון, וירוס אמיתי, זה יהיה כאב.
אם אז הנגיף האמיתי קורא לעצמו, למשל svchost.exe שנמצא מספר פעמים במנהל המשימות, זה יהיה ממש קשה למצוא.
זה לא נגמר כאן, מכיוון שהאקר מומחה יודע שתוכניות כמו המחשבון או פנקס הרשימות נמצאות תמיד בנתיב C: \ Windows \ System32, כך שעלול להיפגע הקובץ הזה מבלי ליצור שום דבר חדש.
ובכל זאת, ללא וירוסים לא יתענגו, תוכלו להסתיר קובץ של 10 ג'יגה-בתים בקובייט 10 קילו, ובלי להבין מדוע, תוכלו למצוא את עצמכם כשהמחשב נעול וללא יותר מקום.
למרבה המזל, בעיות האבטחה הללו מתגברות ברובן, אנטי-וירוסים מוצאים וירוסים נסתרים תוך כדי תנועה וזה לא סביר שתסבול התקפה כזו אם אתה מוגן.
ההמלצה היחידה שעלי להמליץ היא, בהתחשב בקלות שבה ניתן ליצור קובץ זדוני בדרך זו, יהיה זה המקרה לא לקבל קבצים מזרים, אולי נשלחים באמצעות MSN או בדואר, גם אם היו אלה תמונות, תמונות, מוסיקה, קבצי טקסט או כל דבר אחר.
לצורך הרשומה, ADS עובדים רק על מחיצות דיסק של NTFS ולא על FAT32 ולכן כדי למחוק קובץ ADS אתה יכול למחוק את זה שמארח אותו על ידי מחיקתו או העברתו למחיצה FAT32.
ישנם כלים שיכולים לזהות את זרמי הנתונים, והטוב ביותר הוא החיג'אצ'יס המפורסם שכבר נתקלנו בו מספר פעמים בבלוג זה.
ב- Hijackthis, על ידי פתיחת "הכלים השונים" יש כלי שנקרא "מרגל ADS" הסורק את הזרמים, ואם ברצונך להסיר אותם, אך בכנות, זה יהיה תשוקה מוגזמת של אבטחה גם מכיוון שמספר ADS רבים מועילים עבור Windows והיית מסתכן בכך שאתה גורם נזק.
