سؤال لماذا لا تسمح أنظمة NTFS بالتنفيذية غير المرئية؟


يمكنك إخفاء أي ملف داخل ملف آخر بمجرد كتابته:

type sol.exe > container.txt:sol.exe

ولتشغيل الملف المخفي الملف مجرد استخدام:

start c:\hide\container.txt:sol.exe

لكن الجزء المجنون في هذا الأمر هو أنه لا يزيد حجم الملف (لذا فهو مخفي تمامًا).

وإذا حذفت الملف باستخدام الأشياء المخفية بداخله ، فلن يتم حذف العناصر المخفية. مجرد استخدام:

more <  container.txt:sol.exe > sol.exe

لماذا يسمح NTFS بهذا؟ يبدو أن أفضل طريقة لإخفاء الفيروس.


103
2017-07-23 23:44


الأصل


لطيفة ، يبدو وكأنه موردووردس ماك. - Stefano Borini
أسوأ من ذلك ، عند بدء sol.exe مثل ذلك ، يعرض إدارة المهام اسم العملية كملف container.txt - hasen
يجب علينا قصف جوجل بحيث "مخيف" يؤدي إلى هذا السؤال - hasen
ما دام هذا الأمر موجودًا ، فلا يزال من المذهل أن يتم تشغيله من حين لآخر عبر مطوري برامج AV / أشخاص آخرين يعملون بكثافة مع نظام الملفات الذي لا يعرف عنه شيء. لا أتوقع أن يعرف مطور التطبيق المتوسط ​​ذلك نظرًا لعدم وجود حاجة ، ولكن إذا كنت ثقيلًا في ملفات نظام الملفات ... :-) - Brian Knoblauch
يفترض أنه يمكنك أيضا إرفاق ADS إلى مجلد. يمكنك حذف ADS عن طريق حذف المجلد ، ولكن عندما يكون المجلد هو جذر محرك الأقراص ، لا يمكنك حذف محرك الأقراص C: على سبيل المثال ، بدون إعادة تهيئة محرك الأقراص. يبدو وكأنه آلية لإنشاء فيروس خفي rootkit لي (؟). - HighTechGeek


الأجوبة:


هناك وجهان لهذا السؤال. الأول هو لماذا توجد هذه الميزة على الإطلاق ، والثاني هو لماذا لا يسهل واجهة المستخدم الرسومية (أو موجه الأوامر) رؤية الميزة وإدارتها.

موجود لأنه مفيد. تدعم العديد من الأنظمة الأساسية عدة دفق بيانات لكل ملف. على نظام التشغيل Mac ، تم استدعائهم الشوك، فمثلا. أنا متأكد بشكل معقول من وجود أشياء مماثلة في عالم الكمبيوتر الرئيسي ، ولكن لا يمكنني وضع أصابعي على أي أمثلة واضحة اليوم.

على Windows الحديثة ، يتم استخدامه لعقد سمات إضافية لملف. قد تلاحظ أن مربع الخصائص المتوفر من Windows Explorer يحتوي على علامة تبويب ملخص في طريقة العرض البسيطة (أنا على Windows XP ، سيختلف عدد الأميال الخاص بك عن النكهات الأخرى) يتضمن مجموعة من الحقول المفيدة مثل العنوان والموضوع والمؤلف هكذا. يتم تخزين تلك البيانات في دفق بديل ، بدلا من إنشاء نوع من قاعدة بيانات السيارة الجانبية لاحتواء كل ما يمكن فصله عن الملف بسهولة.

يتم استخدام دفق بديل أيضًا للاحتفاظ بالعلامة التي تقول أن الملف جاء من مصدر شبكة غير موثوق به يتم تطبيقه بواسطة كل من Internet Explorer و Firefox على التنزيلات.

والسؤال الصعب هو لماذا لا توجد واجهة مستخدم أفضل للوقوف على وجود التدفقات على الإطلاق ، ولماذا من الممكن وضع محتوى قابل للتنفيذ فيها ، والأسوأ من ذلك ، تنفيذ ذلك في وقت لاحق. إذا كان هناك خطأ ومخاطر أمنية هنا ، فهذا هو.

تصحيح: 

مستوحاة من تعليق على إجابة أخرى ، إليك طريقة واحدة لمعرفة ما إذا كانت الحماية من الفيروسات و / أو الحماية من البرامج الضارة تدرك تدفقات بديلة.

الحصول على نسخة من ملف اختبار EICAR. هو 68 بايت من نص ASCII الذي يحدث أن يكون صالحًا x86 قابل للتنفيذ. على الرغم من أنها غير مؤذية تمامًا ، إلا أنه تم الاتفاق عليها من قبل صناعة مكافحة الفيروسات ليتم اكتشافها كأنها فيروس حقيقي. يعتقد المنشئون أن اختبار برامج AV مع فيروس حقيقي سيكون قليلا جدا مثل اختبار إنذار الحريق بإضاءة سلة المهملات على النار ...

ملف EICAR هو:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

احفظه مع التمديد .COM وسيتم تنفيذه (إلا إذا كان AV الخاص بك هو الانتباه) وطباعة تحية.

سيكون من المفيد حفظه في دفق بيانات بديل وتشغيل مسح ...


97
2017-07-23 23:59



حسب التصميم يعرض حجم الملف المعروض فقط حجم دفق DATA $ الرئيسي. هذا هو أيضا ما تريد عادة. لا تقم بتضمين طول اسم الملف (وهو نوع واحد من البيانات الوصفية) في حجم الملف أيضًا. أما بالنسبة لخطر الأمن. ADS لم تعد أكثر خطورة من أي ملف فردي. لم أسمع عن أي برامج ضارة نجحت في الانتشار / إخفاء هذه الآليات. - Joey
لا يمكنك عن طريق الخطأ تشغيل برنامج قابل للتنفيذ في ADS لملف نصي. إنه مخفي جيدًا ومخفيًا جيدًا للمستخدم المشترك لتشغيله عن طريق الخطأ. يجب أن يتم اختراقك أولاً. - R. Martinho Fernandes
ashh: مارتينهو مسامير ذلك - الغموض الذي يجعل من الصعب العثور على برنامج قابل للتنفيذ على مثل هذا التيار يجعل من الصعب تنفيذ واحد دون محاولة بنشاط. قارن ذلك مع ، على سبيل المثال ، الفشل الذريع الكامل "ملحقات الملفات المخفية" ، حيث يمكن أن تظهر الملفات القابلة للتنفيذ ، على سبيل المثال ، ملفات نصية في واجهة المستخدم الرسومية (GUI) ... ومازالت تنفذ بسهولة بالغة. - Shog9♦
إذا افترضنا أن لديك AV الذي يقوم على الأقل بتوجيه الانتباه في الوقت الحقيقي إلى ملف .COM ، فلن تكون قادرًا على إرفاقه كـ ADS لأن AV سيمنعك من الوصول إلى ملف .COM (الإرفاق كما يتطلب ADS واحد للوصول إلى ملف). ومع ذلك ، يجب أن تتمكن من إرفاق ملف نصي مع سلسلة EICAR وتسميته بملحق .COM داخل ADS. على سبيل المثال ، اكتب EICAR.txt> test.txt: EICAR.COM - KTC
حقيقة رائعة حول ملف EICAR.COM: لن يتم تشغيله على أي إصدارات 64 بت من Windows ، لذلك أعتقد أن هذه الخدعة لن تعمل بعد أن يكون الجميع على أجهزة 64 بت ( ما يزال ربما يكون بعض الوقت). - Kredns


هذه الميزة مطلوبة لميزة عبر النظام الأساسي لـ Windows Server: خدمات لـ mac.

هذا يسمح لخادم ويندوز يعمل على مشاركة NTFS إلى أجهزة ماكينتوش عبر وكالة فرانس برس. لكي تعمل هذه الميزة ، يجب أن يدعم نظام ملفات NTFS الشوك ، ومن اليوم الأول.

وقبل أن تسأل ، هل لا تزال هذه الميزة مستخدمة؟ نعم ، أنا أقوم بتشغيلها واستخدامها يوميًا على خادم في عميل أقوم بدعمه.

تأتي المشكلة الأمنية الرئيسية عندما ينسى الناس وتطبيقاتهم أو لا يدركون أنها موجودة.

ربما ينبغي أن يكون هناك خيار على الرغم من تضمين الشوك في حجم الملف الكلي أو عرضها في مستكشف النوافذ.


15
2017-07-24 00:05



إذا كنت ستقوم بالتصويت ، يرجى ترك تعليق على السبب. - Bruce McLeod
هذا يبدو وكأنه سبب معقول تماما لهذا الميزة في الوجود في المقام الأول. - RBerteig
إضافة هذه الميزة ببساطة للسماح بمشاركة الملفات لأجهزة ماكينتوش لا يبدو وكأنه سبب معقول. لا تتطلب المشاركة عبر الشبكة تخزين الملف على جانب الخادم. لقد رأيت العديد من خوادم مشاركة Apple * nix التي تقسم الملف إلى معلومات البيانات والموارد. هذا شفاف للعميل. تغيير شكل محرك الأقراص الفعلي فقط للسماح لوكالة AFP لا يبدو واقعية. قد يكون فائدة جيدة ولكن ليس كما هو سبب هذه الميزة. - Simurr
نعم ، أنا أفكر [بحاجة لمصدر] إذا كنت ستؤكد أن SfM هو سبب رئيسي أن MS نفذت ADSes في NTFS. - afrazier
الاقتباس تم العثور عليه: ... ADS القدرات حيث صممت في الأصل للسماح للتوافق مع نظام الملفات الهرمي لماكنتوش ، HFS. حيث يتم أحيانًا نقل معلومات الملف إلى موارد منفصلة. لقد تم استخدام تيارات البيانات البديلة بشكل قانوني من خلال مجموعة متنوعة من البرامج ، بما في ذلك نظام التشغيل Windows الأصلي لتخزين معلومات الملف مثل السمات والتخزين المؤقت. مصدر: windowsecurity.com/articles/Alternate_Data_Streams.html - JamesBarnett


أتخيل أن أحد الاستخدامات الرئيسية (ربما حتى الاستخدام المقصود) هو السماح بشفافية بإضافة أي نوع من البيانات الفوقية إلى ملف. السبب في عدم تغيير حجم الملف في هذا السيناريو لا تريد أن يظهر الملف أو يتصرف بشكل مختلف حتى لا يعتمد التطبيق الأصلي على بعض جوانب طريقة عرض الملف.

يمكن أن أتخيل استخدامات مثيرة للاهتمام في IDEs على سبيل المثال ، حيث يتم تضمين ملفات متعددة في بعض الأحيان لتشكيل وحدة واحدة (ملف الكود / ملف النموذج ، الخ) ، والتي يمكن إرفاقها بالملف الأصلي بهذه الطريقة بحيث لا يمكن فصلها عن طريق الخطأ.

وأعتقد أيضًا أن هناك أمرًا للعثور على كل هذه "المرفقات" في شجرة دليل معيّنة ، لذلك فهي ليست مخفية تمامًا. ومن المفاجئ أيضًا إذا لم تكن أجهزة فحص الفيروسات الأفضل على دراية بذلك وتأكد من هذه المناطق "المخفية" ، ولكن يمكنك التحقق من ذلك عن طريق ربط أحد المصابين المصابين بالمرض إلى ملف نصي ورؤية ما إذا تم التقاطه.


5
2017-07-23 23:53



هل يمكنك نشر رابط لمثل هذا الملف التنفيذي حتى أتمكن من تجربته؟ ؛) - R. Martinho Fernandes
أقترح عليك تشغيل AVG على جهازك ، ثم انتزاع واحدة من الملفات التنفيذية من مجلد وحدة العزل لمحاولة.) - jerryjvl
martinho ، أنت تريد ملف اختبار EICAR: X5O! P٪ @ AP [4 \ PZX54 (P ^) 7CC) 7} $ EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $ H + H * فقط قم بلصق هذا النص (بالضبط 68 بايت من نص ASCII ، انظر eicar.org/anti_virus_test_file.htm للقصة بأكملها) في ملف مسمى بالامتداد .COM. سيتم تشغيل وطباعة رسالة. ما لم يعمل AV الخاص بك ، بالطبع. إسقاطه في دفق بيانات بديل والتحقق من هناك أيضا. - RBerteig
RBerteig: يا رائع ... لم أكن أعرف أن هناك شيئًا كهذا. - jerryjvl
jerryjvl ، كما يقولون ، فإنه يدقق اختبار إنذار الحريق بإضاءة سلة المهملات على النار ... - RBerteig


هنا مقال جيد عن الإمكانات الثغرة الأمنية التي طرحها تيارات البيانات البديلة.


5
2017-07-23 23:52



<nitpick> إنها نقطة ضعف وليست تهديدًا </ nitpick>. وانها ليست كبيرة من صفقة كما يبدو. يجب أن يكون لديك بالفعل بيانات اعتماد لاستخدامها. - romandas
ثابت ، شكرا! :) - JP Alioto
لا مشكلة. راجع للشغل ، والتحقق من الإملاء الخاص بك. وتذكر دائما: التهديدات تستغل نقاط الضعف. تهديدات الناس ، عادة ، ولكن الكوارث الطبيعية والمصنوعة مصنوعة أيضا. - romandas
romandas ، ما هي بيانات الاعتماد التي تحتاج إليها بالفعل؟ في المنزل معظم مستخدمي ويندوز (إكس بي على وجه الخصوص) يعملون مع امتيازات المسؤول ، فلماذا لا يكون هذا صفقة كبيرة كما يبدو؟ - Ash
ashh ، "بطريقة تختبئ ... على نظام مخترق". يجب أن يكون النظام قد تعرض بالفعل للخطر في المقام الأول لإخفاء أي شيء ، وبالمثل لتنفيذ أي شيء مخفي مثل هذا. - KTC


سؤال جيد ، لم أكن على علم بشكل صحيح من ADS حتى العام الماضي ، وكنت مطور ويندوز لسنوات عديدة. أستطيع أن أضمن أنني لست وحدي في هذا.

فيما يتعلق بالقدرة على التحقق من وجود بيانات بديلة على الملفات ، وجدت أداة صغيرة مفيدة تسمى الفتيان متوفرة من برنامج Frank Heyne. يمكن أن قائمة ADS على جميع الملفات في دليل معين ، حتى على الملفات المشفرة (وأيضا ضمن الدلائل الفرعية).


5
2017-07-24 02:44