در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 1

سلام به دوستان عزیز ITPro ای و علاقه‌مندان به مباحث امنیت شبکه. حدود 20 سالی میشود که مایکروسافت سیستم عامل ویندوز NT را بر اساس پلت فرم محبوب NT بسط و توسعه داده است. پس از آن نیز این خط سیر، با توسعه و ایجاد سیستم عامل های جدیدتر مانند ویندوز 8 و ویندوز سرور 2012 و با استفاده از همان پلت فرم راه خود را ادامه میدهد. با وجود استفاده گسترده از سیستم عامل های مایکروسافت، بسیاری از کاربران ویندوز ممکن است از وجود قابلیت خاصی در فایل سیستم NTFS با نام (Alternate Data Stream(ADS هنوز مطلع نباشند. این مطلب برخی اطلاعات لازم درباره ADS مانند نحوه استفاده و نقاط ضعف آن را برای شما تشریح میکند.

مخفی کردن فایل‌ها با استفاده از ویژگی Alternate Data Stream  - بخش اول

Alternate Data Stream چیست؟

از زمان معرفی ویندوز NT 3.1، فایل سیستم NTFS گزینه ترجیحی مایکروسافت در سیستم عامل های NT اش است. پیاده سازی NTFS، جایگزینی برای فایل سیستم FAT که در سیستم عامل های قدیمی تر مانند ویندوز9x مورد استفاده قرار میگرفت، بود. Alternate Data Stream در کنار NTFS، به متا دیتا این اجازه را میدهد تا بدون تغییر در محتوا و عملکرد فایل ها و فولدرها در آن ها خود را جاسازی نماید. به عبارتی متا دیتا را در فایل ها و فولدرها طوری مخفی میکند که در عملکرد و محتوایشان تغییری ایجاد نمیشود.

  • نکته: متادیتا یعنی اطلاعاتی در مورد اطلاعات. به این صورت که هر فایلی که شامل اطلاعاتی است، توضیحی با خود به همراه دارد. متادیتا ممکن است ساختار فایل را توضیح دهد و یا ممکن است اطلاعاتی در مورد محتوای فایل داشته باشد. اطلاعاتی از قبیل سایز فایل، آخرین تاریخ ویرایش ان، تاریخ ایجاد آن و ... . در بحث های امنیتی میتوان از ADS برای مخفی کردن اطلاعاتی خاص در دل اطلاعات اصلی استفاده کرد.

در ساختار NTFS، جریان اصلی داده به محتوای استاندارد موجود در فایل و یا فولدر اطلاق میشود که معمولا برای کاربر قابل رویت است و این در حالی است که جریان جایگزین داده (Alternate Data Stream) از دید کاربر مخفی میباشد. سیستم عامل ویندوزابزاری را برای شناسایی وجود ADS معرفی نکرده است؛ به همین علت است که جریان جایگزین داده در اکثریت قریب به اتفاق برنامه های مدیریتی مثل Windows Explorer قابل رویت و شناسایی نیست.

جریان های جایگزین محدودیتی در سایز ندارند و چندین جریان میتوانند به یک فایل عادی لینک شوند. محتوای ADS محدود به داده های متنی نیست و ضرورتا هرگونه فایلی که در فرمت باینری باشد میتواند به عنوان یک جریان جایگزین در فایل اصلی جاسازی شود.

مخفی کردن فایل‌ها با استفاده از ویژگی Alternate Data Stream  - بخش اول

اگرچه ویندوز هیچگونه ابزار بومی برای را برای خواندن ADS معرفی نکرده است اما مایکروسافت ابزار دستوری خوبی را در این مورد پیشنهاد داده است که نام آن STREAMS.EXE میباشد. در مورد برنامه های Third-party هم میتوان به برنامه هایی چون HashOnClick از مجموعه نرم افزاری OnClick Utilities برای خواندن محتوای ADS اشاره نمود.موارد استفاده و تبعات وجود قابلیت ADS در شبکه کم نیست اما از آنجا رویکرد ما بسمت امنیت است.

باید گفت که خواندن متا دیتا ها خصوصا زمانی اهمیت و اولویت پیدا میکند که بوسیله ان ها بخواهیم جرمی را ثابت نماییم و یا ان که بحث جاسوسی و مخفی نمودن اطلاعات مهم در دل یک فایل معمولی در میان باشد. از انجایی که ADS پنهان است، هکرها علاقه زیادی به سوء استفاده از آن با جاسازی ویروس ها در فایل ها جهت اهداف خرابکارانه دارند. ویروس هایی مانند W2K.Straem از ADS برای تاثیر گذاری و انتشار در سطح سیستم های ویندوز NT استفاده میکنند. متاسفانه برنامه های آنتی ویروس بسیار کمی وجود دارند که بتواند محتوای موجود در ADS را اسکن و شناسایی کنند.


مانا و ITPro ای باشید.
پایان


نویسنده: احسان امجدی
منبع: انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
#alternate_data_stream_چیست؟ #ntfs_streaming_چیست؟ #Convert__کردن_FAT_به_NTFS
عنوان
1 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 1 رایگان
2 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 2 رایگان
3 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 3 رایگان
4 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 4 رایگان
5 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 5 رایگان
6 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 6 رایگان
زمان و قیمت کل 0″ 0
3 نظر
امیر شاه حسینی

با تشکر

فقط میخواستم بدونم این کامند streams.exe رو کجا باید زد؟

احسان امجدی

این نرم افزار رو دانلود میکنی، بعد باید بری در کامند پرامپت و در مسیری که streams.exe هست، دستورات مرتبط رو اجرا کنی.

میثم رضوان دوست

با سلام خدمت آقای مهندس امجدی عزیز

مطلب خیلی جالبی بود

متشکر و سربلند باشید

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....