تا %60 تخفیف خرید برای 3 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

ADS چیست؟ آموزش استفاده از Alternate Data Stream قسمت 2

قابلیت مبهمی که در مورد فایل های ذخیره شده در مدیاهای NTFS وجود دارد، اینست که یک فایل میتواند مجموعه هایی جدا و مستقل از اطلاعات را در دل خود داشته باشد. این بخش های اطلاعاتی بخاطر انکه بصورت رشته ای از بایت ها هستند، "Stream" یا "جریان" نامیده میشوند. باید توجه داشت که تمامی فایل ها، یک بخش اطلاعاتی یا جریان پیش فرض را در کنار سایر جریان های موجود در خود دارند و آن هم همان بخشی است که ما اصطلاحا به آن "فایل" میگوییم.

به عبارتی وقتی که ما عبارت "فایل" را درمورد یک داده اطلاعاتی بکار میبریم، منظورمان دقیقا همان جریان پیش فرض است که در دل تمامی فایل ها بصورت ثابت و اجباری وجود دارد. به عبارت دیگر این جریان پیش فرض، همان داده اصلی موجود در یک فایل است که ما منظورمان از یک فایل اشاره به آن بخش از اطلاعات دارد.

همانطور که گفتیم علاوه بر این جریان پیش فرض، یک فایل میتواند شامل چندین (Alternate Data Stream (ADS یا جریان های اطلاعاتی جایگزین دیگری هم باشد که با روش های معمولی که میتوان لیست محتویات یک فایل را دید، نمیتوان آن ها را مشاهده نمیشود. به عبارت ساده تر، آن ها بطور معمول از دید کاربر و سیستم مخفی اند. این جریان های اطلاعاتی جایگزین (ADSها) در windows explorer لیست نمیشوند، سایز آن ها به سایز معمول فایل اضافه نمیشود و حتی با کامند "dir" هم خودی نشان نمیدهند. آن ها از بسیاری جهات، نامرئی هستند. با این حال یک جریان اطلاعاتی جایگزین میتواند حاوی اطلاعات متنوعی در دل خود باشد. ممکن است اطلاعات آن ها مربوط به "متا دیتا"، تنظیمات امنیتی یا هر فایل دیگری (تروجان، اطلاعات جاسوسی و ..) باشند.

  • نکته: همانطور که در بخش اول هم اشاره شد، متادیتا یعنی اطلاعاتی در مورد اطلاعات. به این صورت که هر فایلی که شامل اطلاعاتی است، توضیحی با خود به همراه دارد. متادیتا ممکن است ساختار فایل را توضیح دهد و یا ممکن است اطلاعاتی در مورد محتوای فایل داشته باشد. اطلاعاتی از قبیل سایز فایل، آخرین تاریخ ویرایش ان، تاریخ ایجاد آن و ... .
  •  
مخفی کردن فایل‌ها با استفاده از ویژگی Alternate Data Stream  - بخش دوم

مدیریت جریان های اطلاعاتی جایگزین (ADS)

یک جریان اطلاعاتی جایگزین با نشانه گذاری خاص خود نامگذاری میشود:

FileName : StreamName

در عبارت بالا منظور از "FileName" همان بخش و جریان اصلی اطلاعات یک فایل است که منظورمان از یک فایل دقیقا به آن اطلاعات اشاره دارد. در واقع در قسمت "FileName" آن چیزی قرار میگیرد که windows explorer از فایل ما نشان خواهد داد. در ادامه علامت " : " و بعد از آن نام جریان اطلاعاتی را خواهیم نوشت. دقت کنید که یک فایل میتواند بیش از یک جریان اطلاعاتی را در خود جای دهد. در برخی حالات نام جریان میتواند بصورت یک شناسه یونیک (GUID) و با فرمت هگزادسیمال و یا یک "FileName" دیگر باشد. من قصد دارم تا از جزئیات مربوط به حالات مختلف یک جریان اطلاعاتی عبور کنم و مستقیما بحث را محدود به زمانی کنم که جریان اطلاعاتی جایگزین، خود یک فایل دیگر است. بطور مثال فایل Ehsan.txt را به عنوان یک جریان اطلاعاتی جایگزین در فایل paint.exe وارد و مخفی کنیم.

پیدا کردن جریان های اطلاعاتی جایگزین (ADS)

سوال اینست: تا زمانی که جریان های اطلاعاتی جایگزین مخفی هستند و در مکان های معمول قابل رویت نیستند، چطور میشود آن ها را پیدا کرد؟ساده ترین راه دانلود کردن یکی از ابزارهایی است که مخصوص لیست کردن و نشان دادن ADS ها هستند. در این جا دو ابزار را تست خواهیم کرد؛ اولین آن "Streams" از شرکت "Microsoft sysintrenals" و دیگری "LADS" از شرکت "Frank Heyne" است که در میان دیگر رقبا میتوان گفت بهتر کار میکنند.

هر فایل یا فولدری را که به ان معرفی کنید، لیست تمامی جریان های اطلاعاتی جایگزین موجود در آن را بشما نشان خواهند داد.اعمالی را که در زمینه ADS انجام خواهیم داد غالبا در محیط Command Prompt صورت خواهند گرفت و ابزاری را که معرفی کردیم، هرکدام یک فایل هستند که در محیط Command Prompt اجرا و مورد استفاده واقع خواهند شد.یکی از دستوراتی که ابزار "streams" از آن استفاده میکند، بصورت زیر است:

Streams somefolder \ *


این عبارت هر جریان اطلاعاتی جایگزینی را که در فولدر معرفی شده وجود داشته باشد، بصورت لیست شده نشان خواهد داد. به یاد داشته باشید که لیست ADS ها معمولا شامل نمادهایی است که نوع محتوا را نشان میدهند. یک لیست ممکن است به فرمت زیر باشد:

Somefile : somestream : $Data

"Data$"، هویت استریم را نشان میدهد. ابزار "Streams" در اینجا فقط نام ADS ها را نشان خواهد داد و کاری به محتوای آن ها ندارد.

پایان بخش دوم
مانا باشید.

نویسنده: احسان امجدی
منبع: انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

نظر شما
برای ارسال نظر باید وارد شوید.
1 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند