در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 2

قابلیت مبهمی که در مورد فایل های ذخیره شده در مدیاهای NTFS وجود دارد، اینست که یک فایل میتواند مجموعه هایی جدا و مستقل از اطلاعات را در دل خود داشته باشد. این بخش های اطلاعاتی بخاطر انکه بصورت رشته ای از بایت ها هستند، "Stream" یا "جریان" نامیده میشوند. باید توجه داشت که تمامی فایل ها، یک بخش اطلاعاتی یا جریان پیش فرض را در کنار سایر جریان های موجود در خود دارند و آن هم همان بخشی است که ما اصطلاحا به آن "فایل" میگوییم.

به عبارتی وقتی که ما عبارت "فایل" را درمورد یک داده اطلاعاتی بکار میبریم، منظورمان دقیقا همان جریان پیش فرض است که در دل تمامی فایل ها بصورت ثابت و اجباری وجود دارد. به عبارت دیگر این جریان پیش فرض، همان داده اصلی موجود در یک فایل است که ما منظورمان از یک فایل اشاره به آن بخش از اطلاعات دارد.

همانطور که گفتیم علاوه بر این جریان پیش فرض، یک فایل میتواند شامل چندین (Alternate Data Stream (ADS یا جریان های اطلاعاتی جایگزین دیگری هم باشد که با روش های معمولی که میتوان لیست محتویات یک فایل را دید، نمیتوان آن ها را مشاهده نمیشود. به عبارت ساده تر، آن ها بطور معمول از دید کاربر و سیستم مخفی اند. این جریان های اطلاعاتی جایگزین (ADSها) در windows explorer لیست نمیشوند، سایز آن ها به سایز معمول فایل اضافه نمیشود و حتی با کامند "dir" هم خودی نشان نمیدهند. آن ها از بسیاری جهات، نامرئی هستند. با این حال یک جریان اطلاعاتی جایگزین میتواند حاوی اطلاعات متنوعی در دل خود باشد. ممکن است اطلاعات آن ها مربوط به "متا دیتا"، تنظیمات امنیتی یا هر فایل دیگری (تروجان، اطلاعات جاسوسی و ..) باشند.

  • نکته: همانطور که در بخش اول هم اشاره شد، متادیتا یعنی اطلاعاتی در مورد اطلاعات. به این صورت که هر فایلی که شامل اطلاعاتی است، توضیحی با خود به همراه دارد. متادیتا ممکن است ساختار فایل را توضیح دهد و یا ممکن است اطلاعاتی در مورد محتوای فایل داشته باشد. اطلاعاتی از قبیل سایز فایل، آخرین تاریخ ویرایش ان، تاریخ ایجاد آن و ... .

مخفی کردن فایل‌ها با استفاده از ویژگی Alternate Data Stream  - بخش دوم


مدیریت جریان های اطلاعاتی جایگزین (ADS)

یک جریان اطلاعاتی جایگزین با نشانه گذاری خاص خود نامگذاری میشود:
FileName : StreamName
در عبارت بالا منظور از "FileName" همان بخش و جریان اصلی اطلاعات یک فایل است که منظورمان از یک فایل دقیقا به آن اطلاعات اشاره دارد. در واقع در قسمت "FileName" آن چیزی قرار میگیرد که windows explorer از فایل ما نشان خواهد داد. در ادامه علامت " : " و بعد از آن نام جریان اطلاعاتی را خواهیم نوشت. دقت کنید که یک فایل میتواند بیش از یک جریان اطلاعاتی را در خود جای دهد. در برخی حالات نام جریان میتواند بصورت یک شناسه یونیک (GUID) و با فرمت هگزادسیمال و یا یک "FileName" دیگر باشد. من قصد دارم تا از جزئیات مربوط به حالات مختلف یک جریان اطلاعاتی عبور کنم و مستقیما بحث را محدود به زمانی کنم که جریان اطلاعاتی جایگزین، خود یک فایل دیگر است. بطور مثال فایل Ehsan.txt را به عنوان یک جریان اطلاعاتی جایگزین در فایل paint.exe وارد و مخفی کنیم.

پیدا کردن جریان های اطلاعاتی جایگزین (ADS)

سوال اینست: تا زمانی که جریان های اطلاعاتی جایگزین مخفی هستند و در مکان های معمول قابل رویت نیستند، چطور میشود آن ها را پیدا کرد؟ساده ترین راه دانلود کردن یکی از ابزارهایی است که مخصوص لیست کردن و نشان دادن ADS ها هستند. در این جا دو ابزار را تست خواهیم کرد؛ اولین آن "Streams" از شرکت "Microsoft sysintrenals" و دیگری "LADS" از شرکت "Frank Heyne" است که در میان دیگر رقبا میتوان گفت بهتر کار میکنند.

هر فایل یا فولدری را که به ان معرفی کنید، لیست تمامی جریان های اطلاعاتی جایگزین موجود در آن را بشما نشان خواهند داد.اعمالی را که در زمینه ADS انجام خواهیم داد غالبا در محیط Command Prompt صورت خواهند گرفت و ابزاری را که معرفی کردیم، هرکدام یک فایل هستند که در محیط Command Prompt اجرا و مورد استفاده واقع خواهند شد.یکی از دستوراتی که ابزار "streams" از آن استفاده میکند، بصورت زیر است:

Streams somefolder \ *

این عبارت هر جریان اطلاعاتی جایگزینی را که در فولدر معرفی شده وجود داشته باشد، بصورت لیست شده نشان خواهد داد. به یاد داشته باشید که لیست ADS ها معمولا شامل نمادهایی است که نوع محتوا را نشان میدهند. یک لیست ممکن است به فرمت زیر باشد:
Somefile : somestream : $Data
"Data$"، هویت استریم را نشان میدهد. ابزار "Streams" در اینجا فقط نام ADS ها را نشان خواهد داد و کاری به محتوای آن ها ندارد.

پایان بخش دوم
مانا باشید.

نویسنده: احسان امجدی
منبع: انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#جریان_اطلاعاتی_جایگزین_چیست؟ #(alternate_data_stream_(ads_چیست؟ #آموزش_امنیت_اطلاعات #جریان_جایگزین_اطلاعاتی_چیست؟ #منظور_از_استریم_چیست؟ #alternate_data_stream_چیست؟ #آموزش_امنیت_شبکه #چگونه_امنیت_را_در_شبکه_برقرار_کنیم
عنوان
1 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 1 رایگان
2 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 2 رایگان
3 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 3 رایگان
4 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 4 رایگان
5 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 5 رایگان
6 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 6 رایگان
زمان و قیمت کل 0″ 0
1 نظر
میثم رضوان دوست

با سلام خدمت آقای مهندس امجدی عزیز

مطلب خیلی جالبی بود

متشکر و سربلند باشید

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....