در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 3

مشاهده و دسترسی جریان های اطلاعاتی جایگزین (ADS)

اگر شما نام استریم را بدانید، میتوانید با استفاده از برخی از اپلیکیشن های ویندوزی، استریم را ببینید و حتی آن را اجرا کنید. اگر جریان مورد نظر از متن تشکیل شده باشد، میتوان در محیط دستوری، فرمان زیر را وارد کرد:
Echo > {path} somefile.txt : somestream.txt
  • نکته: در مثال بالا، منظور از somefile و somestream به ترتیب هرفایلی و هر استریمی میباشد.
در خروجی شما میتوانید متن استریم را مشاهد کنید. علاوه بر این برای مشاهده استریم های متنی، میتوانید در محیط دستوری، از notepad هم استفاده نمایید:
Notepad {path} somefile.txt : somestream.txt

در ادامه نوت پد باز خواهد شد و متن را نشان میدهد. در مثال بالا برای استفاده از اپلیکیشن هایی نظیر notepad، حتما باید مسیر کامل استریم را قید کنید.یک استریم علاوه بر محتوای متنی، میتواند محتوایی باینری و یا حتی اجرایی داشته باشد. برای مثال استریم میتواند از جنس یک عکس باشد؛ در این صورت اپلیکیشن paint میتواند آن را باز کند؛ پس:

Mspaint {path} somefile.txt : somepicture.gif

توجه داشته باشید که این موضوع برای تمامی برنامه های گرافیکی ممکن است صدق نکند و اگر بجای mspaint در مثال بالا نرم افزار دیگری را جایگزین کنید، ممکن است کار نکند.به یاد داشته باشید که هر فایلی که بصورت یک استریم متنی باشد، میتواند یک یا چندین استریم باینری هم داشته باشد.


استریم های اجرایی ( Executable Streams )

هرفایل اجرایی میتواند در یک فایل متنی بصورت یک استریم قرار گیرد. این در حالی است که این استریم اجرایی به هیچ وجه سایز فایل متنی را افزایش نمیدهد و اگر فایل متنی در ابتدا 1 کیلوبایت باشد، پس از اضافه شدن یک استریم اجرایی به آن (استریم مخفی و گاها حجیم)، باز هم همان سایز را خواهد داشت.اگر در یک فایل متنی، یک استریم اجرایی واقع باشد، بصورت زیر میتوان آن را اجرا کرد:

Start {path} somefile.txt : someprogram.exe
بازهم قید میکنیم که حتما باید مسیر کامل فایل وارد شود.

چگونه جریان های اطلاعاتی جایگزین را ایجاد کنیم؟

خوب میتونم بگم که در این بخش به جایی رسیدیم که از اول سری مباحث ADS بدنبال آن بودید. به نوعی این امکان وجود داشت که این بخش را اول بگوپم اما از آنجایی که لازمه درک صحیح این مفهوم، یادگیری جوانب دیگر آن نیز هست و معمولا به ان توجهی نمیشود، تصمیم گرفتم که این بخش را در قسمت سوم مطرح کنم.اضافه کردن یک استریم جایگزین به یک فایل موجود بسیار ساده است. مجددا از محیط دستوری استفاده خواهیم کرد. برای ایجاد یک استریم جدید که شامل چندین فایل متنی هست، از دستور زیر استفاده میکنیم:

Echo {some text (optional)} > {path} somefile : addedtext.txt

در این صورت فایل "somefile"، شامل استریمی با فایل متنی "addedtext.txt" خواهد شد که محتوای این فایل متنی، همان عبارتی است که میتوان بصورت دلخواه پس از دستور echo وارد کرد.برای اضافه کردن یک فایل کامل (به عنوان استریم) که شامل چندین فایل باینری هست، از طریق فرمان زیر عمل میکنیم:

Type {path} programfile.exe > {path} somefile : addedfile.txt
استریم های جایگزین با دستوراتی مشابه دستورات بالا میتوانند به یک دایرکتوری هم وصل شوند.

ملاحضات امنیتی

همانطور که مشاهده کردید، از آنجایی که فایل های اجرایی هم میتوانند در کنار یک فایل دیگر خود را پنهان کنند، بنابراین این امکان نیز وجود دارد تا با این روش فایل های آلوده پنهان و بدون اطلاع کاربر خود را اجرا کنند. خوشبخانه غالب آنتی ویروس های معتبر و بروز، میتوانند استریم های جایگزین را شناسایی کنند. علاوه بر این اگر فایل مورد نظر که حاوی استریم جایگزین است، به داخل یک مدیای غیر NTFS مثل دیوایس های پرتابل (فلش درایو و ..)کپی شود و یا بصورت فایل ضمیمه داخل یک ایمیل اضافه شود، بطور خودکار فایل پنهان آن پاک خواهد شد. بنابراین فایل داخل استریم با روش های معمول دانلود، نمیتواند به حیات خود ادامه دهد. از طرفی دیگر اگر با ابزار "streams" که در بخش قبل معرفی شد، استریمی را شناسایی کردید، با استفاده از یکی از سوئیچ های آن میتوانید ADS را پاک کنید.

پایان
مانا باشید.

نویسنده: احسان امجدی
منبع: انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
#(alternate_data_stream_(ads_چیست؟ #چگونه_امنیت_را_در_شبکه_برقرار_کنیم؟ #آموزش_امنیت_اطلاعات #استریم_های_جایگزین #جریان_جایگزین_اطلاعاتی_چیست؟ #منظور_از_استریم_چیست؟ #alternate_data_stream_چیست؟ #آموزش_امنیت_شبکه
عنوان
1 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 1 رایگان
2 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 2 رایگان
3 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 3 رایگان
4 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 4 رایگان
5 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 5 رایگان
6 Alternate Data Stream چیست و چگونه با آن فایل مخفی کنیم ؟ قسمت 6 رایگان
زمان و قیمت کل 0″ 0
1 نظر
میثم رضوان دوست

با سلام خدمت آقای مهندس امجدی عزیز

استفاده کردیم

متشکر و سربلند باشید

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....