एनटीएफएस अदृश्य निष्पादन की अनुमति क्यों देता है?

105

आप किसी भी फाइल को टाइप करके किसी अन्य फाइल के अंदर छिपा सकते हैं:

type sol.exe > container.txt:sol.exe

और फ़ाइल को छुपाने के लिए फ़ाइल का उपयोग करें:

start c:\hide\container.txt:sol.exe

लेकिन इसके बारे में पागल हिस्सा यह है कि यह फ़ाइल का आकार नहीं बढ़ाता है (इसलिए यह पूरी तरह से छिपा हुआ है)।

और यदि आप फ़ाइल को अंदर छिपे हुए सामान से हटाते हैं, तो छिपा हुआ सामान नष्ट नहीं होता है। महज प्रयोग करें:

more <  container.txt:sol.exe > sol.exe

NTFS इसकी अनुमति क्यों देता है? यह वायरस को छिपाने का सबसे अच्छा तरीका लगता है।

windows  ntfs  virus  alternate-data-stream 
Kredns
स्रोत
1
अच्छा लगता है, मैक रिसोर्सफ़ॉर्क जैसा लगता है।
स्टेफानो बोरीनी
15
इससे भी बदतर, जब आप sol.exe को इस तरह शुरू करते हैं, तो कार्य प्रबंधक कंटेनर नाम के रूप में प्रक्रिया का नाम दिखाता है
hasen
16
हमें google को बम बनाना चाहिए ताकि "डरावना" इस सवाल की ओर
बढ़े
4
जब तक यह चारों ओर रहा है, यह अभी भी ए वी डेवलपर्स / अन्य लोगों को चलाने के लिए आश्चर्यजनक है जो फाइलसिस्टम के साथ बहुत अधिक काम करते हैं जो अभी भी इसके बारे में नहीं जानते हैं। मैं औसत ऐप डेवलपर से इसके बारे में जानने की उम्मीद नहीं करता हूं क्योंकि इसकी कोई आवश्यकता नहीं है, लेकिन अगर आप फाइल सिस्टम के सामान में भारी हैं ... :-)
ब्रायन नोब्लाच
माना जाता है कि आप किसी फ़ोल्डर में ADS भी संलग्न कर सकते हैं। आप फ़ोल्डर को हटाकर ADS को हटा सकते हैं, लेकिन जब फ़ोल्डर आपके ड्राइव का रूट होता है, तो आप अपने C: ड्राइव को हटा नहीं सकते हैं, उदाहरण के लिए, ड्राइव में सुधार किए बिना। मुझे (?) के लिए एक छिपे हुए रूटकिट वायरस बनाने के लिए एक तंत्र की तरह लगता है।
हाईटेकटेक

जवाबों:

98

इस प्रश्न के दो पक्ष हैं। पहला यह है कि यह सुविधा बिल्कुल क्यों मौजूद है, और दूसरा यह है कि GUI (या कमांड प्रॉम्प्ट) सुविधा को देखने और प्रबंधित करने में आसान क्यों नहीं है।

यह मौजूद है क्योंकि यह उपयोगी है। कई अन्य प्लेटफ़ॉर्म प्रति फ़ाइल कई डेटा स्ट्रीम का समर्थन करते हैं। उदाहरण के लिए, मैक पर, उन्हें कांटे कहा जाता था । मुझे यकीन है कि मेनफ्रेम दुनिया में ऐसी ही चीजें मौजूद थीं, लेकिन आज मैं अपनी उंगलियों को किसी भी स्पष्ट उदाहरण पर नहीं रख सकता।

आधुनिक विंडोज पर, इसका उपयोग फ़ाइल के लिए अतिरिक्त विशेषताओं को रखने के लिए किया जाता है। आप देख सकते हैं कि Windows Explorer से उपलब्ध गुण बॉक्स में एक सारांश टैब है जिसे साधारण दृश्य में (मैं विंडोज़ एक्सपी पर हूं, आपका माइलेज अन्य फ्लेवर्स पर अलग होगा) में शीर्षक, विषय, लेखक और जैसे उपयोगी क्षेत्रों का एक समूह शामिल है इसके आगे। उस डेटा को वैकल्पिक स्ट्रीम में संग्रहीत किया जाता है, न कि किसी तरह के साइड-कार डेटाबेस को बनाने के लिए जो इसे आसानी से फ़ाइल से अलग कर देगा।

मार्कर को पकड़ने के लिए एक वैकल्पिक धारा का भी उपयोग किया जाता है जो कहता है कि फ़ाइल एक अविश्वसनीय नेटवर्क स्रोत से आई है जो इंटरनेट एक्सप्लोरर और फ़ायरफ़ॉक्स दोनों द्वारा डाउनलोड पर लागू होती है।

कठिन सवाल यह है कि यह देखने के लिए बेहतर उपयोगकर्ता इंटरफ़ेस नहीं है कि धाराएँ बिल्कुल मौजूद हैं, और उनमें निष्पादन योग्य सामग्री डालना क्यों संभव है और इससे भी बदतर, इसे बाद में निष्पादित करें। अगर यहां बग और सुरक्षा जोखिम है, तो यह है।

संपादित करें:

एक अन्य उत्तर के लिए एक टिप्पणी से प्रेरित, यहां यह पता लगाने का एक तरीका है कि क्या आपके एंटी-वायरस और / या मैलवेयर-रोधी सुरक्षा वैकल्पिक धाराओं से अवगत हैं।

EICAR परीक्षण फ़ाइल की एक प्रति प्राप्त करें । यह ASCII पाठ का 68 बाइट्स है जो एक मान्य x86 निष्पादन योग्य भी होता है। हालांकि पूरी तरह से हानिरहित है, यह एंटी-वायरस उद्योग द्वारा पता लगाने के लिए सहमत हो गया है जैसे कि यह एक वास्तविक वायरस था। प्रवर्तकों ने सोचा कि एक असली वायरस के साथ एवी सॉफ्टवेयर का परीक्षण आग की तरह कचरे के ढेर को जलाकर फायर अलार्म का परीक्षण करने के लिए थोड़ा बहुत होगा ...

EICAR फाइल है:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

इसे एक्सटेंशन के साथ सहेजें .COMऔर यह निष्पादित करेगा (जब तक कि आपका एवी ध्यान नहीं दे रहा है) और ग्रीटिंग प्रिंट करें।

यह वैकल्पिक डेटा स्ट्रीम में इसे सहेजना और स्कैन चलाने के लिए जानकारीपूर्ण होगा ...

RBerteig
स्रोत
11
डिज़ाइन की गई फ़ाइल का आकार केवल मुख्य $ DATA स्ट्रीम का आकार दिखाता है। थीस वह भी है जो आप आमतौर पर चाहते हैं। आप फ़ाइल नाम की लंबाई (जो कि मेटाडेटा का एक प्रकार है) को फ़ाइल आकार में भी शामिल नहीं करते हैं। सुरक्षा जोखिम के रूप में। ADS किसी भी व्यक्तिगत फ़ाइल की तुलना में अधिक जोखिम नहीं है। मैंने किसी भी मैलवेयर के बारे में नहीं सुना है जो उन तंत्रों के साथ सफलतापूर्वक फैल गया / छिप गया।
जॉय
4
आप गलती से किसी पाठ फ़ाइल के ADS में संग्रहीत निष्पादन योग्य नहीं चला सकते हैं। यह आम उपयोगकर्ता के लिए बहुत अच्छी तरह से छिपा हुआ है, गलती से इसे चलाने के लिए। आपको पहले समझौता करने की आवश्यकता होगी।
आर। मार्टिनो फर्नांडिस
7
@ यश: मार्टिनो ने इसे कीलित कर दिया - ऐसी अस्पष्टता जिससे इस तरह की धारा पर एक निष्पादन योग्य खोजने में कठिनाई होती है, यह सक्रिय रूप से प्रयास किए बिना एक को निष्पादित करना कठिन बनाता है। इसके विपरीत, कहें, संपूर्ण "छिपी हुई फ़ाइल एक्सटेंशन" फ़ाइस्को, जहां निष्पादन योग्य फ़ाइलें जीयूआई में पाठ फ़ाइलों को कहते हैं, और अभी भी बहुत आसानी से निष्पादित होती हैं।
Shog9
3
मान लें कि आपके पास एक AV है जो कम से कम वास्तविक समय पर .COM फ़ाइल पर ध्यान दे रहा है, तो आप इसे ADS के रूप में संलग्न नहीं कर पाएंगे क्योंकि AV आपको .COM फ़ाइल तक पहुँचने से रोक देगा (ADS के रूप में संलग्न करने के लिए एक का उपयोग करने की आवश्यकता है। फ़ाइल)। हालाँकि आपको EICAR स्ट्रिंग के साथ एक टेक्स्ट फ़ाइल संलग्न करने और ADS के अंदर .COM एक्सटेंशन के साथ नाम रखने में सक्षम होना चाहिए। यानी टाइप करें EICAR.txt> test.txt: EICAR.COM
KTC
2
EICAR.COM फ़ाइल के बारे में अच्छा तथ्य: यह विंडोज के किसी भी 64-बिट संस्करण पर नहीं चलेगा, इसलिए मुझे लगता है कि यह ट्रिक अब काम नहीं करेगी क्योंकि हर कोई 64-बिट मशीनों (जो अभी भी शायद थोड़ी देर होगी) पर है।
Kredns
15

विंडोज सर्वर के क्रॉस प्लेटफॉर्म फीचर के लिए यह सुविधा आवश्यक है: मैक के लिए सेवाएं।

यह एएफपी के माध्यम से मैक पर एनटीएफएस शेयर पर चलने वाला एक विंडोज़ सर्वर की अनुमति देता है। इस सुविधा को काम करने के लिए, NTFS फ़ाइल सिस्टम को कांटे का समर्थन करना है, और यह पहले दिन से है।

और इससे पहले कि आप पूछें, क्या यह सुविधा अभी भी उपयोग की जाती है? हां यह है कि मेरे पास यह चल रहा है और एक क्लाइंट में एक सर्वर पर दैनिक उपयोग में है जो मैं समर्थन करता हूं।

मुख्य सुरक्षा मुद्दा तब आता है जब लोग और एप्लिकेशन भूल जाते हैं या महसूस नहीं करते हैं कि यह वहां है।

संभवतः कुल फ़ाइल आकार में कांटे को शामिल करने या उन्हें विंडोज़ एक्सप्लोरर में दिखाने के लिए एक विकल्प होना चाहिए।

ब्रूस मैकलियोड
स्रोत
2
यदि आप वोट डालने जा रहे हैं, तो कृपया टिप्पणी करें कि क्यों।
ब्रूस मैकलॉड
2
यह सुविधा के लिए पहली जगह में मौजूद होने के लिए पूरी तरह से प्रशंसनीय कारण की तरह लगता है।
RBerteig
3
केवल मैक के लिए फ़ाइल साझाकरण की अनुमति देने के लिए इस सुविधा को जोड़ना एक प्रशंसनीय कारण की तरह नहीं लगता है। नेटवर्क पर साझा करने के लिए फ़ाइल को सर्वर साइड पर संग्रहीत करने की आवश्यकता नहीं होती है। मैंने कई * nix Apple शेयरिंग सर्वर देखे हैं जो फ़ाइल को डेटा और संसाधन जानकारी में विभाजित करते हैं। यह क्लाइंट के लिए पारदर्शी है। एएफपी की अनुमति देने के लिए केवल वास्तविक ड्राइव प्रारूप को बदलना वास्तविक नहीं लगता है। एक अच्छा लाभ हो सकता है लेकिन इस सुविधा के लिए REASON के रूप में नहीं।
Sim
2
हाँ, मैं सोच रहा हूँ [उद्धरण वांछित] यदि आप यह दावा करने जा रहे हैं कि एसएफएम मुख्य कारण है जो एमएस ने एनटीएफएस में एडीएस लागू किया है।
१०:३१ पर दोपहर
3
प्रशस्ति पत्र मिला: ... एडीएस क्षमताओं जहां मूल रूप से Macintosh पदानुक्रमित फ़ाइल सिस्टम, HFS के साथ संगतता के लिए अनुमति देने के लिए कल्पना की ; जहाँ फ़ाइल जानकारी को कभी-कभी अलग संसाधनों में कांटा जाता है। वैकल्पिक डेटा स्ट्रीम को विभिन्न प्रकार के कार्यक्रमों द्वारा वैध रूप से उपयोग किया जाता है, जिसमें फ़ाइल जानकारी जैसे कि विशेषताओं और अस्थायी भंडारण को संग्रहीत करने के लिए देशी विंडोज ऑपरेटिंग सिस्टम शामिल है। स्रोत: windowsecurity.com/articles/Alternate_Data_Streams.html
JamesBarnett
5

मैं मुख्य उपयोगों में से एक की कल्पना करूँगा (शायद अभी भी उपयोग किया गया) किसी फ़ाइल को किसी भी तरह के मेटा-डेटा के अतिरिक्त अनुमति देने के लिए। फ़ाइल का आकार नहीं बदलने का कारण इस परिदृश्य में है कि आप फ़ाइल को किसी अलग तरीके से देखने या व्यवहार करने के लिए नहीं चाहते हैं कि जिस तरह से फ़ाइल दिखती है, उसके मूल पहलू पर निर्भर करती है।

मैं उदाहरण के लिए आईडीई में दिलचस्प उपयोगों की कल्पना कर सकता हूं, जहां कभी-कभी एक इकाई (कोड फ़ाइल / फॉर्म फ़ाइल, आदि) बनाने के लिए कई फाइलें शामिल होती हैं, जो मूल फ़ाइल से इस तरह से जुड़ी हो सकती हैं ताकि वे गलती से अलग न हो सकें।

मेरा यह भी मानना ​​है कि किसी दिए गए डायरेक्टरी ट्री में ऐसे सभी 'अटैचमेंट' को खोजने की आज्ञा है, इसलिए वे वास्तव में पूरी तरह से छिपे हुए नहीं हैं। यह भी मुझे आश्चर्यचकित करेगा कि अगर बेहतर वायरस स्कैनर को इस बारे में जानकारी नहीं है और इन 'छिपे हुए' क्षेत्रों की जांच करते हैं, लेकिन आप जांच कर सकते हैं कि किसी संक्रमित फ़ाइल को जानबूझकर किसी पाठ फ़ाइल में संक्रमित किया गया है या नहीं और देख रहा है।

jerryjvl
स्रोत
क्या आप इस तरह के निष्पादन योग्य के लिए एक लिंक पोस्ट कर सकते हैं ताकि मैं कोशिश कर सकूं? ;)
आर। मार्टिनो फर्नांडिस
मेरा सुझाव है कि आप अपने मशीन पर AVG चलाएं, और फिर संगरोध फ़ोल्डर से एक निष्पादन योग्य
वस्तु
2
@martinho, आप EICAR परीक्षण फ़ाइल चाहते हैं: X5O! P% @ AP [4 \ PZX54 (P ^) 7CC) 7} $ EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $ H + H * बस उस पाठ को पेस्ट करें (बिल्कुल वही) ASCII पाठ के 68 बाइट, eicar.org/anti_virus_test_file.htm को पूरी कहानी के लिए) एक्सटेंशन .COM नामक एक फ़ाइल में देखें। यह एक संदेश को चलाएगा और प्रिंट करेगा। जब तक आपका एवी काम कर रहा है, निश्चित रूप से। इसे एक वैकल्पिक डेटा स्ट्रीम में छोड़ें और वहां भी जांचें।
RBerteig
@Rerteig: अरे अच्छा ... नहीं पता था कि ऐसी कोई बात है।
jerryjvl
@jerryjvl, जैसा कि वे कहते हैं, यह आग पर कचरे के
ढेर
5

यहां वैकल्पिक डेटा स्ट्रीम द्वारा संभावित संभावित सुरक्षा भेद्यता पर एक अच्छा लेख दिया गया है ।

जेपी अलीतो
स्रोत
6
<नाइटपिक> यह एक खतरा है, खतरा नहीं है </ नाइटपिक>। और यह उतना बड़ा सौदा नहीं है जितना कि यह लगता है। इसका उपयोग करने के लिए आपके पास पहले से ही क्रेडेंशियल होना चाहिए।
रोमन्दास
कोई परेशानी नहीं। Btw, अपनी वर्तनी की जाँच करें। और हमेशा याद रखें: खतरे कमजोरियों का फायदा उठाते हैं। खतरे लोग हैं, आमतौर पर, लेकिन प्राकृतिक और निर्मित आपदाओं की भी गिनती होती है।
रोमन्दास
@romandas, आपको पहले से क्या साख की आवश्यकता है? घर पर अधिकांश विंडोज उपयोगकर्ता (विशेष रूप से XP) व्यवस्थापक विशेषाधिकारों के साथ चल रहे हैं, इसलिए यह एक बड़ी बात नहीं है क्योंकि यह लगता है?
ऐश
@ आश, "छिपाने की एक विधि के साथ ... एक भंग प्रणाली पर"। सिस्टम को पहले से ही कुछ भी छिपाने के लिए पहले से ही समझौता करना पड़ता है, और इसी तरह कुछ भी छिपा हुआ निष्पादित करने के लिए।
KTC
5

अच्छा सवाल है, मुझे पिछले साल तक ADS के बारे में ठीक से जानकारी नहीं थी और मैं कई सालों तक विंडोज डेवलपर रहा। मैं गारंटी दे सकता हूं कि मैं इस पर अकेला नहीं हूं।

फ़ाइलों पर वैकल्पिक डेटा की जांच करने में सक्षम होने के बारे में, मुझे फ्रैंक हेने सॉफ्टवेयर से उपलब्ध लैड्स नामक उपयोगी छोटा उपकरण मिला । यह किसी दी गई निर्देशिका में सभी फ़ाइलों पर ADS को सूचीबद्ध कर सकता है, यहां तक ​​कि एन्क्रिप्ट की गई फ़ाइलों (और उपनिर्देशिकाओं के भीतर) पर भी।

एश
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.