20 may 2011

ADS, Alternate Data Streams, NTFS

Los ADS son por muchos conocidos dentro del mundo de la informática, y sobretodo de la seguridad. Un ADS es un flujo alternativo o un fichero dentro de otro fichero. Normalmente, siempre se piensa que un fichero es una secuencia de bytes ordenados accesibles, pero esta definición cambia con NTFS ya que este sistema de ficheros puede albergar distintos flujos de datos. NTFS dispone de un flujo de datos principal que es el referenciado cuando se trabaja con el nombre de un fichero, pero si nosotros volcamos un texto de la siguiente manera:

echo "hola" > prueba:jj.txt

Si nos fijamos en el fichero prueba su peso será de 0 bytes, ya que no se ha volcado sobre su flujo principal. Para ver el contenido volcado se ejecutan los comandos vistos en la imagen.

Hay que tener en cuenta que estos flujos son una característica de NTFS, por lo que si copiamos un archivos con distintos flujos de datos a un sistema de ficheros FAT32 solo se copiará el flujo principal.

Hay que tener en cuenta que se puede meter un fichero binario en un flujo alternativo, por lo que es idóneo para esconder algún tipo de información, binario, fotografía (por desgracia, es bastante utilizado por pedófilos), etc.

Es importante resaltar que se puede utilizar el comando START para ejecutar un programa guardado como ADS dentro de un inocente fichero de texto. Sin embargo, el comando START 'se confunde' si no se especifica el path completo al fichero.

A partir de Windows Vista y de Windows Server 2008, el comando DIR cuenta con el modificador /R para listar los ADS dentro de un fichero. Pero para los usuarios de sistemas operativos anteriores es bastante más difícil saber si quiera, si un fichero contiene ADS o no.

Os dejo con un video para que veáis lo fácil que es trabajar con estos flujos alternativos, y dejar a la imaginación de cada uno lo que se puede hacer con ellos.

[youtube h96meoDYWSg nolink]

5 comentarios:

  1. Has coincidido con el mismo tema… http://blog.s21sec.com/2011/05/tip-5-seguridad-como-ocultar.html#more

    ResponderEliminar
  2. Pues sip, pero esto es mas antiguo que el mear... ;)

    ResponderEliminar
  3. Vaya como siempre trabajando a altas horas de la noche.Gracias por hacer el esfuerzo de públicar Pablo.Saludos!

    ResponderEliminar
  4. [...] ADS, Alternate Data Streams, NTFS [...]

    ResponderEliminar