Hoy les vengo a presentar LAGADS.exe una simple herramienta que programé para poder listar, borrar y extraer facilmente y automaticamente ADS.¿Por qué de la herramienta?Porque normalmente para ver algo oculto (conociendo el ADS) hacemos:
more <Archivo.extension:ADSPero eso solo nos mostrara los caracteres imprimibles en la consola, entonces necesitamos hacer algo para extraerlo. Y hay varias maneras de hacerlo:
- Darle una salida al comando (pero los bytes se corrompen)
- Usar mspaint (en caso de imágenes)
- Usar Firefox
- PROGRAMAR!!!
<?php $file=file_get_contents('/ruta/carpeta/archivo.hex:ADS'); echo $file;?>Simplemente hay que leer el archivo con el ADS y escribirlo en un nuevo Fichero.LAGADS.exe nos facilita esta tarea…Realemente es muy sencillo el funcionamiento.Tenemos 4 Opciones:
- Listar ADS (lista los ADS usando LADS.exe)
- Extraer ADS (extrae el ADS)
- Borrar ADS (borra un ADS Existente dejando limpio el archivo)
- Ayuda (muestra informacion sobre LAGADS.exe)
- Programado en Python y compilado para creacion del ejecutable con py2exe
- Peso del Script en python de 124Kb y el ejecutable con todas las dependencias y librerias 4.85Mb
- Cada opcion del programa explica su funcionamiento
- El programa hace uso de LADS.exe de Frank Heyne, LAGADS.exe tiene dentro de si los bytes de LADS.exe, y crea temporalmente LADS.exe cuando se elige listar los ADS, despues de acabar esta operacion LADS.exe se destruye
- Para la creacion temporal de LADS.exe hago uso de unos scripts propios llamados getbytes.py y addbytes.py. Dos programas que parecerian inutiles para cualquiera, pero que a mi me han ayudado bastante para algunas cosas,
- Por obvias razones solo funciona en particiones NTFS (la tecnica de ADS mas no el programa, el programa sirve donde sea, pero no tiene caso fuera de particiones NTFS por que no se preservara el ADS)
[youtube 6hSwdIDzddU nolink]
Bueno sin mas Pueden Descargar LAGADS.exe de aquiY claro sus respectivos hash:Md5 = 20683539b00fd2b7029b3744504de8dcsha256sum = 06ed83a1ea3c59ec2fcc645c4e3758ba845c0dc52004de526a684f7f78b4f661
Héctor Cuevas Cruz (hecky), Twitter
[...] This post was mentioned on Twitter by 4v4t4r and Flu, Juan Antonio Calles. Juan Antonio Calles said: RT @fluproject LAGADS.exe – Lista, Extrae y borra ADS http://bit.ly/fJgbtp [...]
ResponderEliminarMe parece que los ADS no son algo muy difundido y una pequeña introduccion no vendria mal a los usuarios mas novatos, como yo por ejemplo, en temas de seguridad. Les digo lo que pude averiguar leyendo un poco....Una de las características desconocidas en el sistema de archivos NTFS son los "alternate data streams" (ADS) los cuales existen por compatibilidad con el sistema de archivos "Macintosh Hierarchical File System" (HFS) y se usan para mantener información asociada con un fichero: iconos por ejemplo....Los peligros que esto causa basicamente es ocultar codigo malicioso ya que los antivirus no los detectan.Espero haber aportado algo de luz!
ResponderEliminarAleo, creo que con esto tiene que ser suficiente ;)http://fav7.com/K29Saludos
ResponderEliminarHola @Aleo, echa un vistazo a este hilo del foro, donde hace unas semanas hablamos del tema:http://www.flu-project.com/forum?mingleforumaction=viewtopic&t=13saludos!
ResponderEliminarHola Aleo, gracias por tu generosa contribución, pero realmente yo si creo que los ADS son muy difundidos, en todos lados hablan de la técnica para ocultar por medio de ADS.Por muy aparte de los enlaces que nos provee amablemente nuestro amigo novlucker(que por cierto el de kriptopolis me parece desde siempre excelente). Te comparto esta serie de postshttp://neobits.org/?cat=24y este de vierito donde nos habla sobre motar particiones NTFS en linux y ver los ADShttp://bit.ly/ecYLX8Saludos ;)
ResponderEliminarMuy buena herramienta , gracias. Por otro lado estoy deacuerdo con @Aleo, una pequeña introduccion no viene nada mal, yo tampoco sabia que eran los ADS (consulte en google y algo encontre). Recuerda que hay usuarios mas avanzados y otros novatos, y la informacion es infinita.
ResponderEliminarHola will tienen razon ahora que lo pienso, pero comento como paso:Este post orginalmente esta en mi web hace un tiempo http://neobits.org/?p=624 y en mi web tambien ya eh hecho una serie de varios tutoriales sobre ADS, por eso no esta mencionado aqui.Pablo y Juanan me comentaron que les agrado la herramienta y el post de mi web y que querian compartir la información aqui, entonces ya no hice ninguna modificacion, de hecho yo ya no hizo nada :P por dicha razon no hay introduccion sobre ADS.Aun así entre los links que puso novlucker y yo hay mucha informacion de ADSSaludos ;)
ResponderEliminar