Veel ühes eelmises artiklis olime näinud väikest trikki failide peitmiseks fotol, mille laiend on .jpg.
Sel juhul oli kõik tehtud selleks, et luua pildifaili sisse winrari arhiiv, kuhu iganes soovite.
On selge, et selle .jpg-faili suurus muutub suuremaks sõltuvalt sellest, kui palju faile selles on. Selle avamiseks tehke lihtsalt "Ava koos .." ja valige Winrar.
Kuid viirused ei varja seda, mitte ainult, et seda oleks lihtne leida, vaid ka .rar-arhiiv on täiesti kahjutu, ei ava midagi mälus ega aktiveeri ühtegi protsessi.
Neid nimetatakse ADS ( Alternate Data Stream ) - need failid, mis on peidetud teise faili sisse, muutmata selle suurust ja jäädes Windowsi vaate eest täielikult varjatuks .
ADS-i sisaldava faili avamisel ja käivitamisel aktiveerib see ADS-i ja käivitab selle alusel programmi.
Selles artiklis näeme, kuidas saate hõlpsalt oma arvutiga ADS-i luua ja peita faili teise sees, nii et ADS-i käivitamisel aktiveeritakse see omal kohal.
1) Avage Windows Explorer, minge kettale C: ja looge uus kaust, mida võime nimetada reklaamiks.
2) Katse sisselülitamiseks looge uus tekstifail ja nimetage see "test.txt" ning kopeerige kõik fotod või pildid, mis on arvutis ja mida saab ümber nimetada immagine_test.jpg.
3) Avage käsk, mis asub Star -> Programmid -> Tarvikud või minnes Start -> Run -> ja kirjutage " cmd "
4) Kirjutage nüüd cd \ ads, et sisestada Dos'i kaudu enne loodud kausta.
5) Elementaarse ADS-i loomiseks ja mõistmiseks, mis need on, võite kirjutada " echo Ciao bello> test.txt: testonascosto.txt "; võite märgata, et reklaamide kausta pole faile lisatud.
6) Kirjutage kiirele väljale " notepad test.txt: testonascosto.txt " ja justkui võlujõul avaneb notepad koos varem kirjutatud tekstiga; tegelikult on midagi kirjutatud peidetud, mis jääb arvutis nähtamatuks, välja arvatud seda tüüpi käsku täites.
Kui uudishimu hakkab häkitama vaimu, mis meis kõigis on, siis lähme edasi ja vaatame, mida veel teha saab.
7) Kui teksti peitmist saavad kasutada ainult CIA spioonid, võib häkker mõelda selle tehnika kasutamisele halva faili varjamiseks hea sees.
Praktilise katse tegemiseks võite kopeerida calc.exe-faili kaustas Reklaamid, mis asub Windowsi süsteemikaustas ja mida kasutatakse tavalise kalkulaatori avamiseks.
Faili kopeerimiseks reklaamide kausta kirjutage käsureale lihtsalt " copy C: \ windows \ system32 \ calc.exe c: \ ads ".
8) Nüüd saate faili calc.exe sisestada image_test.jpg faili, mille me juba varem tegime ja mis peaks ikkagi asuma kaustas Ads.
Selle sissetungimise jaoks peate kirjutama mustale DOS-i aknale, mida me pole siiani sulgenud: " kirjutage immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) tulemus: kui käivitate faili calc.exe, ei juhtu midagi imelikku; kui alustate faili calc.exe arvutamisest, kirjutades järgmiselt: alustage ./calc.exe : immagine_test.jpg või alustage C: \ ads \ calc.exe: immagine_test.jpg (see võtab alati kogu tee), avaneb see 'enne valitud pilt, mitte kalkulaator; kui kustutate image_test faili kaustast Ads, siis tulemus ei muutu.
See tähendab, et jpg-fail on peidetud calc.exe-faili sisse, seda pole enam näha, calc.exe-i suurus on jäänud muutumatuks ja miski ei viita andmevoo olemasolule.
Erinevalt Winrariga kasutatavast meetodist pole seekord arhiivi ning peidetud fail aktiveeritakse ja käivitatakse masina käivitamisel, klõpsates avatud kausta failil calc.exe, pilti ei ilmu.
Samuti saate peita faile kausta sees, mis näib ekslikult olevat tühi.
10) Saate luua reklaamide sees uue kausta ja nimetada seda Ads2-ks ning seejärel Dos-ist kirjutada cd Ads2 ja sisestada käsk " type c: \ ads \ calc.exe>: pippo.exe "; fail calc.exe on kaustas Ads2, kuid te ei näe seda ei käsuga " dir ", mis näitab kataloogides olevaid faile, ega ka tavalise graafilise liidese abil ressursse uurides.
Need on üsna vanad nipid, kuid paljud neist pole teada ka seetõttu, et tegelikult pole neil reaalset kasu, vähemalt tavakasutajate jaoks; nad on halvad häkkerid, kes neid ära kasutavad, ja on varem andmevoogude abil palju kahju teinud.
Kui kujutada ette, et meie ülaltoodud näites oli ta tavalise ja kahjutu pildifaili asemel peitnud kalkulaatori sisse tõelise viiruse, on see valu.
Kui tõeline viirus kutsub ennast ise, näiteks svchost.exe, mis on tegumihalduris mitu korda kohal, oleks seda tõesti keeruline leida.
Sellega ei lõpe siin, sest asjatundlik häkker teab, et sellised programmid nagu kalkulaator või märkmik asuvad alati teel C: \ Windows \ System32, seega võib see potentsiaalselt selle faili rikkuda, ilma et peaks midagi uut looma.
Kuid ilma viirusi ebamugavaid asju tehes võite 10 GB faili peita 10 GB faili ja mõistmata, miks te võite end leida lukustatud arvutiga ja ilma suurema ruumita.
Õnneks on need turvaprobleemid suures osas ületatud, viirusetõrjeprogrammid leiavad lennult varjatud viirusi ja on üsna ebatõenäoline, et teid rünnatakse, kui olete kaitstud.
Ainus soovitus, mille ma pean tegema, on see, et arvestades pahatahtliku faili loomise hõlpsust, ei oleks võõrastelt failide vastuvõtmine vastuvõetav, näiteks MSN-i kaudu või postiga, isegi kui need oleksid fotod, pildid, muusika, tekstifailid või mis iganes.
Rekordina töötavad ADS ainult NTFS-i kettapartitsioonidega, mitte FAT32-ga. Seetõttu on ADS-faili kustutamiseks ADS-faili kustutamiseks võite selle kustutada või FAT32-sektsiooni teisaldada.
Andmevooge saab tuvastada tööriistade abil ning parim on see kuulus Hijackthis, keda oleme selles ajaveebis juba mitu korda kohanud.
Hijackthis leiate "Muud tööriistad" avades utiliidi "ADS Spy", mis skaneerib voogesid ja kui soovite need eemaldada, kuid ausalt öeldes oleks see liigne turvaalane ka seetõttu, et paljud ADS-id on Windowsi jaoks kasulikud ja võite riskida kahju tekitamisega.
Sel juhul oli kõik tehtud selleks, et luua pildifaili sisse winrari arhiiv, kuhu iganes soovite.
On selge, et selle .jpg-faili suurus muutub suuremaks sõltuvalt sellest, kui palju faile selles on. Selle avamiseks tehke lihtsalt "Ava koos .." ja valige Winrar.
Kuid viirused ei varja seda, mitte ainult, et seda oleks lihtne leida, vaid ka .rar-arhiiv on täiesti kahjutu, ei ava midagi mälus ega aktiveeri ühtegi protsessi.
Neid nimetatakse ADS ( Alternate Data Stream ) - need failid, mis on peidetud teise faili sisse, muutmata selle suurust ja jäädes Windowsi vaate eest täielikult varjatuks .
ADS-i sisaldava faili avamisel ja käivitamisel aktiveerib see ADS-i ja käivitab selle alusel programmi.
Selles artiklis näeme, kuidas saate hõlpsalt oma arvutiga ADS-i luua ja peita faili teise sees, nii et ADS-i käivitamisel aktiveeritakse see omal kohal.
1) Avage Windows Explorer, minge kettale C: ja looge uus kaust, mida võime nimetada reklaamiks.
2) Katse sisselülitamiseks looge uus tekstifail ja nimetage see "test.txt" ning kopeerige kõik fotod või pildid, mis on arvutis ja mida saab ümber nimetada immagine_test.jpg.
3) Avage käsk, mis asub Star -> Programmid -> Tarvikud või minnes Start -> Run -> ja kirjutage " cmd "
4) Kirjutage nüüd cd \ ads, et sisestada Dos'i kaudu enne loodud kausta.
5) Elementaarse ADS-i loomiseks ja mõistmiseks, mis need on, võite kirjutada " echo Ciao bello> test.txt: testonascosto.txt "; võite märgata, et reklaamide kausta pole faile lisatud.
6) Kirjutage kiirele väljale " notepad test.txt: testonascosto.txt " ja justkui võlujõul avaneb notepad koos varem kirjutatud tekstiga; tegelikult on midagi kirjutatud peidetud, mis jääb arvutis nähtamatuks, välja arvatud seda tüüpi käsku täites.
Kui uudishimu hakkab häkitama vaimu, mis meis kõigis on, siis lähme edasi ja vaatame, mida veel teha saab.
7) Kui teksti peitmist saavad kasutada ainult CIA spioonid, võib häkker mõelda selle tehnika kasutamisele halva faili varjamiseks hea sees.
Praktilise katse tegemiseks võite kopeerida calc.exe-faili kaustas Reklaamid, mis asub Windowsi süsteemikaustas ja mida kasutatakse tavalise kalkulaatori avamiseks.
Faili kopeerimiseks reklaamide kausta kirjutage käsureale lihtsalt " copy C: \ windows \ system32 \ calc.exe c: \ ads ".
8) Nüüd saate faili calc.exe sisestada image_test.jpg faili, mille me juba varem tegime ja mis peaks ikkagi asuma kaustas Ads.
Selle sissetungimise jaoks peate kirjutama mustale DOS-i aknale, mida me pole siiani sulgenud: " kirjutage immagine_test.jpg> calc.exe: immagine_test.jpg ".
9) tulemus: kui käivitate faili calc.exe, ei juhtu midagi imelikku; kui alustate faili calc.exe arvutamisest, kirjutades järgmiselt: alustage ./calc.exe : immagine_test.jpg või alustage C: \ ads \ calc.exe: immagine_test.jpg (see võtab alati kogu tee), avaneb see 'enne valitud pilt, mitte kalkulaator; kui kustutate image_test faili kaustast Ads, siis tulemus ei muutu.
See tähendab, et jpg-fail on peidetud calc.exe-faili sisse, seda pole enam näha, calc.exe-i suurus on jäänud muutumatuks ja miski ei viita andmevoo olemasolule.
Erinevalt Winrariga kasutatavast meetodist pole seekord arhiivi ning peidetud fail aktiveeritakse ja käivitatakse masina käivitamisel, klõpsates avatud kausta failil calc.exe, pilti ei ilmu.
Samuti saate peita faile kausta sees, mis näib ekslikult olevat tühi.
10) Saate luua reklaamide sees uue kausta ja nimetada seda Ads2-ks ning seejärel Dos-ist kirjutada cd Ads2 ja sisestada käsk " type c: \ ads \ calc.exe>: pippo.exe "; fail calc.exe on kaustas Ads2, kuid te ei näe seda ei käsuga " dir ", mis näitab kataloogides olevaid faile, ega ka tavalise graafilise liidese abil ressursse uurides.
Need on üsna vanad nipid, kuid paljud neist pole teada ka seetõttu, et tegelikult pole neil reaalset kasu, vähemalt tavakasutajate jaoks; nad on halvad häkkerid, kes neid ära kasutavad, ja on varem andmevoogude abil palju kahju teinud.
Kui kujutada ette, et meie ülaltoodud näites oli ta tavalise ja kahjutu pildifaili asemel peitnud kalkulaatori sisse tõelise viiruse, on see valu.
Kui tõeline viirus kutsub ennast ise, näiteks svchost.exe, mis on tegumihalduris mitu korda kohal, oleks seda tõesti keeruline leida.
Sellega ei lõpe siin, sest asjatundlik häkker teab, et sellised programmid nagu kalkulaator või märkmik asuvad alati teel C: \ Windows \ System32, seega võib see potentsiaalselt selle faili rikkuda, ilma et peaks midagi uut looma.
Kuid ilma viirusi ebamugavaid asju tehes võite 10 GB faili peita 10 GB faili ja mõistmata, miks te võite end leida lukustatud arvutiga ja ilma suurema ruumita.
Õnneks on need turvaprobleemid suures osas ületatud, viirusetõrjeprogrammid leiavad lennult varjatud viirusi ja on üsna ebatõenäoline, et teid rünnatakse, kui olete kaitstud.
Ainus soovitus, mille ma pean tegema, on see, et arvestades pahatahtliku faili loomise hõlpsust, ei oleks võõrastelt failide vastuvõtmine vastuvõetav, näiteks MSN-i kaudu või postiga, isegi kui need oleksid fotod, pildid, muusika, tekstifailid või mis iganes.
Rekordina töötavad ADS ainult NTFS-i kettapartitsioonidega, mitte FAT32-ga. Seetõttu on ADS-faili kustutamiseks ADS-faili kustutamiseks võite selle kustutada või FAT32-sektsiooni teisaldada.
Andmevooge saab tuvastada tööriistade abil ning parim on see kuulus Hijackthis, keda oleme selles ajaveebis juba mitu korda kohanud.
Hijackthis leiate "Muud tööriistad" avades utiliidi "ADS Spy", mis skaneerib voogesid ja kui soovite need eemaldada, kuid ausalt öeldes oleks see liigne turvaalane ka seetõttu, et paljud ADS-id on Windowsi jaoks kasulikud ja võite riskida kahju tekitamisega.
