Recommandé, 2020

Choix De L'Éditeur

Créez et exécutez des fichiers ADS cachés dans d'autres fichiers pour lancer n'importe quel programme.

Dans un autre article précédent, nous avions vu une petite astuce pour cacher les fichiers dans une photo avec une extension .jpg.

Dans ce cas, rien n’avait été fait, mais pour créer à l’intérieur du fichier image, une archive Winrar contenant ce que vous souhaitiez.

Il est clair que la taille de ce fichier .jpg devient plus grande en fonction du nombre de fichiers qu'il contient et pour pouvoir l'ouvrir, il suffit de choisir "Ouvrir avec ..." et de choisir Winrar.

Mais les virus ne le cachent pas, non seulement il serait facile de le trouver, mais une archive .rar est totalement inoffensive, elle n’ouvre rien dans la mémoire et n’active aucun processus.

On appelle ADS ( Alternate Data Stream ) les fichiers cachés dans un autre fichier, sans changer la taille ni rester complètement cachés de la vue Windows .

Lorsque vous ouvrez et exécutez un fichier contenant un ADS, vous l'activez et lancez le programme ci-dessous.

Dans cet article, nous voyons comment créer facilement avec votre PC un ADS et cacher tout fichier dans un autre afin que, lorsque vous l'exécutez, le ADS soit activé à sa place.

1) Ouvrez l'explorateur, allez sur le disque C: et créez un nouveau dossier que nous pouvons appeler "Annonces".

2) À l'intérieur, pour tenter l'expérience, créez un nouveau fichier texte, appelez-le "test.txt" et copiez une photo ou une image conservée sur votre ordinateur. Vous pourrez alors le renommer en image_test.jpg.

3) Ouvrez l'invite de commande située dans Star -> Programmes -> Accessoires ou en allant dans Démarrer -> Exécuter -> et écrivez " cmd "

4) Maintenant, écrivez cd \ ads pour entrer, via Dos, dans le dossier créé auparavant.

5) Pour créer un ADS élémentaire et commencer à comprendre ce qu’il est, vous pouvez écrire " echo Hello beautiful> test.txt: testonascosto.txt "; vous pouvez constater qu'aucun fichier n'a été ajouté au dossier d'annonces.

6) Écrivez à l'invite " notepad test.txt: testonascosto.txt " et, comme par magie, ouvrez le bloc-notes avec le texte écrit auparavant; En fait, quelque chose d'écrit est caché, mais il reste invisible sur l'ordinateur si ce type de commande n'est pas exécuté.

Si la curiosité commence à chatouiller l'esprit de pirate informatique qui règne en chacun de nous, allons de l'avant et voyons ce qui peut encore être fait.

7) Si cacher un texte ne peut servir qu'aux espions de la CIA, un pirate informatique peut penser à utiliser cette technique pour cacher un mauvais fichier à l'intérieur d'un bon.

Dans le dossier Ads, vous pouvez copier le fichier calc.exe situé dans le dossier système Windows et permettant d’ouvrir la calculatrice normale.

Pour copier le fichier dans le dossier Ads, tapez simplement " copier C: \ windows \ system32 \ calc.exe c: \ ads " à l'invite de commande.

8) Vous pouvez maintenant insérer le fichier image_test.jpg que nous avions précédemment utilisé et qui devrait toujours se trouver dans le dossier Ads, dans le fichier calc.exe.

Pour faire cette infiltration, vous devez écrire sur la fenêtre noire du DOS que jusqu'à présent, nous ne fermions jamais: " tapez immagine_test.jpg> calc.exe: immagine_test.jpg ".

9) Résultat: si vous lancez le fichier calc.exe, rien d’étrange ne se produit; si vous démarrez depuis le fichier calc.exe écrit comme ceci: démarrez ./calc.exe : immagine_test.jpg ou démarrez C: \ ads \ calc.exe: immagine_test.jpg (il faut toujours le chemin complet), ouvre le image choisie en premier et non la calculatrice; Si vous supprimez le fichier image_test du dossier Ads, le résultat ne change pas.

Cela signifie que le fichier jpg a été masqué dans le fichier calc.exe, il n'est plus visible, la taille de calc.exe est restée inchangée et rien ne signale la présence du flux de données.

Contrairement à la méthode utilisée avec Winrar, cette fois, il n’existe aucune archive et le fichier caché est activé et exécuté lorsque vous démarrez celui qui héberge en fait, en cliquant sur le fichier calc.exe situé dans le dossier ouvert, le fichier l'image n'apparaît pas.

Vous pouvez également masquer des fichiers dans un dossier qui semblera être incorrectement vide.

10) Vous pouvez créer un nouveau dossier dans Ads et l’appeler Ads2 puis, à partir de Dos, écrire cd Ads2 et taper la commande " tapez c: \ ads \ calc.exe>: pippo.exe "; le fichier calc.exe se trouve dans le dossier Ads2 mais ne se voit pas, ni avec la commande " dir " qui affiche les fichiers dans les répertoires, ni va disparaître explore les ressources avec l'interface graphique normale.

Ce sont de jolis vieux trucs mais beaucoup sont inconnus même parce qu’ils n’ont en fait pas de véritable utilité, du moins pour les utilisateurs normaux; ce sont les mauvais pirates informatiques qui les exploitent et, dans le passé, ils ont fait beaucoup de dégâts en utilisant Data Stream.

En imaginant, en fait, que dans notre exemple ci-dessus, au point 8, au lieu d’un fichier image normal et inoffensif, il était caché à l’intérieur de la calculatrice, un véritable virus, ce serait douloureux.

Si le vrai virus s’appelle alors lui-même, par exemple svchost.exe, qui apparaît plusieurs fois dans le gestionnaire de tâches, il sera très difficile à trouver.

Cela ne s'arrête pas là, car un pirate informatique expérimenté sait que des programmes tels que la calculatrice ou le bloc-notes se trouvent toujours dans le chemin C: \ Windows \ System32. Il est donc possible que le fichier soit corrompu sans avoir à créer de nouveau.

Néanmoins, sans perturber le virus, vous pourriez cacher un fichier de 10 Go dans un fichier de 10 Ko et, sans comprendre pourquoi, vous pourriez vous retrouver avec un ordinateur verrouillé et sans plus d'espace.

Heureusement, ces problèmes de sécurité étant en grande partie obsolètes, les antivirus trouvent les virus cachés à la volée et il est peu probable que vous soyez attaqués de la sorte si vous êtes protégé.

La seule recommandation que je dois faire est que, étant donné la facilité avec laquelle vous pouvez créer un fichier malveillant de cette manière, il serait approprié de ne pas accepter de fichiers d’étrangers, éventuellement envoyés par MSN ou par courrier électronique, même s’il s’agissait de photos, d’images, musique, fichiers texte ou autre chose.

Pour rappel, ADS ne fonctionne que sur les partitions de disque NTFS et non sur FAT32. Pour supprimer un fichier ADS, vous pouvez supprimer celui qui l’héberge en le supprimant ou en le déplaçant vers une partition FAT32.

Il existe des outils permettant d'identifier les flux de données, et le meilleur est le fameux Hijackthis que nous avons déjà rencontré à plusieurs reprises dans ce blog.
Sur Hijackthis, l’ouverture de "Divers outils" est un utilitaire appelé "ADS Spy" qui analyse les flux et, si vous souhaitez les supprimer, mais honnêtement, ce serait un zèle excessif pour la sécurité, car de nombreux ADS sont utiles à Windows. et vous risqueriez de faire des dégâts.

Top