Tại sao NTFS cho phép thực thi vô hình?

Bạn có thể ẩn bất kỳ tệp nào bên trong tệp khác chỉ bằng cách nhập:

type sol.exe > container.txt:sol.exe

và để chạy tập tin ẩn tập tin chỉ cần sử dụng:

start c:\hide\container.txt:sol.exe

Nhưng điều điên rồ về điều này là nó không làm tăng kích thước của tệp (vì vậy nó hoàn toàn bị ẩn).

Và nếu bạn xóa tệp có nội dung ẩn bên trong, nội dung ẩn sẽ không bị xóa. Chỉ dùng:

more <  container.txt:sol.exe > sol.exe

Tại sao NTFS cho phép điều này? Có vẻ như là cách tốt nhất để che giấu virus.

Có hai mặt của câu hỏi này. Đầu tiên là tại sao tính năng này hoàn toàn tồn tại và thứ hai là tại sao GUI không (hoặc dấu nhắc lệnh) giúp dễ dàng xem và quản lý tính năng này.

Nó tồn tại bởi vì nó hữu ích. Một số nền tảng khác hỗ trợ nhiều luồng dữ liệu trên mỗi tệp. Trên máy Mac, chúng được gọi là dĩa chẳng hạn. Tôi chắc chắn chắc chắn rằng những điều tương tự đã tồn tại trong thế giới máy tính lớn, nhưng không thể đặt ngón tay của tôi vào bất kỳ ví dụ rõ ràng nào ngày hôm nay.

Trên Windows hiện đại, nó được sử dụng để giữ các thuộc tính bổ sung cho một tệp. Bạn có thể nhận thấy rằng hộp Thuộc tính có sẵn từ Windows Explorer có tab Tóm tắt trong chế độ xem Đơn giản (Tôi đang dùng Windows XP, số dặm của bạn sẽ khác với các hương vị khác) bao gồm một loạt các trường hữu ích như Tiêu đề, Chủ đề, Tác giả và v.v. Dữ liệu đó được lưu trữ trong một luồng thay thế, thay vì tạo ra một loại cơ sở dữ liệu phụ xe để giữ tất cả những gì sẽ bị tách khỏi tệp quá dễ dàng.

Một luồng thay thế cũng được sử dụng để giữ điểm đánh dấu cho biết tệp đến từ nguồn mạng không tin cậy được cả Internet Explorer và Firefox áp dụng khi tải xuống.

Câu hỏi khó là tại sao không có giao diện người dùng tốt hơn để nhận thấy rằng các luồng tồn tại và tại sao có thể đưa nội dung thực thi vào chúng và tệ hơn, thực hiện sau. Nếu có một lỗi và rủi ro bảo mật ở đây, đây là nó.

Biên tập:

Lấy cảm hứng từ một bình luận cho một câu trả lời khác, đây là một cách để tìm hiểu xem bảo vệ chống vi-rút và / hoặc chống phần mềm độc hại của bạn có biết về các luồng thay thế hay không.

Lấy một bản sao của tệp thử nghiệm EICAR . Đó là 68 byte văn bản ASCII cũng có thể là tệp thực thi x86 hợp lệ. Mặc dù hoàn toàn vô hại, nó đã được ngành công nghiệp chống vi-rút đồng ý phát hiện như thể đó là một loại vi-rút thực sự. Các nhà sáng lập nghĩ rằng việc kiểm tra phần mềm AV với một loại virus thực sự sẽ hơi giống với việc kiểm tra chuông báo cháy bằng cách thắp sáng thùng rác trên lửa ...

Tệp EICAR là:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Lưu nó với tiện ích mở rộng .COMvà nó sẽ thực thi (trừ khi AV của bạn đang chú ý) và in lời chào.

Sẽ là thông tin để lưu nó trong luồng dữ liệu thay thế và chạy quét ...

Tính năng này là bắt buộc đối với tính năng đa nền tảng của Windows Server: services for mac.

Điều này cho phép một máy chủ windows chạy trên NTFS chia sẻ với máy Mac thông qua AFP. Để tính năng này hoạt động, hệ thống tệp NTFS phải hỗ trợ các nhánh và nó có từ ngày đầu tiên.

Và trước khi bạn hỏi, tính năng này có còn được sử dụng không? Có, tôi có nó chạy và sử dụng hàng ngày trên một máy chủ trong một máy khách mà tôi hỗ trợ.

Vấn đề bảo mật chính xuất hiện khi mọi người và ứng dụng quên hoặc không nhận ra rằng nó ở đó.

Có lẽ nên có một tùy chọn mặc dù bao gồm các nhánh trong tổng kích thước tệp hoặc hiển thị chúng trong windows explorer.

Tôi tưởng tượng một trong những mục đích sử dụng chính (có lẽ là mục đích sử dụng) sẽ cho phép minh bạch thêm bất kỳ loại dữ liệu meta nào vào một tệp. Lý do kích thước tệp không thay đổi là trong trường hợp này, bạn không muốn tệp trông hoặc hành xử khác đi vì sợ ứng dụng khởi tạo phụ thuộc vào một số khía cạnh của giao diện tệp.

Tôi có thể tưởng tượng các cách sử dụng thú vị trong các IDE chẳng hạn, trong đó đôi khi nhiều tệp có liên quan để tạo thành một đơn vị (tệp mã / tệp biểu mẫu, v.v.), có thể được gắn vào tệp gốc theo cách này để chúng có thể vô tình bị tách ra.

Tôi cũng tin rằng có một lệnh để tìm tất cả các 'tệp đính kèm' như vậy trong một cây thư mục nhất định, vì vậy chúng không thực sự bị ẩn hoàn toàn. Nó cũng sẽ làm tôi ngạc nhiên nếu các máy quét vi-rút tốt hơn không biết về điều này và kiểm tra các khu vực 'ẩn' này, nhưng bạn có thể kiểm tra xem bằng cách cố tình đính kèm một tệp thực thi bị nhiễm vào tệp văn bản và xem liệu nó có được chọn không.

Đây là một bài viết hay về lỗ hổng bảo mật tiềm năng được đặt ra bởi Luồng dữ liệu thay thế .

Câu hỏi hay, tôi đã không nhận thức đúng về ADS cho đến năm ngoái và tôi đã là một nhà phát triển Windows trong nhiều năm. Tôi có thể đảm bảo rằng tôi không đơn độc về điều này.

Liên quan đến việc có thể kiểm tra dữ liệu thay thế trên các tệp, tôi tìm thấy công cụ nhỏ hữu ích có tên Lads có sẵn từ phần mềm Frank Heyne. Nó có thể liệt kê ADS trên tất cả các tệp trong một thư mục nhất định, ngay cả trên các tệp được mã hóa (và cả trong các thư mục con).