เหตุใดระบบไฟล์ NTFS จึงอนุญาตให้เรียกใช้งานโปรแกรมที่มองไม่เห็นได้

105

คุณสามารถซ่อนไฟล์ภายในไฟล์อื่นได้เพียงแค่พิมพ์:

type sol.exe > container.txt:sol.exe

และเพื่อเรียกใช้ไฟล์ที่ซ่อนไฟล์เพียงใช้:

start c:\hide\container.txt:sol.exe

แต่ส่วนที่คลั่งไคล้เกี่ยวกับเรื่องนี้คือมันไม่ได้เพิ่มขนาดของไฟล์ (ดังนั้นจึงซ่อนอยู่ทั้งหมด)

และถ้าคุณลบไฟล์ที่มีสิ่งที่ซ่อนอยู่ภายในสิ่งที่ซ่อนอยู่จะไม่ถูกลบ เพียงใช้:

more <  container.txt:sol.exe > sol.exe

เหตุใด NTFS จึงอนุญาต ดูเหมือนจะเป็นวิธีที่ดีที่สุดในการซ่อนไวรัส

— Kredns
แหล่งที่มา

1

ดีดูเหมือนว่า mac resourceforks

— Stefano Borini

15

ที่เลวร้ายยิ่งเมื่อคุณเริ่ม sol.exe เช่นนั้นการจัดการงานแสดงชื่อกระบวนการ container.txt

— hasen

16

เราควรจะระเบิด Google เพื่อที่ว่า "น่ากลัว" นำไปสู่คำถามนี้

— hasen

4

ตราบใดที่ยังมีสิ่งนี้อยู่มันก็น่าประหลาดใจที่บางครั้งก็ยังมีนักพัฒนา AV / คนอื่น ๆ ที่ทำงานอย่างหนักกับระบบไฟล์ที่ STILL ไม่รู้เกี่ยวกับมัน ฉันไม่ได้คาดหวังว่านักพัฒนาแอพโดยเฉลี่ยจะรู้เกี่ยวกับมันเนื่องจากไม่จำเป็น แต่ถ้าคุณหนักในเรื่องระบบไฟล์ ... :-)

— Brian Knoblauch

สมมุติว่าคุณสามารถแนบโฆษณาไปยังโฟลเดอร์ คุณสามารถลบโฆษณาด้วยการลบโฟลเดอร์ แต่เมื่อโฟลเดอร์เป็นรากของไดรฟ์คุณจะไม่สามารถลบไดรฟ์ C: ตัวอย่างเช่นโดยไม่ต้องฟอร์แมตไดรฟ์ใหม่ ดูเหมือนว่าเป็นกลไกในการสร้างไวรัสรูทคิทที่ซ่อนอยู่ให้ฉัน (?)

— HighTechGeek

98

คำถามนี้มีสองด้าน ประการแรกคือเหตุใดคุณลักษณะนี้จึงมีอยู่ทั้งหมดและประการที่สองคือทำไม GUI (หรือพรอมต์คำสั่ง) จึงไม่ทำให้ดูและจัดการคุณลักษณะได้ง่ายขึ้น

มันมีอยู่เพราะมันมีประโยชน์ แพลตฟอร์มอื่น ๆ หลายแห่งรองรับสตรีมข้อมูลหลายรายการต่อไฟล์ บน Mac พวกเขาถูกเรียกว่าforksเป็นต้น ฉันแน่ใจอย่างสมเหตุสมผลว่ามีสิ่งที่คล้ายกันเกิดขึ้นในโลกเมนเฟรม แต่ไม่สามารถยกตัวอย่างของตัวเองอย่างชัดเจนในวันนี้

บน Windows ที่ทันสมัยมันถูกใช้เพื่อเก็บคุณสมบัติพิเศษสำหรับไฟล์ คุณอาจสังเกตเห็นว่ากล่องคุณสมบัติที่มีจาก Windows Explorer มีแท็บสรุปที่ในมุมมองแบบง่าย (ฉันใช้ Windows XP ระยะทางของคุณจะแตกต่างกันในรสชาติอื่น ๆ ) รวมถึงฟิลด์ที่มีประโยชน์มากมายเช่นชื่อเรื่องหัวเรื่องผู้แต่งและ เป็นต้นไป ข้อมูลนั้นถูกเก็บไว้ในกระแสข้อมูลอื่นแทนที่จะสร้างฐานข้อมูลรถด้านข้างเพื่อเก็บข้อมูลทั้งหมดที่จะถูกแยกออกจากไฟล์ได้ง่ายเกินไป

สตรีมสำรองยังใช้เพื่อเก็บเครื่องหมายที่ระบุว่าไฟล์นั้นมาจากแหล่งเครือข่ายที่ไม่น่าเชื่อถือซึ่งใช้โดยทั้ง Internet Explorer และ Firefox ในการดาวน์โหลด

คำถามที่ยากคือทำไมไม่มีอินเทอร์เฟซผู้ใช้ที่ดีกว่าสำหรับการสังเกตว่ามีกระแสข้อมูลอยู่ทั้งหมดและเหตุใดจึงเป็นไปได้ที่จะนำเนื้อหาที่สามารถเรียกใช้งานได้เข้ามาในเว็บไซต์เหล่านั้นและแย่กว่านั้น หากมีข้อผิดพลาดและความเสี่ยงด้านความปลอดภัยที่นี่นี่คือมัน

แก้ไข:

ได้รับแรงบันดาลใจจากความคิดเห็นต่อคำตอบอื่น ๆ นี่เป็นวิธีหนึ่งในการค้นหาว่าการป้องกันไวรัสและ / หรือการป้องกันมัลแวร์ของคุณทราบถึงสตรีมสำรองหรือไม่

ได้รับสำเนาของที่ไฟล์ทดสอบ EICAR มันคือ 68 ไบต์ของข้อความ ASCII ที่เกิดขึ้นกับการปฏิบัติการ x86 ที่ถูกต้อง แม้ว่าจะไม่เป็นอันตรายอย่างสมบูรณ์ แต่ก็มีการตรวจพบโดยอุตสาหกรรมป้องกันไวรัสว่าเป็นไวรัสจริงหรือไม่ ผู้สร้างคิดว่าการทดสอบซอฟต์แวร์ AV ด้วยไวรัสจริงอาจจะมากไปหน่อยเช่นการทดสอบสัญญาณเตือนไฟไหม้ด้วยการวางตะกร้าขยะบนกองไฟ ...

ไฟล์ EICAR คือ:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

บันทึกด้วยส่วนขยาย.COMและจะดำเนินการ (เว้นแต่ว่า AV ของคุณให้ความสนใจ) และพิมพ์คำทักทาย

มันจะให้ข้อมูลเพื่อบันทึกในกระแสข้อมูลสำรองและเรียกใช้การสแกน ...

— RBerteig
แหล่งที่มา

11

ด้วยการออกแบบขนาดไฟล์ที่แสดงจะแสดงขนาดของสตรีม $ DATA หลัก นี่คือสิ่งที่คุณมักต้องการ คุณไม่ได้รวมความยาวของชื่อไฟล์ (ซึ่งเป็นข้อมูลประเภทหนึ่ง) ลงในขนาดไฟล์เช่นกัน สำหรับความเสี่ยงด้านความปลอดภัย โฆษณาไม่มีความเสี่ยงมากกว่าไฟล์ใด ๆ ฉันไม่เคยได้ยินมัลแวร์ใด ๆ ที่ประสบความสำเร็จในการแพร่กระจาย / ซ่อนตัวด้วยกลไกเหล่านั้น

— Joey

4

คุณไม่สามารถเรียกใช้ไฟล์ปฏิบัติการที่เก็บไว้ในโฆษณาของไฟล์ข้อความโดยไม่ตั้งใจได้ มันถูกซ่อนไว้อย่างดีซ่อนไว้ดีเกินไปสำหรับผู้ใช้ทั่วไปในการเรียกใช้โดยไม่ได้ตั้งใจ คุณจะต้องถูกโจมตีก่อน

— R. Martinho Fernandes

7

@ashh: Martinho ตะปูมัน - ความสับสนที่ทำให้ยากต่อการค้นหาไฟล์ที่เรียกใช้งานได้ในกระแสนั้นยังทำให้ยากต่อการรันโดยไม่ต้องพยายาม ความแตกต่างนี้ด้วยพูดว่า "ความล้มเหลวของนามสกุลไฟล์ที่ซ่อน" ทั้งหมดซึ่งไฟล์ที่ปฏิบัติการได้ดูเหมือนจะเป็นไฟล์ข้อความใน GUI ... และยังคงทำงานได้อย่างง่ายดาย

— Shog9

3

สมมติว่าคุณมี AV ที่อย่างน้อยให้ความสำคัญกับไฟล์. COM แบบเรียลไทม์คุณจะไม่สามารถแนบมันเป็นโฆษณาได้เนื่องจาก AV จะป้องกันไม่ให้คุณเข้าถึงไฟล์. COM (การติดตั้งเนื่องจาก ADS ต้องการการเข้าถึง ไฟล์). อย่างไรก็ตามคุณควรจะสามารถแนบไฟล์ข้อความด้วยสตริง EICAR และตั้งชื่อด้วยนามสกุล. COM ภายในโฆษณา เช่นประเภท EICAR.txt> test.txt: EICAR.COM

— KTC

2

ข้อเท็จจริงที่น่าสนใจเกี่ยวกับไฟล์ EICAR.COM: มันจะไม่ทำงานบน Windows เวอร์ชั่น 64 บิตดังนั้นฉันเดาว่าเคล็ดลับนี้จะไม่ทำงานอีกต่อไปเมื่อทุกคนอยู่บนเครื่อง 64 บิต (ซึ่งอาจจะยังคงอยู่สักพัก)

— Kredns

15

จำเป็นต้องใช้คุณสมบัตินี้สำหรับฟีเจอร์ข้ามแพลตฟอร์มของ Windows Server: services for mac

สิ่งนี้ทำให้ windows server ที่ทำงานบน NTFS share ไปยัง macs ผ่าน AFP เพื่อให้ฟีเจอร์นี้ใช้งานได้ระบบไฟล์ NTFS จะต้องรองรับส้อมและเริ่มตั้งแต่วันแรก

และก่อนที่คุณจะถามคุณสมบัตินี้ยังคงใช้อยู่หรือไม่? ใช่ฉันใช้และทำงานอยู่ทุกวันบนเซิร์ฟเวอร์ในไคลเอนต์ที่ฉันสนับสนุน

ปัญหาด้านความปลอดภัยที่สำคัญเกิดขึ้นเมื่อผู้คนและแอปพลิเคชันลืมหรือไม่ทราบว่ามีอยู่

อาจมีตัวเลือกที่จะรวมส้อมในขนาดไฟล์ทั้งหมดหรือแสดงใน windows explorer

— Bruce McLeod
แหล่งที่มา

2

หากคุณกำลังจะลงคะแนนโปรดแสดงความคิดเห็นว่าทำไม

— Bruce McLeod

2

นี่เป็นเหตุผลที่น่าเชื่อถืออย่างสมบูรณ์สำหรับสถานที่ที่มีอยู่ในสถานที่แรก

— RBerteig

3

การเพิ่มฟีเจอร์นี้เพื่อให้สามารถแชร์ไฟล์สำหรับ mac ไม่ได้ฟังดูมีเหตุผล การแชร์ผ่านเครือข่ายไม่ต้องการให้ไฟล์เก็บไว้ในฝั่งเซิร์ฟเวอร์ ฉันได้เห็นเซิร์ฟเวอร์แชร์ * nix apple หลายตัวที่แบ่งไฟล์เป็นข้อมูลและทรัพยากร นี่คือความโปร่งใสให้กับลูกค้า การเปลี่ยนรูปแบบไดรฟ์จริงเพื่อให้ AFP ไม่สมจริง อาจเป็นประโยชน์ที่ดี แต่ไม่ใช่ในฐานะ REASON สำหรับคุณลักษณะนี้

— Simurr

2

ใช่ฉันคิดว่าถ้าคุณจะยืนยันว่า SfM เป็นเหตุผลหลักที่ MS ใช้ ADSes ใน NTFS

— afrazier

3

พบการอ้างอิง: ... ความสามารถในการโฆษณาที่เดิมคิดเพื่อให้เข้ากันได้กับ Macintosh Hierarchical File System, HFS ; โดยที่บางครั้งข้อมูลไฟล์ถูกแยกเข้าสู่ทรัพยากรที่แยกกัน Data Streams สำรองมีการใช้อย่างถูกต้องตามกฎหมายโดยหลากหลายโปรแกรมรวมถึงระบบปฏิบัติการ Windows ดั้งเดิมเพื่อจัดเก็บข้อมูลไฟล์เช่นคุณลักษณะและที่เก็บข้อมูลชั่วคราว แหล่งที่มา: windowsecurity.com/articles/Alternate_Data_Streams.html

— JamesBarnett

5

ฉันคิดว่าหนึ่งในการใช้งานหลัก (บางทีอาจเป็นการใช้ที่ตั้งใจ) ก็คือการอนุญาตให้เพิ่ม meta-data ชนิดใด ๆ ลงในไฟล์ เหตุผลที่ขนาดไฟล์ไม่เปลี่ยนแปลงคือในสถานการณ์นี้คุณไม่ต้องการให้ไฟล์ดูหรือมีพฤติกรรมใด ๆ ที่แตกต่างกันเพื่อมิให้แอพพลิเคชั่นที่สร้างขึ้นอยู่กับลักษณะของไฟล์

ฉันนึกภาพการใช้งานที่น่าสนใจใน IDEs ซึ่งบางครั้งมีหลายไฟล์ที่เกี่ยวข้องกับการสร้างหน่วยเดียว (ไฟล์รหัส / ไฟล์รูปแบบ ฯลฯ ) ซึ่งสามารถแนบกับไฟล์ต้นฉบับด้วยวิธีนี้เพื่อให้พวกเขาแยกกันโดยไม่ตั้งใจ

ฉันยังเชื่อว่ามีคำสั่งให้ค้นหา 'สิ่งที่แนบมา' ทั้งหมดในแผนผังไดเรกทอรีที่กำหนดดังนั้นพวกเขาจึงไม่ได้ซ่อนอย่างสมบูรณ์ นอกจากนี้ยังจะทำให้ฉันประหลาดใจถ้าสแกนไวรัสที่ดีกว่าไม่ทราบเรื่องนี้และตรวจสอบพื้นที่ 'ซ่อน' เหล่านี้ แต่คุณสามารถตรวจสอบได้ว่าโดยการแนบไฟล์ปฏิบัติการที่ติดไวรัสไปยังไฟล์ข้อความ

— jerryjvl
แหล่งที่มา

คุณช่วยกรุณาโพสต์ลิงค์ไปยังไฟล์ที่เรียกใช้งานได้ดังนั้นฉันจะลองได้ไหม? ;)

— R. Martinho Fernandes

ผมขอแนะนำให้คุณเรียกใช้ AVG บนเครื่องของคุณและจากนั้นคว้าหนึ่งของ executables จากโฟลเดอร์กักกันที่จะลอง;)

— jerryjvl

2

@ smartinho คุณต้องการไฟล์ทดสอบ EICAR: X5O! P% @ AP [4 \ PZX54 (P ^) 7CC) 7} $ EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $ H + H * เพียงแค่วางข้อความนั้น 68 ไบต์ของข้อความ ASCII ดูeicar.org/anti_virus_test_file.htmสำหรับเรื่องราวทั้งหมด) เป็นไฟล์ที่มีนามสกุล. COM มันจะทำงานและพิมพ์ข้อความ แน่นอนเว้นแต่ AV ของคุณใช้งานได้แน่นอน วางลงในสตรีมข้อมูลสำรองและตรวจสอบที่นั่นด้วย

— RBerteig

@Rertertig: เฮ้เจ๋ง ... ไม่รู้ว่ามีอะไรแบบนี้

— jerryjvl

@jerryjvl เช่นที่พวกเขาบอกว่ามันเต้นทดสอบสัญญาณเตือนไฟไหม้โดยแสง wastebasket บนกองไฟ ...

— RBerteig

5

นี่เป็นบทความที่ดีในศักยภาพช่องโหว่ความปลอดภัยที่เกิดจากกระแสข้อมูลสำรอง

— JP Alioto
แหล่งที่มา

6

<nitpick> เป็นช่องโหว่ไม่ใช่ภัยคุกคาม </nitpick> และมันก็ไม่ได้เป็นเรื่องใหญ่เท่าที่ฟัง คุณต้องมีข้อมูลประจำตัวเพื่อใช้งาน

— romandas

ไม่มีปัญหา Btw ตรวจสอบการสะกดคำของคุณ และโปรดจำไว้เสมอ: ภัยคุกคามใช้ช่องโหว่ ภัยคุกคามคือคนปกติ แต่ภัยธรรมชาติและที่ถูกสร้างขึ้นมาก็นับรวมเช่นกัน

— romandas

@romandas คุณต้องมีหนังสือรับรองอะไรบ้าง ที่บ้านผู้ใช้ Windows ส่วนใหญ่ (โดยเฉพาะ XP) กำลังใช้งานด้วยสิทธิ์ผู้ดูแลระบบดังนั้นทำไมจึงไม่เป็นเรื่องใหญ่โต

— แอช

@ashh "ด้วยวิธีซ่อน ... ในระบบที่ละเมิด" ระบบจะต้องมีการโจมตีในสถานที่แรกเพื่อซ่อนอะไรและในทำนองเดียวกันเพื่อดำเนินการสิ่งที่ซ่อนอยู่เช่นนี้

— KTC

5

เป็นคำถามที่ดีฉันไม่ได้ตระหนักถึงโฆษณาอย่างถูกต้องจนกระทั่งปีที่แล้วและฉันเป็นนักพัฒนา Windows มาหลายปีแล้ว ฉันสามารถรับประกันได้ว่าฉันไม่ได้อยู่คนเดียวในเรื่องนี้

เกี่ยวกับความสามารถในการตรวจสอบข้อมูลสำรองในไฟล์ฉันพบเครื่องมือเล็ก ๆ ที่มีประโยชน์ที่เรียกว่าLads ที่มีให้จากซอฟต์แวร์ Frank Heyne มันสามารถแสดงรายการ ADS ในไฟล์ทั้งหมดในไดเรกทอรีที่กำหนดแม้ในไฟล์ที่เข้ารหัส (และอยู่ในไดเรกทอรีย่อย)

— เถ้า
แหล่งที่มา