|
| Precedente :: Successivo |
| Autore |
Messaggio |
Sveva
Mortale devoto
Registrato: 01/02/10 02:37
Messaggi: 8
|
 Inviato: 02 Feb 2010 11:59 Oggetto: Gli ADS: curiosità scientifiche |
 |
|
Ciao a tutti!
Cercando di pulire il mio pc dopo aver preso Bagle, mi sono imbattuta negli ADS. Ebbene sì, ammetto la mia ignoranza...non avevo idea di cosa fossero!
Adesso ho una domanda per voi, per capire meglio come gestirli.
Ho avviato il tool adsspy di Hijackthis, e mi ha rilevato i seguenti ads:
C:\Users\Sveva\AppData\Local\Microsoft\Windows Mail\Local Folders\Inbox\0A0B059B-00000001.eml : OECustomProperty (884 bytes)
C:\Users\Sveva\Favorites\Penna grafica.url : favicon (318 bytes)
C:\Users\Sveva\Favorites\UNIPA – CAS – Central Authentication Service.url : favicon (1150 bytes)
C:\Users\Sveva\Videos\Ricky sugli sci!.avi : TOC.WMV (64 bytes)
C:\Windows : D73A7CCD3D892C98 (72 bytes)
C:\Windows : D73A7CCD3D892C98 (72 bytes)
D:\Fotografie\69 - Vipiteno, inverno 2009 - 2010\Riccardo troppo X\Ricky sugli sci!.mp4 : TOC.WMV (64 bytes)
Ora, giusto per capire...Riverside nella sua guida su come sconfiggere Bagle dice di cancellarli tutti. Ma quel TOC.WMV, ad esempio, non potrebbe essere semplicemente dovuto al fatto che ho modificato il video con Windows Movie Maker, aggiungendo un effetto di rotazione?
Attendo risposte illuminanti!  |
|
| Top |
|
 |
Anny
Ban a tempo indeterminato
Registrato: 23/10/09 22:30
Messaggi: 146
Residenza: Torino
|
| Inviato: 02 Feb 2010 23:24 Oggetto: Re: Gli ADS: curiosità scientifiche |
 |
|
ciao - sveva
| Sveva ha scritto: | Ma quel TOC.WMV, ad esempio, non potrebbe essere semplicemente dovuto al fatto che ho modificato il video con Windows Movie Maker, aggiungendo un effetto di rotazione?
Attendo risposte illuminanti! |
la tua modifica - ha solo aggiunto una - o più informazioni in più - al file che hai modificato
gli ads - non sono altro che informazioni - spesso possono essere dannose - o nascondere del malware - ecco - perchè vanno eliminati
solo le partizioni in NTFS - sono soggette - a questo tipo di pericolo
comunque - per farti capire di cosa si tratta - questa una buona spiegazione - di cosa sono - gli ADS - Alternate Data Streams
| Citazione: | Gli Alternate Data Streams (ADS) sono una categoria di oggetti nota da molto tempo tra gli addetti ai lavori, ma purtroppo ancora sconosciuta alla maggior parte dei normali utenti. Se non ne avete mai sentito parlare probabilmente rimarrete sorpresi o sconcertati dalla lettura di questo articolo. Recentemente l'argomento è tornato di attualità dopo la scoperta di trojan, adware ed altri codici dannosi che fanno uso di questa tecnologia per rendersi virtualmente invisibili riuscendo così ad eludere i controlli degli strumenti anti-malware.
Di seguito si illustrerà il funzionamento di questi oggetti, se ne evidenzieranno i pericoli e si provvederà a descrivere una serie di programmi e di tecniche che permettono all'utente la loro manipolazione.
Cosa sono gli ADS.
Gli Alternate Data Streams sono disponibili unicamente su partizioni NTFS. In questo tipo di filesystem le informazioni su file e cartelle sono memorizzate in una tabella chiamata Master File table (MFT). In questa regione del disco ogni file è identificato da una collezione di oggetti chiamati attributi. Tra questi troviamo, per esempio, il nome assegnato al file, la data di creazione, la data dell'ultima modifica, i descrittori di protezione e, ovviamente, i dati che ne rappresentano il contenuto.
Il fattore importante per le nostre considerazioni è che NTFS permette la creazione di più di un attributo dati per ogni singolo file. Il flusso dati principale, quello che tradizionalmente consideriamo il contenuto del file, può quindi essere affiancato da uno o più flussi dati alternativi. Da qui deriva il nome degli oggetti di cui ci stiamo occupando. Usando una analogia forse più familiare possiamo paragonare gli ADS agli allegati di un messaggio di posta elettronica in cui il flusso dati principale rappresenta il corpo dell'email.
A cosa servono e perché esistono gli ADS
In origine Microsoft implementò questa caratteristica in NTFS per consentire a Windows NT di poter operare come file-server per i sistemi Macintosh basati sul filesystem HFS. Il filesystem di Apple infatti memorizza dati supplementari relativi al file, quali icone e altri metadati, in una struttura separata simile ad un ADS. In questo modo i sistemi Mac potevano operare in modo trasparente sui dati presenti sul server NT.
Con l'avvento di Windows 2000 l'uso degli stream alternativi si è esteso ad altre interessanti applicazioni. Da questo sistema in poi, per ogni documento, è possibile memorizzare informazioni aggiuntive quali titolo, oggetto, autore, parole chiave ecc. attraverso la scheda Riepilogo presente nelle Proprietà del relativo file. Queste meta-informazioni vengono salvate in appositi ADS di sistema.
Quelle elencate non sono comunque le uniche applicazioni possibili. I sistemi operativi Windows 2000/XP/2003, ma anche applicazioni di terze parti, usano gli stream alternativi per memorizzare informazioni di varia natura. Di alcune di queste si parlerà in seguito.
ADS: un pericolo per la sicurezza?
Microsoft ha documentato gli Alternate Data Streams fin dal primo rilascio di NTFS, non si tratta quindi di oggetti sconosciuti. Il problema di fondo sta piuttosto in un supporto praticamente nullo a livello utente da parte del sistema operativo. In sostanza Windows non offre nessuno strumento per verificare la presenza di ADS nei file, per analizzarne il contenuto o per eliminarli. Questo comporta che risultino praticamente invisibili: sia da Esplora risorse sia dal Prompt dei comandi l'unico flusso dati visibile è quello principale e analoghe considerazioni valgono per la dimensione del file visualizzata. Considerando un caso estremo è possibile avere un documento di dimensione apparentemente nulla che in realtà contiene uno stream alternativo di dimensioni pari a vari GByte.
Di seguito si elencano alcune caratteristiche degli ADS che contribuiscono ad indebolire la sicurezza del sistema:
Sono virtualmente invisibili per l'utente e per i programmi che non li supportano.
La dimensione del file visualizzata dal sistema è sempre e solo quella del flusso principale.
Possono essere allegati a file ma anche a cartelle.
Possono contenere qualsiasi tipo di dato: un semplice testo, una immagine ma anche script e codice eseguibile.
È possibile l'esecuzione diretta di un ADS eseguibile incapsulato in un semplice file di testo.
Nessun limite in dimensione viene posta ai flussi alternativi.
L'unico effetto visibile in seguito all'aggiunta o alla modifica di un ADS è il cambiamento della data del file.
Tutto questo porta a scenari in cui gli ADS possano potenzialmente essere:
Luogo dove malware può nascondere indisturbato il proprio codice.
Luogo dove pirati informatici possono nascondere dati e strumenti di lavoro (Hack tools).
Fonte di attacchi DoS (Denial of Service) nei confronti del filesystem. E sufficiente creare un ADS grande al punto tale da riempire totalmente il disco fisso. Data la natura invisibile di questi dati sarà estremamente difficile individuare il problema. |
|
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
