सवाल एनटीएफएस ने अदृश्य निष्पादन योग्यों को क्यों अनुमति दी है?


आप टाइप करके बस किसी अन्य फ़ाइल के अंदर किसी भी फाइल को छिपा सकते हैं:

type sol.exe > container.txt:sol.exe

और फ़ाइल छिपी हुई फ़ाइल को चलाने के लिए बस उपयोग करें:

start c:\hide\container.txt:sol.exe

लेकिन इसके बारे में पागल हिस्सा यह है कि यह फ़ाइल के आकार में वृद्धि नहीं करता है (इसलिए यह पूरी तरह छुपा हुआ है)।

और यदि आप अंदर छिपी हुई सामग्री के साथ फ़ाइल को हटाते हैं, तो छुपा सामान हटाया नहीं जाता है। महज प्रयोग करें:

more <  container.txt:sol.exe > sol.exe

एनटीएफएस इसे क्यों अनुमति देता है? ऐसा लगता है कि वायरस को छिपाने का सबसे अच्छा तरीका है।


103
2017-07-23 23:44


मूल


अच्छा, मैक संसाधनों की तरह लगता है। - Stefano Borini
बदतर, जब आप sol.exe शुरू करते हैं, तो कार्य प्रबंधक प्रक्रिया नाम को कंटेनर.txt के रूप में दिखाता है - hasen
हमें Google को बम करना चाहिए ताकि "डरावना" इस सवाल की ओर ले जाए - hasen
जब तक यह चारों ओर रहा है, तब भी कभी-कभी एवी डेवलपर्स / अन्य लोगों में भाग लेना आश्चर्यजनक होता है जो फाइल सिस्टम के साथ भारी काम करते हैं जो अभी भी इसके बारे में नहीं जानते हैं। मुझे उम्मीद नहीं है कि औसत ऐप डेवलपर को इसकी आवश्यकता होने के कारण इसके बारे में पता होना चाहिए, लेकिन यदि आप फाइल सिस्टम में भारी हैं ... :-) - Brian Knoblauch
माना जाता है कि आप एक एडीएस को एक फ़ोल्डर में भी संलग्न कर सकते हैं। आप फ़ोल्डर को हटाकर एडीएस को हटा सकते हैं, लेकिन जब फ़ोल्डर आपके ड्राइव की जड़ है, तो आप ड्राइव को दोबारा सुधारने के बिना, अपने सी: ड्राइव को हटा नहीं सकते हैं। मुझे एक छुपा रूटकिट वायरस बनाने के लिए एक तंत्र की तरह लगता है (?)। - HighTechGeek


जवाब:


इस सवाल के दो पक्ष हैं। पहला यह है कि यह सुविधा बिल्कुल मौजूद क्यों है, और दूसरी बात यह है कि GUI (या कमांड प्रॉम्प्ट) सुविधा को देखने और प्रबंधित करने में आसान क्यों नहीं बनाता है।

यह अस्तित्व में है क्योंकि यह उपयोगी है। कई अन्य प्लेटफ़ॉर्म प्रति फ़ाइल एकाधिक डेटा स्ट्रीम का समर्थन करते हैं। मैक पर, उन्हें बुलाया गया था कांटे, उदाहरण के लिए। मुझे यकीन है कि मेनफ्रेम दुनिया में इसी तरह की चीजें मौजूद थीं, लेकिन आज मेरी किसी उंगलियों को किसी भी स्पष्ट उदाहरण पर नहीं डाल सकतीं।

आधुनिक विंडोज़ पर, इसका उपयोग फ़ाइल के लिए अतिरिक्त विशेषताओं को रखने के लिए किया जाता है। आप देख सकते हैं कि विंडोज एक्सप्लोरर से उपलब्ध प्रॉपर्टी बॉक्स में एक सारांश टैब है जो सरल दृश्य में (मैं विंडोज एक्सपी पर हूं, आपका माइलेज अन्य स्वादों पर अलग होगा) शीर्षक, विषय, लेखक, और उपयोगी फ़ील्ड जैसे उपयोगी क्षेत्रों का एक गुच्छा शामिल है। इसके आगे। उस डेटा को किसी भी प्रकार की साइड-कार डेटाबेस बनाने के बजाए वैकल्पिक स्ट्रीम में संग्रहीत किया जाता है ताकि वह इसे आसानी से फ़ाइल से अलग कर सके।

मार्कर को पकड़ने के लिए एक वैकल्पिक स्ट्रीम का भी उपयोग किया जाता है जो कहता है कि फ़ाइल एक अविश्वसनीय नेटवर्क स्रोत से आई है जो डाउनलोड पर इंटरनेट एक्सप्लोरर और फ़ायरफ़ॉक्स दोनों द्वारा लागू होती है।

कठिन सवाल यह है कि धाराओं के अस्तित्व में यह देखने के लिए एक बेहतर यूजर इंटरफेस क्यों नहीं है, और क्यों निष्पादन योग्य सामग्री को उनके अंदर और बदतर करना संभव है, इसे बाद में निष्पादित करें। अगर यहां कोई बग और सुरक्षा जोखिम है, तो यह है।

संपादित करें: 

किसी अन्य उत्तर पर टिप्पणी से प्रेरित होकर, यह पता लगाने का एक तरीका है कि आपका एंटी-वायरस और / या एंटी-मैलवेयर सुरक्षा वैकल्पिक धाराओं से अवगत है या नहीं।

की एक प्रति प्राप्त करें ईआईसीएआर परीक्षण फ़ाइल। यह ASCII पाठ के 68 बाइट्स है जो वैध x86 निष्पादन योग्य भी होता है। हालांकि पूरी तरह से हानिरहित, एंटी-वायरस उद्योग द्वारा यह पता लगाया गया है कि यह वास्तविक वायरस था। उत्प्रेरकों ने सोचा था कि वास्तविक वायरस के साथ एवी सॉफ्टवेयर का परीक्षण करना कचरे के कचरे को आग लगने से आग अलार्म का परीक्षण करने जैसा थोड़ा सा होगा ...

ईआईसीएआर फाइल है:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

इसे एक्सटेंशन के साथ सहेजें .COM और यह निष्पादित होगा (जब तक कि आपका एवी ध्यान नहीं दे रहा हो) और एक ग्रीटिंग प्रिंट करें।

यह वैकल्पिक डेटा स्ट्रीम में सहेजने और स्कैन चलाने के लिए जानकारीपूर्ण होगा ...


97
2017-07-23 23:59



डिज़ाइन द्वारा प्रदर्शित फ़ाइल आकार केवल मुख्य $ डेटा स्ट्रीम का आकार दिखाता है। यह वही है जो आप आमतौर पर चाहते हैं। आप फ़ाइल आकार की लंबाई (जो कि एक प्रकार का मेटाडाटा है) फ़ाइल आकार में भी शामिल नहीं है। सुरक्षा जोखिम होने के नाते। किसी भी व्यक्तिगत फ़ाइल की तुलना में एडीएस कोई जोखिम नहीं है। मैंने किसी भी मैलवेयर के बारे में नहीं सुना है जो उन तंत्रों के साथ सफलतापूर्वक फैलता / छुपाता है। - Joey
आप किसी फ़ाइल फ़ाइल के एडीएस में गलती से निष्पादित निष्पादन योग्य नहीं चला सकते हैं। यह एक आम उपयोगकर्ता के लिए गलती से चलाने के लिए बहुत अच्छी तरह छिपी हुई है। आपको पहले समझौता करने की आवश्यकता होगी। - R. Martinho Fernandes
@ashh: मार्टिनो ने इसे नाखून दिया - अस्पष्टता जो इस तरह की स्ट्रीम पर निष्पादन योग्य खोजने में मुश्किल बनाती है, सक्रिय रूप से प्रयास किए बिना इसे निष्पादित करना मुश्किल बनाता है। कहें, पूरे "छिपी हुई फाइल एक्सटेंशन" फियास्को के साथ इसकी तुलना करें, जहां निष्पादन योग्य फाइलें जीयूआई में टेक्स्ट फाइलें कह सकती हैं ... और अभी भी बहुत आसानी से निष्पादित हो सकती हैं। - Shog9♦
मान लें कि आपके पास एक एवी है जो कम से कम सीओएम फ़ाइल पर वास्तविक समय का ध्यान दे रही है, आप इसे एडीएस के रूप में संलग्न नहीं कर पाएंगे क्योंकि एवी आपको सीओएम फ़ाइल तक पहुंचने से रोक देगा (एडीएस के रूप में संलग्न करने के लिए एक की आवश्यकता होती है फ़ाइल)। हालांकि आपको EICAR स्ट्रिंग के साथ एक टेक्स्ट फ़ाइल संलग्न करने में सक्षम होना चाहिए और इसे एडीएस के अंदर .COM एक्सटेंशन के साथ नामित करना चाहिए। यानी EICAR.txt> test.txt टाइप करें: EICAR.COM - KTC
EICAR.COM फ़ाइल के बारे में कूल तथ्य: यह विंडोज के किसी भी 64-बिट संस्करणों पर नहीं चलेगा, इसलिए मुझे लगता है कि 64-बिट मशीनों पर हर कोई एक बार काम करेगा (जो करेगा फिर भी शायद थोड़ी देर हो)। - Kredns


यह सुविधा विंडोज सर्वर की क्रॉस प्लेटफ़ॉर्म सुविधा के लिए आवश्यक है: मैक के लिए सेवाएं।

यह एएफपी के माध्यम से मैक को एनटीएफएस शेयर पर चलने वाले विंडोज सर्वर की अनुमति देता है। इस सुविधा के लिए काम करने के लिए, एनटीएफएस फाइल सिस्टम को कांटे का समर्थन करना है, और यह पहले दिन से है।

और इससे पहले कि आप पूछें, क्या यह सुविधा अभी भी उपयोग की जाती है? हां, यह है कि मैं इसे चलाने वाले क्लाइंट में सर्वर पर रोज़ाना चल रहा हूं और उपयोग करता हूं।

मुख्य सुरक्षा समस्या तब आती है जब लोग और एप्लिकेशन भूल जाते हैं या महसूस नहीं करते कि यह वहां है।

कुल फ़ाइल आकार में कांटे को शामिल करने या उन्हें विंडोज एक्सप्लोरर में दिखाने के लिए शायद एक विकल्प होना चाहिए।


15
2017-07-24 00:05



यदि आप वोट डाउन करने जा रहे हैं, तो कृपया एक टिप्पणी क्यों दें। - Bruce McLeod
यह सुविधा के लिए पहली जगह मौजूद होने के लिए एक पूरी तरह से व्यावहारिक कारण की तरह लगता है। - RBerteig
मैक्स के लिए फ़ाइल साझा करने की अनुमति देने के लिए बस इस सुविधा को जोड़ने के लिए एक व्यावहारिक कारण की तरह नहीं लगता है। नेटवर्क पर साझा करने के लिए फ़ाइल को सर्वर पक्ष पर बरकरार रखने की आवश्यकता नहीं होती है। मैंने कई * निक्स सेब साझाकरण सर्वर देखे हैं जो फ़ाइल को डेटा और संसाधन जानकारी में विभाजित करते हैं। यह ग्राहक के लिए पारदर्शी है। एएफपी यथार्थवादी प्रतीत नहीं होने के लिए वास्तविक ड्राइव प्रारूप को बदलना। एक अच्छा लाभ हो सकता है लेकिन इस सुविधा के लिए कारण के रूप में नहीं। - Simurr
हाँ, मैं सोच रहा हूं [उद्धरण वांछित] यदि आप यह कहने जा रहे हैं कि एसएफएम है मुख्य कारण कि एमएस ने एनटीएफएस में एडीएस लागू किया। - afrazier
उद्धरण मिला: ... एडीएस क्षमताओं जहां मूल रूप से मैकिंतोश पदानुक्रमित फ़ाइल सिस्टम, एचएफएस के साथ संगतता की अनुमति देने के लिए कल्पना की गई; जहां फ़ाइल जानकारी को कभी-कभी अलग संसाधनों में फोर्क किया जाता है। वैकल्पिक डेटा स्ट्रीम का उपयोग विभिन्न प्रकार के कार्यक्रमों द्वारा वैध रूप से किया जा सकता है, जिसमें मूल विंडोज ऑपरेटिंग सिस्टम शामिल हैं, जैसे कि फाइल जानकारी जैसे अस्थायी और अस्थायी भंडारण। स्रोत: windowsecurity.com/articles/Alternate_Data_Streams.html - JamesBarnett


मैं कल्पना करता हूं कि मुख्य उपयोगों में से एक (शायद यहां तक ​​कि इच्छित उपयोग) पारदर्शी रूप से किसी भी प्रकार के मेटा-डेटा को फ़ाइल में जोड़ने की अनुमति देना होगा। फ़ाइल का आकार बदलने का कारण इस परिदृश्य में नहीं है कि आप नहीं चाहते कि फाइल किसी भी तरह से दिखने या व्यवहार करे, न कि मूल अनुप्रयोग फ़ाइल के तरीके के कुछ पहलू पर निर्भर करता है।

मैं उदाहरण के लिए आईडीई में दिलचस्प उपयोगों की कल्पना कर सकता हूं, जहां कभी-कभी एक इकाई (कोड फ़ाइल / फॉर्म फ़ाइल इत्यादि) बनाने के लिए कई फाइलें शामिल होती हैं, जिन्हें मूल फ़ाइल से इस तरह से जोड़ा जा सकता है ताकि वे गलती से अलग नहीं हो सकें।

मुझे यह भी विश्वास है कि किसी दिए गए निर्देशिका पेड़ में ऐसे सभी 'अनुलग्नक' ढूंढने का आदेश है, इसलिए वे वास्तव में पूरी तरह से छिपे नहीं हैं। यह मुझे आश्चर्यचकित करेगा अगर बेहतर वायरस स्कैनर इस बारे में अवगत नहीं हैं और इन 'छिपे हुए' क्षेत्रों की जांच करें, लेकिन आप जानबूझकर एक संक्रमित निष्पादन योग्य को एक टेक्स्ट फ़ाइल में संलग्न करके देख सकते हैं कि यह उठाया जाता है या नहीं।


5
2017-07-23 23:53



क्या आप कृपया इस तरह के एक निष्पादन योग्य लिंक को पोस्ट कर सकते हैं ताकि मैं कोशिश कर सकूं? ;) - R. Martinho Fernandes
मेरा सुझाव है कि आप अपनी मशीन पर एवीजी चलाएं, और फिर कोशिश करने के लिए क्वारंटाइन फ़ोल्डर से निष्पादन योग्यों में से एक को पकड़ें;) - jerryjvl
@ मार्टिन्हो, आप ईआईसीएआर परीक्षण फ़ाइल चाहते हैं: एक्स 5 ओ! पी% @ एपी [4 \ पीजेएक्स 54 (पी ^) 7 सीसी) 7} $ ईआईसीएआर-मानक-एंटीवायरस-टेस्ट-फाइल! $ एच + एच * बस उस पाठ को पेस्ट करें (बिल्कुल ASCII पाठ के 68 बाइट, देखें eicar.org/anti_virus_test_file.htm पूरी कहानी के लिए) एक्सटेंशन के साथ नाम की एक फ़ाइल में .COM। यह एक संदेश चलाएगा और प्रिंट करेगा। जब तक आपका एवी काम नहीं कर रहा है। इसे एक वैकल्पिक डेटा स्ट्रीम में छोड़ दें और वहां भी जांचें। - RBerteig
@RBerteig: अरे शांत ... पता नहीं था कि ऐसी चीज थी। - jerryjvl
@jerryjvl, जैसा कि वे कहते हैं, यह आग पर अपशिष्ट बास्केट को प्रकाश डालकर आग अलार्म का परीक्षण करता है ... - RBerteig


यहां संभावित पर एक अच्छा लेख है सुरक्षा भेद्यता से उत्पन्न वैकल्पिक डेटा स्ट्रीम


5
2017-07-23 23:52



<nitpick> यह एक भेद्यता है, खतरे नहीं है </ nitpick>। और यह एक सौदा के रूप में बड़ा नहीं है जैसा लगता है। इसका उपयोग करने के लिए आपको पहले से ही प्रमाण पत्र होना चाहिए। - romandas
फिक्स्ड, धन्यवाद! :) - JP Alioto
कोई परेशानी नहीं। बीटीडब्ल्यू, अपनी वर्तनी जांचें। और हमेशा याद रखें: खतरे कमजोरियों का फायदा उठाते हैं। खतरे लोग हैं, आमतौर पर, लेकिन प्राकृतिक और निर्मित किए गए आपदाएं भी गिनती हैं। - romandas
@romandas, आपको पहले से क्या प्रमाण पत्र की आवश्यकता है? घर पर अधिकांश विंडोज उपयोगकर्ता (विशेष रूप से एक्सपी) एडमिन विशेषाधिकारों के साथ चल रहे हैं, तो यह एक बड़ा सौदा क्यों नहीं लगता है? - Ash
@ashh, "छिपाने की विधि के साथ ... एक उल्लंघन प्रणाली पर"। कुछ भी छिपाने के लिए सिस्टम को पहले स्थान पर पहले ही समझौता किया जाना चाहिए, और इसी तरह छिपी हुई चीज़ को निष्पादित करने के लिए। - KTC


अच्छा सवाल है, मैं पिछले साल तक एडीएस के बारे में अच्छी तरह से अवगत नहीं था और मैं कई सालों से विंडोज डेवलपर रहा हूं। मैं गारंटी दे सकता हूं कि मैं इस पर अकेला नहीं हूं।

फ़ाइलों पर वैकल्पिक डेटा की जांच करने में सक्षम होने के संबंध में, मुझे उपयोगी उपयोगी टूल मिला लड़कों फ्रैंक हेन सॉफ्टवेयर से उपलब्ध है। यह एन्क्रिप्टेड फ़ाइलों (और उपनिर्देशिकाओं के भीतर भी) पर, किसी दिए गए निर्देशिका में सभी फ़ाइलों पर एडीएस सूचीबद्ध कर सकता है।


5
2017-07-24 02:44