O ADS (Alternate Data Streams) é uma característica do sistema de arquivos NTFS para manter compatabilidade com o HFS (Hierarchical File System) que é o padrão de navegação de pastas utilizada em sistemas *nix. Por ser um recurso do NTFS, o ADS está presente desde o Microsoft Windows NT 4.0 até as versões mais recentes deste Sistema Operacional, como o Vista. Este recurso permite que dados sejam adicionados em arquivos já existentes, porém, de maneira que não sejam exibidos utilizando os comandos de leitura de pastas, como o dir.
Seguindo esta receita de bolo, é possível ocultar um arquivo até mesmo de bons investigadores. Para tanto, é necessário somente acesso ao shell de comandos do Windows.
> mkdir c:\pasta
> notepad c:\pasta\arquivo.txt
Edite o arquivo com qualquer conteúdo, salve e feche o notepad. Logo em seguida, continue digitando os comandos abaixo.
> dir c:\pasta
Repare no tamanho do arquivo. O tamanho não será alterado depois que adicionarmos o arquivo oculto.
> notepad c:\pasta\arquivo.txt:escondido.txt
Edite o arquivo com qualquer conteúdo. E novamente execute o comando dir.
> dir c:\pasta
Note que o arquivo criado não aparece na listagem de arquivos e arquivo.txt não tem seu tamanho alterado. Para comprovar que o arquivo ainda existe, pode-se digitar o comando abaixo.
> notepad c:\pasta\arquivo.txt:escondido.txt
E o arquivo oculto será aberto com o conteúdo criado agora pouco. Para verificar a existência do arquivo oculto, será necessário uma ferramenta de terceiros chamada lads, desenvolvida por Frank Heyne, que pode ser baixada gratuitamente aqui.
Seu uso é bem simples, bastando o comando abaixo para desmascarar o arquivo oculto.
> lads c:\pasta
LADS – Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!Scanning directory c:\pasta\
size ADS in file
———- ———————————
87 c:\pasta\teste.txt:escondido.txt87 bytes in 1 ADS listed
Uma demonstração em vídeo do uso desta técnica e da ferramenta pode ser visto no sítio web do Ethical Hacker neste endereço.
Até a próxima! 🙂