Escondendo Arquivos Utilizando ADS

Publicado em por Thiago Leite Postado em Segurança da InformaçãoCom a tag , , ,

O ADS (Alternate Data Streams) é uma característica do sistema de arquivos NTFS para manter compatabilidade com o HFS (Hierarchical File System) que é o padrão de navegação de pastas utilizada em sistemas *nix. Por ser um recurso do NTFS, o ADS está presente desde o Microsoft Windows NT 4.0 até as versões mais recentes deste Sistema Operacional, como o Vista. Este recurso permite que dados sejam adicionados em arquivos já existentes, porém, de maneira que não sejam exibidos utilizando os comandos de leitura de pastas, como o dir.

Seguindo esta receita de bolo, é possível ocultar um arquivo até mesmo de bons investigadores. Para tanto, é necessário somente acesso ao shell de comandos do Windows.

> mkdir c:\pasta

> notepad c:\pasta\arquivo.txt

Edite o arquivo com qualquer conteúdo, salve e feche o notepad. Logo em seguida, continue digitando os comandos abaixo.

> dir c:\pasta

Repare no tamanho do arquivo. O tamanho não será alterado depois que adicionarmos o arquivo oculto.

> notepad c:\pasta\arquivo.txt:escondido.txt

Edite o arquivo com qualquer conteúdo. E novamente execute o comando dir.

> dir c:\pasta

Note que o arquivo criado não aparece na listagem de arquivos e arquivo.txt não tem seu tamanho alterado. Para comprovar que o arquivo ainda existe, pode-se digitar o comando abaixo.

> notepad c:\pasta\arquivo.txt:escondido.txt

E o arquivo oculto será aberto com o conteúdo criado agora pouco. Para verificar a existência do arquivo oculto, será necessário uma ferramenta de terceiros chamada lads, desenvolvida por Frank Heyne, que pode ser baixada gratuitamente aqui.

Seu uso é bem simples, bastando o comando abaixo para desmascarar o arquivo oculto.

> lads c:\pasta
LADS – Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory c:\pasta\

size ADS in file
———- ———————————
87 c:\pasta\teste.txt:escondido.txt

87 bytes in 1 ADS listed

Uma demonstração em vídeo do uso desta técnica e da ferramenta pode ser visto no sítio web do Ethical Hacker neste endereço.

Até a próxima! 🙂

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *