Samstag, 24. Oktober 2009

ADSSpy - ADS finden und entfernen

ADS oder Alternative Daten Streams wurden mit dem Datenträgerformat NTFS (seit Windows NT 3.1) eingeführt, eigentlich nur, um ein Quasi-Kompatibilität zu Apple's. HFS (Hirarchiches File System) herzustellen. Grundsätzlich speichern Macs Daten in 2 Teilen: einmal im Ressourcen-Teil (der dem Betriebssystem angibt, wie die Daten zu behandeln sind) und im Daten Teil ( der die eigentlichen Daten beinhaltet). Ähnlicher wird unter Windows mit Dateierweiterungen, wie z.B. .bat, .exe, .txt, .html erziehlt. Hier gibt die Erweiterung dem Betriebssystem an, was mit den eigentlichen Daten zu geschehen hat. Aber das ist noch nicht Alles. Schaut man sich z.B die eigenschaften einer TXT-Datei an, so findet man dort einen Reiter mit einer Zusammenfassung (Summary). Diese Informationen wurden der Datei per ADS beigegeben. Vereinfacht kann man sich das als versteckte Daten vorstellen, die an sichtbare Daten angehängt wurden.
In der Regel fristen ADS ein, vom Anwender unbemerktes Schatten-Dasein. Jede Datei, Jeder Ordner und sogar Laufwerksobjekte können mehrere ADS haben. Bemerkenswert ist auch, das ADS nicht die Dateigröße beeinflussen und überhaupt nur von ein paar wenigen Sicherheitsprogrammen beachtet werden.

Die eigentliche Gefahr liegt in der Tatsache, das sich so genausogut ausführbare Dateien anhängen lassen, die im Normalfall für den Anwender unsichtbar bleiben. Z.B.: test.txt:Trojan.exe.
Ist eine solche Datei einmal erkannt, so gibt es mehrere simple Lösungen zur Reinigung:
Einfaches Kopieren der Datei auf eine FAT/FAT32 Partition und zurück, genügt schon da FAT kein ADS kennt und daher nur die reinen Daten kopiert. Oder (falls gerade keine FAT Partition verfügbar ist) umbenennen und kopieren per type und pipeing in der Kommandozeile:
ren file.exe file.exe.bak
type file.exe.bak > file.exe

Aber wie erst einmal herausfinden, dass eine Datei einen (evtl. schädlichen) ASD-Anhang besizt? Nicht alle ADS sind automatisch schlecht oder gar verdächtig !!
Da kommen mir u.A. folgende Programme in den Sinn:
mit GUI z.B  ADSSPY von Merijn (dem Autor von Hijack This)



Info
Download

und ohne GUI (für die Kommandozeile) STREAMS.EXE von Sysinternals (Mark Russinowich)

Usage: streams [-s] [-d] <Datei oder Verzeichnis>

-sRecurse subdirectories.
-dDelete streams.
Streams takes wildcards e.g. 'streams *.txt'.

Info
Download

Wer noch Fragen hat, einfach einen Kommentar hinterlassen ;)

-DG



1 Kommentar:

  1. We’ve just lauched reverse Google Analytics ID lookup service that allows you to find websites by the same owner based on Google affiliate IDs that they use. You can also do lookups based on IP address and nameservers

    Email: info@reverseinternet.com
    Website: http://reverseinternet.com

    AntwortenLöschen