Ficheros stream (Invisibles).

Vamos a tratar de explicar un poco como funciona este método que aprovecha una capacidad del sistema NTFS para usarlos llamados Alternate Data Stream (ADS). Esta capacidad nos permite asociar información a un archivo y existe para mantener una cierta compatibilidad con el HFS (Sistema de archivos de Macintosh).

La idea es que podemos asociar un archivo1 a un archivo2 sin modificar archivo2 pero conteniendo al archivo1. Ya se que parece un poco lio pero enseguida vereis lo que tratamos de hacer.

Lo primero que deberemos hacer es comprobar que tenemos instalado nuestro sistema Operativo en una partición NTFS, para ello podemos usar el método que queraís. Uno sencillo puede ser chkdsk.

 

C:\>chkdsk

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\vmartinez>chkdsk
El tipo del sistema de archivos es NTFS.

Advertencia: parámetro /F no especificado.
Ejecutando CHKDSK en modo de sólo lectura.

Una vez comprobado que tenemos sistema de ficheros NTFS pasemos a ver como funciona el método.

– Creamos un fichero de texto en el que escribiremos fichero1.

 

C:\>echo fichero1 > fichero1.txt

– Creamos un fichero de texto en el que escribiremos fichero2.

 

C\:>echo fichero2 > fichero2.txt.

– Fijaros bien en los pesos de los archivos. Normalmente unos 20-30 bytes.

– Utilizamos el método de la siguiente forma:

 

C:\>type fichero2.txt > fichero1.txt:oculto

– Ahora eliminamos el fichero2.txt ( “del fichero2.txt”) y comprobamos que se ha borrado (“dir”). Y comprobamos que fichero1.txt sigue pesando igual que antes. Lo abrimos con el editor y sigue poniendo lo mismo “fichero1”.

– Llegado este momento vamos a recuperar nuestro fichero2.txt. Aunque el sistema operativo nos indique que ya no existe sigue estando ahí.

 

C:\> more > fichero1.txt:oculto

Y comprobamos sorprendidos “fichero2”. Hemos recuperado el otro fichero aunque el S.O. se empeñe en decir que no existe.

Realmente lo que ha pasado es que hemos asociado el contenido del archivo fichero2.txt al archivo fichero1.txt mediante “stream”. Cuando hacemos esto el contenido del archivo asociado queda oculto dentro del fichero1.txt. Por más increible que parezca este archivo sería capaz de pasar un test byte a byte o un test de crc, o un test de antivirus(Algunos antivirus ya los detectan) porque no ha sido modificado.

Con este método podemos realizar cosas como estas:

 

  • Sobre el mismo fichero de antes vamos a ocultar un video cualquiera:
  • C:\> video.avi > fichero1.txt:oculto2.avi

    C:\>start .\fichero1.txt:oculto2.avi

Como veis podemos crear varios enlaces a un mismo fichero sin ningún tipo de problema.

 

  • Sobre el mismo fichero de antes vamos a ocultar un ejecutable (*.exe).

C:\> type ejecutable.exe > fichero1.txt:ejecutable.exe

C:\> start .\fichero1.txt:ejecutable.exe

 

  • Ejecución de scripts.
  • C:\> Echo MsgBox “Hola mundo” > hola.txt:hola.vbs

    C:\> Start .\hola.txt:hola.vbs

    Nos aparecerá una venta con Hola mundo.

A partir de aqui podeís probar vosotros mismos todas las posibilidades que tiene este método.

Que Windows no sea capaz de ver estos archivos no quiere decir que no haya programas que sean capaces. Una herramienta que se puede utilizar es LADS. que la podemos obtener en http://www.heysoft.de. Para utilizarlo basta con copiar el archivo lads.exe dentro del directorio que queramos examinar y ejecutarlo.

 

C:\Documents and Settings\vmartinez>C:\DOCUME~1\VMARTI~1\CONFIG~1\Temp\Rar$DR00.
469\lads.exe

LADS – Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:\Documents and Settings\vmartinez\

size ADS in file
———- ———————————
22 C:\Documents and Settings\vmartinez\hola.txt:hola.vbs
22 bytes in 1 ADS listed

Podemos obtener la ayuda del programa de la siguiente forma:

 

C:\Documents and Settings\vmartinez>C:\DOCUME~1\VMARTI~1\CONFIG~1\Temp\Rar$DR00.
469\lads.exe /?

LADS – Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Usage: LADS [Directory] [/S] [/D] [/A] [/Xname]
Directory: directory to scan, current if ommitted
/S include Subdirectories
/D Debug LADS😉
/V Verbose error reports
/A give a summary of All bytes used in the scanned directories
(All files and directories are considered as uncompressed
and all security decriptions are skipped
for calculating this number!)
/Xname eXclude any ADS “name”
/Pfile read Parameters from “file”

 

Un comentario sobre “Ficheros stream (Invisibles).”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s