www.MegaLab.it

La riga di comando e gli ADS

Dalla riga di comando di Windows è possibile manipolare i flussi dati alternativi. Possiamo quindi correlarne ad un file, rimuoverne, lanciarne ed eseguire praticamente qualunque operazione con essi.

È importante precisare che ogni flusso alternativo è identificato da un nome. Quindi, file_legittimo.txt:trojan.exe identificherà il flusso di nome trojan.exe nel file file_legittimo.txt.

Creare un ADS

Apriamo quindi il menu Start, clicchiamo su Esegui e digitiamo cmd. Per creare un ADS e correlarlo a un file, usiamo la seguente sintassi:

echo %TestoDaNascondere% > %FileCavia%:%NomeADS%

Esempio pratico:

echo Questo è un flusso alternativo nascosto > ads.txt:hidden.txt

Leggere un ADS

Per leggere un flusso alternativo associato a un file, sapendone l'identificativo, basta usare una sintassi del genere:

notepad %FileCavia%:%NomeADS%

E quindi, digitando:

notepad ads.txt:hidden.txt

Si aprirà il Blocco Note mostrandoci il contenuto del flusso nascosto.

Correlare un file a un altro file

Come avevo anticipato, oltre a testo, informazioni e immagini - cose del tutto innocue - un ADS può anche essere fornito ad un file eseguibile, o da uno script VB, PERL o PHP. Per farlo, sfrutteremo un comando simile al seguente:

type %File% > %FileCavia%:%NomeADS%

E quindi, nella pratica, diventa:

type trojan.exe > innocuo.bmp:trojan.exe

Lanciare un ADS

Per lanciare un eseguibile nascosto in un flusso alternativo, possiamo sfruttare il comando start.

start %PercorsoFileCavia%:%NomeADS%

Che nella pratica, potrebbe diventare:

start C:\innocuo.doc:trojanformattatutto.exe

Rimuovere un ADS

Non esiste di fatto un comando per rimuovere un flusso alternativo. L'unico modo è copiare il file incriminato su una penna USB, e più precisamente su una partizione non-NTFS, e ricopiarlo poi sulla partizione di origine. L'alternativa, è rimuovere completamente il file.