www.MegaLab.it

Considerazioni e Conclusioni

Gli ADS non solo malevoli di loro, ma sono le loro caratteristiche che li rendono una potenziale minaccia per la sicurezza. Esistono alcuni virus che li sfruttano per veicolare il proprio codice malevolo.

Inoltre, non si tratta neanche di attacchi la cui implementazione è assurdamente complicata, come potrebbe essere l'infezione del Master Boot Record, del BIOS e di qualunque altra parte non sia il sistema operativo.

Sebbene molti software anti-malware dichiarino di scansionare i flussi alternativi, questo non corrisponde sempre a verità. Molte case si difendono affermando che per essere lanciato un eseguibile malevolo nascosto in un altro file, deve prima essere caricato in memoria, e il software antivirus sarebbe in grado di rilevarlo.

Il problema di fondo rimane però che un antivirus che è in grado di intercettare un flusso alternativo malevolo solo quando viene mandato in esecuzione, non sarà mai in grado di ripulire il computer completamente.

È doveroso precisare comunque che tutti i protocolli usati per la trasmissione di dati in rete non supportano gli ADS, e quindi, trasmettendo un file a cui sono associati dei flussi alternativi via e-mail, FTP o HTTP, i flussi nascosti andranno persi. Possono invece viaggiare tramite reti locali LAN.

Windows stesso sfrutta gli ADS per memorizzare informazioni aggiuntive riguardo ai file. Il flusso Systeminformation è usato per salvare le informazioni relative alla scheda Riepilogo delle proprietà di un file, Zone.Identifier [PDF] identifica invece tutti i file scaricati dalla rete, e Encriptable è sempre presente nei file thumbs.db per la cache delle anteprime delle immagini.

Riferimenti

• File and Clusters su MSDN
• FAQ: Alternate Data Streams in NTFS
• The Dark Side of NTFS