www.MegaLab.it

[ste_95]

Alla scoperta di "Alternate Data Streams" - Commenti

In questo articolo ci avventuriamo alla scoperta degli Alternate Data Streams (ADS), flussi alternativi che possono essere associati ad un file e che non vengono visualizzati dall'Esplora Risorse di Windows. Nascondere informazioni a occhi indiscreti non sarà più un problema; ma l'altra faccia della medaglia? Possono essere sfruttati per veicolare malware di ogni tipo. [continua...]

[developerwinme]

Ciao, complimenti per l'articolo, veramente interessante.
Leggendolo mi è venuta in mente una domanda riguardante la parte finale dell'articolo e cioè: Ho notato che quando il software antivirus in mio possesso(ZoneAlarm Extreme 8.0.298.35) esegue una scansione antivirus di un file tramite la scansione on-demand nella finestra "Stato scansione in corso" spesso viene visualizzato il nome e il percorso del file seguito da "Zone.Identifier". Poichè alla fine del tuo articolo nomini questa stringa vorrei sapere cosa significa.
Ti ringrazio anticipatamente per la risposta e mi complimento di nuovo per l'ottimo articolo.

[ste_95]

Zone.Identifier [PDF] identifica invece tutti i file scaricati dalla rete

Se non ho soddisfatto i tuoi dubbi, non esitare a chiedere!

[developerwinme]

Ciao, grazie per la risposta. Ho capito cosa significa Zone.Identifier, ma il fatto che ZoneAlarm me lo visualizzi continuo a non capirlo. Forse analizza in modo diverso i file che hanno questo attributo?. Oppure analizza tutti gli ADS presenti nei file e lo indica quando ne trova qualcuno?. Infine sarei curioso di sapere se pure Kaspersky, il cui motore è utilizzato da ZA, presenti questo comportamento.

[ste_95]

Probabilmente come pensi tu, ZoneAlarm fa una scansione anche degli ADS e nel caso ne trovi, li mostra all'utente. Francamente, da quello che mi ricordo di Kaspersky, dovrebbe farlo solamente se ne rilevasse uno nocivo. ;)

[halnovemila]

Ho sempre pensato che la presenza degli ADS (invisibili all'utente) e dei "diritti di accesso" (che possono precludere la modifica/cancellazione di file anche all'amministratore non proprietario) siano caratteristiche del tanto esaltato NTFS che sono più utili ai virus writers che non a soddisfare le esigente dell'utente "domestico".
Pertanto tutte le mie installazioni prevedono (salvo casi particolari) che Windows e programmi siano installati in una partizione FAT32.
Oltre a non dovermi preoccupare di file intrusi invisibili e/o assai difficilmente removibili, mi è possibile riparare il filesystem e accedere, modificare, e pure ripristinare da cancellazione, tutti i files di sistema anche direttamente da un dischetto/pen_drive con un elementare DOS.
Per di più, FAT32 (a differenza dell'NTFS) è completamente supportato e perfettamente accessibile anche da Mac OS e da Linux e non si contano i programmi che sono i grado di recuperare il file cancellati.
Nel mio caso, addirittura, con l'uso di utility DOS che permettono l'accesso ai nomi lunghi, il filesystem del FAT32 mi permette di eseguire dei file batch che rinominano le cartelle di sistema permettendomi di avere più installazioni dello stesso sistema operativo (tipo WinXP+WinXP) o di sistemi operativi diversi (Win98+WinNT+WinXP) assolutamente indipendenti tra loro, senza bisogno di partizioni dedicate, e senza installare boot loader (se non quello nativo di WinNT/XP).
E' stato bello finchè è durato... putroppo mi pare di capire che WinVista (e il suo successore Win7) non possano funzionare senza le "junctions" dell'NTFS.
Saluti.
Alessio.