dimanche 29 avril 2012

Un fichier peut en cacher un autre

Il y a quelques jours je suis tombé sur une fonctionnalité de Windows pour le moins déconcertante.

Figurez-vous qu’il est possible de cacher un fichier derrière un autre fichier! On peut par exemple cacher un exécutable derrière un fichier texte existant déjà. Et seul celui qui a caché le fichier sait le retrouver.

Ce type de fonctionnalité pourrait être très utile pour le “visiteur” d’une machine qui souhaite y laisser quelques données car il a bien envie d’y revenir plus tard pour continuer son travail!

Quelques éclaircissements s’imposent!

Cette astuce est permise par l’utilisation de ADS (Alternate Data Stream). ADS est une fonctionnalité native de Windows NTFS permettant la compatibilité avec le système de fichiers d’Apple.

1ère étape:sur un Windows 7, cachons un fichier texte derrière un autre fichier texte
C:\Test>type wanttohide.txt > normal.txt:hidden.txt
C:\Test>del wanttohide.txt
C:\Test>notepad.exe normal.txt:hidden.txt

Bien que supprimé, le fichier “wanttohide.txt” s’ouvre.

2ème étape: sur un Windows XP SP3, cachons un fichier “exécutable” derrière un fichier texte
C:\Test>type notepad.exe > exec.txt:hidden.exe
C:\Test>del notepad.exe
C:\Test>start C:\Test\exec.txt:hidden.exe

Bien que supprimé, l’exécutable “notepad.exe” s'ouvre.

Cependant il faut noter que n’importe quel “kit de forensics” permet de vérifier la présence d’ADS.

Source: livre “CEH” de Matt Walker aux éditions Mc Graw Hill

2 commentaires:

  1. Plus de détails
    http://www.hsc.fr/ressources/breves/ADS.html.fr
    HTH

    RépondreSupprimer
  2. Merci botoxsmile pour ces précisions!

    RépondreSupprimer

Partager avec...