Il y a quelques jours je suis tombé sur une fonctionnalité de Windows pour le moins déconcertante.
Figurez-vous qu’il est possible de cacher un fichier derrière un autre fichier! On peut par exemple cacher un exécutable derrière un fichier texte existant déjà. Et seul celui qui a caché le fichier sait le retrouver.
Ce type de fonctionnalité pourrait être très utile pour le “visiteur” d’une machine qui souhaite y laisser quelques données car il a bien envie d’y revenir plus tard pour continuer son travail!
Quelques éclaircissements s’imposent!
Cette astuce est permise par l’utilisation de ADS (Alternate Data Stream). ADS est une fonctionnalité native de Windows NTFS permettant la compatibilité avec le système de fichiers d’Apple.
1ère étape:sur un Windows 7, cachons un fichier texte derrière un autre fichier texte
C:\Test>type wanttohide.txt > normal.txt:hidden.txt
C:\Test>del wanttohide.txt
C:\Test>notepad.exe normal.txt:hidden.txt
Bien que supprimé, le fichier “wanttohide.txt” s’ouvre.
2ème étape: sur un Windows XP SP3, cachons un fichier “exécutable” derrière un fichier texte
C:\Test>type notepad.exe > exec.txt:hidden.exe
C:\Test>del notepad.exe
C:\Test>start C:\Test\exec.txt:hidden.exe
Bien que supprimé, l’exécutable “notepad.exe” s'ouvre.
Cependant il faut noter que n’importe quel “kit de forensics” permet de vérifier la présence d’ADS.
Source: livre “CEH” de Matt Walker aux éditions Mc Graw Hill
Figurez-vous qu’il est possible de cacher un fichier derrière un autre fichier! On peut par exemple cacher un exécutable derrière un fichier texte existant déjà. Et seul celui qui a caché le fichier sait le retrouver.
Ce type de fonctionnalité pourrait être très utile pour le “visiteur” d’une machine qui souhaite y laisser quelques données car il a bien envie d’y revenir plus tard pour continuer son travail!
Quelques éclaircissements s’imposent!
Cette astuce est permise par l’utilisation de ADS (Alternate Data Stream). ADS est une fonctionnalité native de Windows NTFS permettant la compatibilité avec le système de fichiers d’Apple.
1ère étape:sur un Windows 7, cachons un fichier texte derrière un autre fichier texte
C:\Test>type wanttohide.txt > normal.txt:hidden.txt
C:\Test>del wanttohide.txt
C:\Test>notepad.exe normal.txt:hidden.txt
Bien que supprimé, le fichier “wanttohide.txt” s’ouvre.
2ème étape: sur un Windows XP SP3, cachons un fichier “exécutable” derrière un fichier texte
C:\Test>type notepad.exe > exec.txt:hidden.exe
C:\Test>del notepad.exe
C:\Test>start C:\Test\exec.txt:hidden.exe
Bien que supprimé, l’exécutable “notepad.exe” s'ouvre.
Cependant il faut noter que n’importe quel “kit de forensics” permet de vérifier la présence d’ADS.
Source: livre “CEH” de Matt Walker aux éditions Mc Graw Hill
Plus de détails
RépondreSupprimerhttp://www.hsc.fr/ressources/breves/ADS.html.fr
HTH
Merci botoxsmile pour ces précisions!
RépondreSupprimer