Inseguridad
HideBatch NTFS ADS Ocultacion Avanzada de Archivos
Todos los Windows NT nos ofrecen la posibilidad de instalar el S.O bajo un sistema de ficheros llamado NTFS, que supuestamente es más “seguro” que Fat32, porque nos da la oportunidad de crear políticas de acceso a nuestros ficheros, este sistema cuenta con una capacidad no documentada que nos permite usar los ADS (alternate dada stream), esta capacidad nos permite asociar información a un archivo o a un directorio, y existe para crear compatibilidad con el HFS (sistema de archivos de macintosh hierarchical file system), cuando asociamos archivo 1 a un archivo 2, permanece invariable, pero contiene el archivo 1 en esa seccion no documentada que en realidad esta apuntando a archivo2, lo que nos da la sensacion de “meter” todo un archivo dentro de otro.
¿Pero que beneficios nos trae?
Bueno entre varias cosas podemos ocultar un archivo de 100MB dentro de un txt de 1KB si así lo quisiéramos, o en dado caso podríamos incluso ocultar algún tipo de backdoor o malware dentro de un proceso critico del sistema.
Para seguir las practicas he realizado un pequeño batch script que nos automatiza el proceso de ocultación.
hidebatch.bat
color C
cls
title HideBatch NTFS ADS by Octalh [ www.aztekmindz.org ]
if "%1" == "" goto portada
if "%1" == "-h" goto ocultar
if "%1" == "-u" goto mostrar
goto fin
:portada
echo.
echo www.aztekmindz.org :: octalh@gmail.com
echo _ _ _ _ _
echo ^| ^| ^(_^) ^| ^| ^| ^| _ ^| ^|
echo ^| ^|__ _ __^| ^|_____^| ^|__ _____ _^| ^|_ ____^| ^|__
echo ^| _ \^| ^|/ _ ^| ___ ^| _ \^(____ ^(_ _^) ___^) _ \
echo ^| ^| ^| ^| ^( ^(_^| ^| ____^| ^|_^) ^) ___ ^| ^| ^|^( ^(___^| ^| ^| ^|
echo ^|_^| ^|_^|_^|\____^|_____^)____/\_____^| \__^)____^)_^| ^|_^|
echo - Advanced Hide ^| Unhide NTFS File System -
echo - By Octalh -
echo.
echo USO: hidebatch [-h] / [-u] [Archivo 1] [Archivo 2]
echo.
echo { -h } Oculta un archivo dentro de otro
echo { -u } Ejecuta un archivo oculto
echo { Archivo 1 } Archivo a ocultar
echo { Archivo 2 } Archivo donde se ocultara Archivo 1
echo.
echo Ejemplo:
echo.
echo Ocultar archivo: hidebatch -h secreto.txt cancion.mp3
echo Ejecutar archivo oculto: hidebatch -u secreto.txt cancion.mp3
echo.
pause>nul
goto fin
:ocultar
type %2 >%3:%2
goto fin
:mostrar
Start .\%3:%2
goto fin
:fin
.
Suponiendo que queremos ocultar servidor.exe dentro de foto_xxx.jpg
Solo tenemos que ejecutar HideBatch de la siguiente manera:
Ahora podemos proceder a eliminar servidor.exe pues ya se encuentra oculto en foto_xxx.jpg
Y ahora para ejecutar servidor.exe hacemos lo siguiente.
Con esto damos por terminada esta breve explicación de los ADS y claro esperemos que ahora tengan mas conciencia sobre lo indefenso que puede estar un administrador promedio frente a este tipo de ataques.
Ya sabes como siempre cualquier duda un E-mail
Comentarios
4 comments para “HideBatch NTFS ADS Ocultacion Avanzada de Archivos”
Deja un comentario
Categorias
Afiliados [B]
muy buen articulo
No se si esto es nuevo o que pero la verdad me dejo sorprendida.
Tengo un par de dudas:
Porque las fonts de la consola se me ponen en rojo luego de que ejecuto el bat?
Ese archivo si lo copio y lo pego en otra pc, no seguirá teniendo el otro archivo adentro no?
Los AV como se comportan ante esto?
Gracias
Esta tecnica tiene ya varios años, desde la existencia de NTFS en los NT.
Respecto a los AV no todos los detectan, de hecho los AV utilizan los ADS para almacenar informacion extra de los archivos como es el caso de KAV.
Debido a que son datos asociados, no es posible transportarlos.
salu2
Felicidades al inventor de esta maravilla, personalmente me gusta programar en VB.net,C# Y VB6.0 veo que la programacion en Bat es interesante,en este momento estoy mirando codigo de bat en muchos sitios web, para estudiarlos y comprender El porque el como funcionan no me gustaria ser catalogado como un LaMMer como dijo mi profesor de programacion. el codigo de algun programa hay que saborearlo y desmenusarlo para poder hacer los tuyos propios de nuevo te felicito por tu aporte