Det här är säkert användbart för någon av er...

Man kan gömma filer i "Alternate Data Streams" (ADS) under andra filer och mappar...

Under någon NTFS-partition, kör de här kommandona:



swerat.txt skapas, och är 0 byte, och innehåller ingenting.
"Gömd text" ligger i hidden.txt som är sparad i ADS (swerat.txt)

För att ändra/läsa filen:



För att "binda" binärer:



För att lägga filen i en mapp:

Mappen SWERAT anses vara tom i explorer...

Ta bort filerna genom att antingen flytta dom till ett annat partitionsformat, FAT32, ext3 etc eller ta bort ursprunsfilen (swerat.txt)

OBS. Detta funkar endast under NTFS

Well, om vi nu ska återgå till att vara seriösa.


ADS, eller AlternateDataStream, är en kvarleva för bakåtkompabilitet som MS valt att behålla i filsystemet, för mycket mycket gamla applikationer.
När de började användas fanns inte bra gränssnitt för att enumerera dataströmmar, men idag finns det. Ett annat problem är att det finns ganska få skäl att lägga saker i dataströmmar, varför frekvensen av saker som är "dåliga" som ligger där är hög, varför AV och andra verktyg anser detta som lite extra suspekt. Alltså är det inte en strålande plats att gömma saker på.

Tekniken var bättre på Windows2000, där är operativet inte kapabelt att känna av att något exekveras som en ADS i processhanteraren.
I praktiken:
type notepad.exe > explorer.exe:myHiddenProcess.exe
start [path]\explorer.exe:myHiddenProcess.exe kommer att visa att processen Explorer körs.
I WindowsXP visas dock
Explorer.exe:myHiddenProcess.exe


För att hantera strömmarna krävs IO-operationer som inte använder "IfFileExist"-kontrollen, vilket många högnivå-anrop gör.

Kommandon som jag känner till som stödjer ADS är:
echo (används för att skriva in text)
type (används för att skriva in en fil i en ADS, även binära filer)
start (används för att exekvera en ADS, KRÄVER FULL PATH)
cscript (används för att exekvera script, t.ex. javascript eller vbscript. Klarar sig utan full path! Process listas som cscript utan att specificera scriptets path))
wscript (samma som ovan, men output är inte till commandline utan via popup-rutor. Process listas som wscript utan att specificera scriptets path)

Hur gör vi då för att skicka en ADS till någon annan? Vi kan ju "parkera" vår data i en ADS väl på systemet, men vi vill gärna komma dit covert på en gång.
WinRAR har stöd för att komprimera filer, och i avancerade inställningar finns "Preserve filestreams"


Tekniken finns, som flera säger, redan beskriven på forumen, har även en kort sektion om detta i silversektionen, som dock inte är öppen för alla.

Det finns en del andra småknep att leka med i sammanhanget.
Ett är att editera genvägar till att exekvera script som ligger i en ADS, på en genväg. En möjlighet är då att kontrollera om det finns någon .lnk-fil i autostart, läsa av dess egenskaper, crafta en ny .lnk som ersätter den, som startar en ADS bunden till den, som man i sin tur då nyttjar type eller echo för att mata in ett script i, för att starta den applikation som är förväntad, samt den egna programvaran.

Så en ADS kan:
Dölja data men INTE processer
Innehålla exekverbara script (anges switchen //e kan ändelsen vara vad som helst, bara man anger scriptengine som skall användas)
Hålla textdata editerbara via notepad
Hålla exekverbar data som kan startas med start-kommandot, givet full path

Vet inte om det kompletterar i någon större utsträckning, men lite nytt finns nog i det.

Edit:
En kort kommentar till första posten i tråden:
Syntaxen
Echo TEXT >> fil.txt:stream.txt APPENDAR texten till strömmen, och skapar den om den inte finns
Echo TEXT > fil.txt:stream.txt öppnar strömmen i read-mode.

Skillnaden syns snabbt om ni matar in i en textfil m.h.a. echo eller dylikt.

End edit.


//Mja

Det finns även information om ADS här.