Alternate Data Streams - ADS

Sinto cimes de voc. A tcnica 'ADS' (acrnimo para 'Alternate Data Streams'), como eu posso dizer...Um prato cheio para quem quer esconder um arquivo muito bem escondido eliminando quase qualquer possibilitasse de algum encontr-lo, fazendo com que a porcentagem das possibilidades de se encontrar um arquivo em ADS seja de 1% estourando ("sem ferramentas de deteco"). Prepare-se para conhecer mais uma boa tcnica, mas ateno, o ADS s funciona em sistema de arquivo NTFS; resumindo: Voc no conseguir fazer algo parecido com o ADS se tiver usando o sistema de arquivos FAT ou algo do tipo ext2, caracterstica MS. Vou copiar a calculadora do Windows e vou criar um arquivo de texto com um contedo qualquer, apenas para teste, lembrando que funciona com qualquer arquivo, vou usar a calculadora apenas para demonstrao. ---- cut ---cd\ copy %systemroot%\system32\calc.exe \ echo teste > teste.txt

---- cut ---Este pequeno script (batch) entrar no diretrio raiz, copiar a calculadora do Windows para o diretrio corrente e jogar a palavra teste pra dentro de um arquivo de texto chamado teste.txt, assim criando o mesmo, isso pode automatizar as coisas para voc nos seus testes. J tenho os dois arquivos:

type c:\calc.exe > teste.txt:Calculadora.exe

Esse comando ir jogar a calculadora (calc.exe) para dentro do arquivo teste.txt e o nome do stream ser 'Calculadora.exe', agora faa o seguinte teste: d uma olhada nas propriedades do arquivo teste.txt para ver o seu tamanho, voc ver a mesma coisa de antes de jogar a calculadora para dentro dele, a vantagem em se esconder um arquivo com ADS que ele fica escondido dentro de outro arquivo e no da nenhum sinal de que esteja ali. Jogue vrios arquivos para dentro do teste.txt e veja que o tamanho do mesmo nunca mudar, isso o que torna a tcnica de ADS fantstica. Repare bem que mesmo "o arquivo" no pesando mais do que pesava, o arquivo inserido em ADS ainda vai ocupar espao no seu HD, mas acredito que isso meio evidente. Agora se voc quiser executar a calculadora ou qualquer outro arquivo que venha a inserir atravs da tcnica de ADS, simples, para isso voc ter que usar o comando 'start' e se lembrar do nome que especificou (nome do stream) para o arquivo na hora que o jogou para dentro do outro; assim:
start c:\teste.txt:Calculadora.exe

Repare que anteriormente eu tinha jogado a calculadora do Windows que se chamava calc.exe para dentro do arquivo de texto como calculadora.exe, tambm repare na utilizao dos dois pontos. Ento para eu poder executar a calculadora eu coloco o comando start seguido do caminho do arquivo cobaia (teste.txt) e depois dois pontos (':') para determinar o nome e a extenso do arquivo que escondemos dentro do arquivo cobaia (nome do stream).

Agora imagine se voc quiser esconder um trojan com ADS, isso seria muito inteligente se tratando do ponto de vista da sabotagem. Vamos mais alm e vamos ver mais possibilidades de utilizao desta tcnica.

Mais utilizaes

E se voc quiser escrever um pequeno texto contendo uma mensagem secreta ou algo do tipo para um amigo que sabe que existe uma mensagem sua para ele usando a tcnica de ADS em algum arquivo, em algum lugar (veja quanto coisa vaga), mas voc no quer deixar esse arquivo com a mensagem ou senhas ou algo do tipo (olha eu de novo) exposto para qualquer um, o que voc faz? Voc l este paper baby. Vamos ir muito mais alm (l vem ele), voc quer escrever um dirio para desabafar o que mais te atormenta, l voc coloca uma porrada de coisa comprometedora e tals, tipo isso: Meus Podres: Catei minha sogra vinha porque confundi ela com minha mulher no banheiro quando cheguei em casa bbado ontem, a vinha ficava s calada e de vez em quando dizia: hum... hum... como eu poderia adivinhar? Obs: Tava tudo escuro =) Peguei a mulher de um amigo meu com um cara, no sei se conto pra ele... eu era o cara -.0

No esquente, ningum acha =) Lembrando que voc no precisar criar um arquivo de texto para depois jogar para outro, pode escrever a mensagem e jogar como arquivo de texto 'diretamente' quando quiser usando a sintaxe: echo me encontre na rua 13 para me dar o disquete com as senhas > teste.txt:oculto.txt Joguei o meu pequeno texto para dentro do arquivo teste.txt com o nome oculto.txt, ento digo para meu amigo que a mensagem est em uma LAN House na rua tal ehehe (que clima de espionagem), di ele vai l ao computador indicado e abre o ADS com o comando: start c:\teste.txt:oculto.txt . Voc ter o seguinte resultado:

O arquivo original (teste.txt) no ser alterado de forma alguma e conter os mesmos dados de antes de voc colocar outro arquivo sobre ele, repare que na barra de ttulo est escrito 'teste.txt:oculto.txt', isso significa que ele esta lendo o arquivo que est dentro do teste.txt. Vou tornar a repetir, se algum por algum acaso executar o arquivo cobaia (teste.txt) ela vai ver o contedo desse arquivo e NO O CONTEDO DO STREAM (oculto.txt).

Entendendo mais as sintaxes de ADS - Redirecionadores

Veja que legal, como todos sabemos o comando 'echo' exibe mensagens na tela. Exemplo:

Este comando no se chama 'echo' (eco em portugus) por qualquer motivo no rsr. Voc grita e ele repete, mas o que isso tem haver com esse tutorial? Nada, s pra constar ae mais uma subliminar rsrs. Zuera vi, s proces entender melhor, tipo, vocs podem redirecionar a sada do echo para um arquivo tambm ('como eu mostrei no comeo do paper').

Ele cria o arquivo Ta.ferrado.zinuM.txt na raiz (Minha raiz 'C:\') com a frase 'Vou ser um encosto na sua vida cara'. Legal, no? E s pra lembrar: echo me encontre na rua 13 para me dar o disquete com as senhas > teste.txt:oculto.txt Se eu no colocasse o ':oculto.txt' a phrase acima ia sobrescrever o contedo original de teste.txt, e se no tivesse nada no teste.txt, o mesmo teria a frase acima; e se o arquivo teste.txt no existisse o windows iria criar um arquivo (teste.txt) com essa phrase (olha quantas possibilidades (*)). Vou fazer uma comunidade no orkut e espero que voc participe; titulo: Os redirecionadores >, <, >>, |, tee. Agora sabemos como manipular arquivos de texto e como inserir strings (textos) nos mesmos utilizando o comando 'echo', mas muitos podem estar se perguntando (mesmo depois de ter acabado de ler acima): E para arquivos binrios, qual o comando mesmo? Para binrios o comando 'type' que o encarregado de inserir streams binarios (arquivos binarios - 'exe') nas cobaias. Sintaxe do type a seguinte:

Sacaram? O comando 'type' serve para exibir o contedo dos arquivos, nesse exemplo eu quis ver a mensagem que est dentro do arquivo 'Ta.ferrado.zinuM.txt' que est localizado na minha raiz 'C:\'. Voc inclusive pode fazer uma copia do contedo do arquivo 'Ta.ferrado.zinuM.txt' para um outro arquivo... Ei! Ei! Ei! vocs lembram que possvel redirecionar a sada de comandos usando o '>' (sinal de 'maior que') para determinados lugares? Exemplo:

J que eu t usando o comando 'type' eu posso visualizar o contedo do arquivo e o resultado vai ser mostrado na janela do console (aquela tela preta)... hum.... Mas olha que interessante, o redirecionador '>' possibilita que voc jogue o que iria ser jogado na janela do console (O que nos hackers costumamos chamar de Shell) para um determinado arquivo, ou seja, ao invs de ser jogado na shell (janela preta) o contedo de Ta.ferrado.zinuM.txt, o redirecionador manda o que "seria" exibido no console para um outro arquivo que se chama: joga_o_conteudo_pra_k.txt

Hei cara! Como eu sei que vou ta jogando o contedo de Ta.ferrado.zinuM.txt para o arquivo joga_o_conteudo_pra_k.txt? Simples vio, o comando 'type' faz o que mesmo? Exibe o contedo do arquivo na tela e esse contedo que vai ser redirecionado! Legal! J que eu no especifiquei para onde este arquivo iria, ele vai para o meu diretrio corrente que :

Mas eu poderia jogar para qualquer parte do meu sistema, tipo assim:

Reparem aqui: 'C:\joga_o_conteudo_pro_C.txt' Repara mais aqui 'C:\'... sacaram? O comando type com o redirecionador faz a mesma coisa que copiar o contedo de um arquivo (o que seria exibido na janela do console) para um outro determinado lugar. Ou seja.... ':ADSBaby.oculto'. Entenderam? Esse o help do windows para o comando type

Mas ele no diz que obrigatoriamente um arquivo de texto. Na verdade o comando 'type' TAMBM exibe o que existe dentro de um arquivo 'exe' ou "qualquer outro sem extenso". Eu posso copiar at uma imagem em JPG com o type ou simplesmente definicar um arquivo (maldade). O comando cat do Unix/Linux serve para a mesma coisa, visualizar contedo de files, redirecionar sadas, extrair ADS..:) Existe um pacoto de softwares GNU/Linux portados para windows, inclusive o cat.

Visualizando, Copiando e executando imagem

Acima eu uso o '>' para jogar o lixo que ia ser mostrado na tela para o arquivo Oi!.jpg lah no disco C:\, lembrando que se no existir um arquivo chamado Oi!.jpg ele vai criar um novinho (repara aqui: 'JPG', tambm eh imagem =).

Aqui voc roda a imagem; o comando start executa as coisas no windows =) Nesse exemplo eu quis rodar (start) o arquivo Oi!.jpg que ta na minha raiz ('\'). Nota do autor: rodar eh uma gria hacker (alias para executar). Como voc pode ver podemos sobrescrever o contedo de uma imagem no diretrio de destino por um contedo de um arquivo de imagem no diretrio de origem, mas e se eu quiser inserir mais dados adicionais ao invs de perder o contedo do arquivo de destino? Simples, use o >>. Exemplo:
C:\Documents and Settings\David>type You.txt >> C:\Die.txt

T jogando o contedo de You.txt para C:\Die.txt inserindo mais dados e nao "sobrescrevendo. Jah que to inserindo mais dados significa que o arquivo vai sempre enchendo de bytes? Bingo! Saca s: Com algum script para automatizar, em alguns segundos temos mais ou menos uns:

MBs pesando no HD. Se bem que meu primo Israel tem 1 Tera Byte de espao no HD externo l33t dele; tamo quase lotando o bagulho - *esses viciados em series de [Tv]* } ;P Cad o script? ---- cut ---cd\ echo goto :1 type goto flood > flooded.txt 1 flooded.txt >> flooded.txt 1

---- cut ---Adorava isso quando tinha 18 anos. Compile seu arquivo em lotes com o Quick Batch File Compiler em Ghost Application para ocultar a janela do console. Estes simples comandos quando executados em um arquivo em lote gerou um arquivo de texto chamado flooded.txt que em apenas alguns segundos j alcanou o tamanho de 103 MB.

Sintaxe opcional de streams - Utilizando o notepad

Fazendo isso voc pode criar o ADS diretamente na cobaia usando o notepad, nem precisa usar o echo. E para ler voc s precisa fazer isso:

Extraindo ADS
Tipo assim gente boa, para voce tirar os streams (arquivos ocultos) de dentro das cobaias voce tem que fazer isso:
cat c:\cobaia:executavel.exe > executavel_extraido.exe

Com essa sintaxe to extraindo de dentro da cobaia (cobaia.txt) o stream 'executavel.exe' jogando ('>') o contedo do mesmo para o novo arquivo chamado 'executavel_extraido.exe'. Vocs j manjam os comandos e agora entendem bem pra que serve os redirecionadores, nem precisa mais gastar dedo (Neh Al? ,)

Detectando ADS
Gostaria que vocs prestassem bem ateno porque esse programa muiNto complexo, talvez nunca consigam de fato aprender a usar tal ferramenta devido ao seu alto nvel de complexidade rstica das trevas das engenharia de software da vida.
Usage: lns <drive/directory>

Exemplos de uso
Vamos fazer os procedimentos:

O nome do stream ai 'Acho.txt'. Nota que consegui fazer o ADS na maior facilidade porque uso o MS-Windows fodo da minha lixeira aqui de casa.

Acima ele no acha nada. Abaixo sim, veja:

Ateno pessoal: No esqueam de usar o PATH completo, caso contrario vai dar erro.

-----BEGIN PGP PUBLIC KEY BLOCK----Version: PGP 8.0.3 - not licensed for commercial use: www.pgp.com mQGiBE6m7AkRBADS4ehARVAZ4orSI+UYx5Gg6Ydv23r44sj54ZLT7ViuaO98WsB8 lnCKmwCybEdkiuH9FEOteuVxGFrg7mpm8u/QzohKlFZ5JkJb24eALtGXw4fTGx3m EI0L4hiRT8TrsIWpp+NExnqD64JjHY5OaJCfW652NzMwiYy4SfbVm6bz2wCg/3ie KC9J02ZdgfK7sDJDhJ2OikUEAIHSYN5ixknNU+R0h31hKnXPZ0oJ2ECuDxiakfgv JjoL15lcgRJ6uBI4YX11cdi/LBZcaIHAK42KtA4Z34ui+WLhM00nb3Ur+ylgJtBY 11bQFt3AS6Rgd5uvHqlsQ45qOcfHbomoMPW1oB8KMGqTBifsrAA1TMuSCIxDrdL3 GQqZA/9YJFDc9HXSyJDpIqVZFFXevRAbMvuxp/aagXidXx8/J3Ybvte94/nghM11 mhzPKl8Bu/H7sLa7W4mhxERj2hzUsMAaNV16vNx0bXQobuII06hMKNo3pM3Avj9P nxYaLhjJu3i4GqQ48p7WGZPd18eOnLKw1Itf1o4RS7Q7DbAV7LQgNl9CbDRjazlf ZjB4NiA8Yi1mb3hAYm9sLmNvbS5icj6JAFcEEBECABcFAk6m7AkHCwkIBwMCCgIZ AQUbAwAAAAAKCRCJcb9ObQkFa75RAKCIXpn3tm7WpF1hP6IFIeqz6v24jgCeNpRw ugqrnoo9REYCRqsRiwGFhSi5Ag0ETqbsCRAIAPZCV7cIfwgXcqK61qlC8wXo+VMR OU+28W65Szgg2gGnVqMU6Y9AVfPQB8bLQ6mUrfdMZIZJ+AyDvWXpF9Sh01D49Vlf 3HZSTz09jdvOmeFXklnN/biudE/F/Ha8g8VHMGHOfMlm/xX5u/2RXscBqtNbno2g pXI61Brwv0YAWCvl9Ij9WE5J280gtJ3kkQc2azNsOA1FHQ98iLMcfFstjvbzySPA Q/ClWxiNjrtVjLhdONM0/XwXV0OjHRhs3jMhLLUq/zzhsSlAGBGNfISnCnLWhsQD GcgHKXrKlQzZlp+r0ApQmwJG0wg9ZqRdQZ+cfL2JSyIZJrqrol7DVekyCzsAAgII AK84dlRpXQmzGpEwLkDtgnVmjhe/ZQUc6nqHTjc11EJhylJDkMLYkMOV01S/Q7Ni 9E5qPI3QX0PKW7LN6Ax3NZX3CqruIjiyi+fjogyxpjgbi1HudyN8rzGa2KkYlJE4 QShw3856jc5t3sTnuOn6hsx0afQbHgLHBeJDxDXxxSEdtU7A6F6fQKX89K1j36Ts 023V7Xh9C9ffkEol0p3CGrjEZxaTNow+F4iRNya21DZdMAYYu9jE/HQM6LXXjRt3 NOR5Y+T60jY7UUAu6giutXRNnAW/LsbcDd19tYX49UGX6w4MqM6y/vtQjBRpQbCp gJE1f1hOdMgAhllRU/CN+ZCJAEwEGBECAAwFAk6m7AkFGwwAAAAACgkQiXG/Tm0J BWsTigCbBMsFdy6ojnd18NbacKGR33udNwEAoJcyT4173Sav6oGS0g/h4gSy4Kib =IeRl -----END PGP PUBLIC KEY BLOCK-----

[]'s by 6_Bl4ck9_f0x6 Corporao Vbora

que preciso que te espero, no consigo nem dormir