{"id":7632,"date":"2014-07-25T15:44:44","date_gmt":"2014-07-25T18:44:44","guid":{"rendered":"http:\/\/www.ethicalhacker.com.br\/site\/?p=7632"},"modified":"2019-06-18T17:53:20","modified_gmt":"2019-06-18T20:53:20","slug":"escondendo-malwares-com-ads","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2014\/07\/basico\/escondendo-malwares-com-ads\/","title":{"rendered":"Escondendo Malware com ADS"},"content":{"rendered":"

Acredita-se que qualquer profissional de seguran\u00e7a da informa\u00e7\u00e3o esteja familiarizado com SOs e sistemas de arquivos, um exemplo interessante, os fluxos de dados alternativos que tamb\u00e9m s\u00e3o conhecidos como ADS ou Alternate Data Stream. O ADS foi introduzido ao sistema de arquivos NTFS do Windows a partir do Windows NT 3.1, o intuito foi permitir a compatibilidade entre arquivos HFS do Mac. Apesar de ter sido criado para o bem, esconde um perigo, pois pode ser utilizado de forma maliciosa, exemplo, oculta\u00e7\u00e3o de arquivos.<\/p>\n

abaixo, \u00e9 demonstrado algumas t\u00e9cnicas de oculta\u00e7\u00e3o.<\/p>\n

1. Criando a pasta de testes:<\/p>\n

C:\\>mkdir ads<\/strong><\/p>\n

2. Criando arquivo arq1.txt, com o conte\u00fado ol\u00e1 mundo:<\/p>\n

C:\\> echo \u201col\u00e1 mundo\u201d > arq1.txt<\/strong><\/p>\n

3. Ocultando o arquivo oculto.txt em arq1.txt conte\u00fado Mensagem Secreta:<\/p>\n

C:\\> echo \u201cMensagem Secreta\u201d > arq1.txt:oculto.txt<\/strong><\/p>\n

Note que, se listar o diret\u00f3rio, o arquivo oculto.txt n\u00e3o \u00e9 mostrado.<\/p>\n

\"\"<\/a><\/p>\n

4.) Lendo o arquivo arq1.txt<\/p>\n

C:\\> notepad arq1<\/strong><\/p>\n

\"\"<\/a><\/p>\n

5.) Lendo o arquivo oculto.txt<\/p>\n

C:\\> notepad arq1.txt:oculto.txt<\/strong><\/p>\n

\"\"<\/a><\/p>\n

6.) Plantando um malware<\/p>\n

C:\\> type malware.exe > emails.txt:malware.exe<\/strong><\/p>\n

\"\"<\/a><\/p>\n

7.) Executando :<\/p>\n

C:\\> start emails.txt:malware.exe<\/strong><\/p>\n

\"\"<\/a><\/p>\n

Voc\u00ea pode checar a exist\u00eancia de ADS atrav\u00e9s do comando:<\/p>\n

C:\\> dir \/r<\/strong><\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

\u00c9 isso ai … at\u00e9 a pr\u00f3xima !!!<\/p>\n

 <\/p>\n\r\n\t\t

\r\n\t\t\t
\r\n\t\t\t\t
\r\n\t\t\t\r\n\t\t\t
<\/div>\r\n\t\t<\/div> \r\n\t\t
\r\n\t\t\t

Autor: S\u00edlvio C\u00e9sar Roxo Giavaroto<\/p>\n

\u00c9 MBA Especialista em Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o,<\/p>\n

Tecn\u00f3logo em Redes de Computadores, C|EH Certified Ethical Hacker,<\/p>\n

atua como Pentest e Analista de Seguran\u00e7a em Servidores Linux no<\/p>\n

Governo do Estado de S\u00e3o Paulo, Professor Universit\u00e1rio , Instrutor<\/p>\n

C|EH e C|HFI.<\/p>\r\n\t\t<\/div> <\/p>\r\n\t\t\t<\/div> \r\n\t\t<\/div> \n","protected":false},"excerpt":{"rendered":"

Acredita-se que qualquer profissional de seguran\u00e7a da informa\u00e7\u00e3o esteja familiarizado com SOs e sistemas de arquivos, um exemplo interessante, os fluxos de dados alternativos que tamb\u00e9m s\u00e3o conhecidos como ADS ou Alternate Data Stream. O ADS foi introduzido ao sistema de arquivos NTFS do Windows a partir do Windows NT 3.1, o intuito foi permitir […]<\/p>\n","protected":false},"author":1,"featured_media":7700,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100],"tags":[],"class_list":["post-7632","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=7632"}],"version-history":[{"count":13,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7632\/revisions"}],"predecessor-version":[{"id":10375,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7632\/revisions\/10375"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/7700"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=7632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=7632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=7632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}