4.3/5 - (3 votes)
.

Les flux ADS (Alternate Data Stream).

Le système de fichiers NTFS, utilisé par Microsoft a une fonctionnalité qui est peu documentée et inconnue de beaucoup de développeurs, administrateurs.

Cette fonctionnalité se nomme Alternate Data Streams et permet à des données comme du texte, des graphiques ou du code exécutable d’être stockées dans des fichiers cachés. Ces derniers sont liés à un fichier visible normal.

L’utilité principale de ces flux étaient de permettre le support du système de fichiers Macintosh Hierarchical File System (HFS) et ainsi de permettre à un système de type Windows NT d’être serveur de fichiers pour des clients Macintosh.

Ces flux ADS peuvent être de tout type, pas seulement du texte, mais aussi des images et même des exécutables. La représentation se fait avec la concaténation de la métadonnée, séparé par deux points. Dans l’exemple ci-dessous, lorsque le fichier “Autoruns.exe” sera lancé, c’est le programme “notepad.exe” qui sera exécuté :

C:\Users\Coolman\Downloads\Autoruns\Autoruns.exe:notepad.exe

Les flux Alternate Data Streams présentent un risque au niveau de la sécurité car ils sont complètement cachés, ils offrent une possibilité de détournement pour les Chevaux de Troie (Trojan) et les attaques par déni de service DDoS.

ZHPDiag permet une recherche de certains flux ADS (Alternate Data Streams). La zone de recherche se situe principalement dans les fichiers qui sont lancés au démarrage comme par exemple ceux issus des modules :

O4 – Applications démarrées automatiquement par le registre,
O23 – Les services démarrés en automatique,
O38 – Tâches planifiées démarrées en automatique,
O108 – Les clés de raccourcis de menu contextuels,

La recherche de certains flux ADS s’étend aussi à certains dossiers de l’utilisateurs comme par exemple la zone de téléchargement et le Bureau Windows.

Aperçu dans le rapport

—\\ Scan Additionnel (3) – 1s
ADS Présent [:Zone123.png] – C:\Users\Coolman\Desktop\SFT.exe:Zone123.png =>.SUP.FileADS
ADS Présent [:trash111.exe] – C:\Users\Coolman\Downloads\Autoruns\Autoruns.exe:trash111.exe  =>.SUP.FileADS
ADS Présent [:1ut2ml3x14tuuug1Hyamue2s4c] – C:\Users\Coolman\Card One 12203.jpeg:1ut2ml3x14tuuug1Hyamue2s4c  =>.SUP.FileADS

 

 

A propos de l'auteur

Retour en haut