Nickles › Forum › Service › Klatsch, Fakten, News, Betas

Klatsch, Fakten, News, Betas 5.087 Themen, 27.849 Beiträge

Verfolgung starten

Gefahr aus der Schattenwelt

Soulmann63 am 14.10.2004, 00:00 / 16 Antworten / Flachansicht

Alternate Data Streams als Versteck für Schädlinge

Microsofts NTFS-Dateisystem speichert zusätzliche Informationen in Alternate Data Streams, die man mit Windows-Bordmitteln schwer sichtbar machen kann. Auch Schädlinge können sich in solchen Streams verstecken, denn nicht alle Virenscanner erkennen Malware in Streams zuverlässig.

Bereits seit Windows NT 3.51 unterstützt das von Microsoft entwickelte Dateisystem NTFS (NT File System) sogenannte Alternate Data Streams (ADS) [1]. Darin kann das Betriebssystem zusätzliche Informationen zu einer Datei ablegen, beispielsweise die mit Service Pack 2 eingeführten ZoneIDs, um Dateien als aus dem Internet stammend zu kennzeichnen. Auch Windows-Applikationen nutzen solche Streams seit langem und speichern dort etwa Miniaturbilder für die Vorschau [2]. Jede Datei kann prinzipiell beliebig viele Streams besitzen, die Notation sieht folgendermaßen aus: mehr

        Olaf19 Soulmann63 „Gefahr aus der Schattenwelt“
      
        14.10.2004, 00:00 Optionen
      
          Zwei Fragen beschäftigen mich, wenn ich das lese - eine mehr theoretische und eine handfest praktische.

          Da die ADS im Verborgenen arbeiten, sehe ich neben dem Eindringen von Schadsoftware noch ein anderes Gefahrenpotential: Könnten ADS nicht auch dafür missbraucht werden, persönliche Daten des Nutzers (Surfverhalten z.B.) dort zu hinterlegen und bei Gelegenheit wieder abzufragen? Das Ganze würde sich unbemerkt "hinter dem Rücken" des Users vollziehen, der i.d.R. gar nicht weiß, dass es ADS überhaupt gibt.

          Nun zur praktischen Frage: Kann der Speicherplatzbedarf der ADS (mit-)verantwortlich dafür sein, dass auf der Systempartition meist (deutlich) mehr Speicherplatz belegt ist, als die Summe der Größen aller Dateien und Ordner es vermuten lässt?

          Bin mal gespannt, ob da jemand weiter weiß.

          CU

          Olaf
        
         Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
      
             bei Antwort benachrichtigen
        
      Kann der Speicherplatzbedarf der ADS mit- verantwortlich dafür sein, dass ... Zaphod 14.10.2004, 00:00
    
      Im Gegenteil - was Clusterbildung angeht, ist NTFS im Vergleich etwa zu ... Olaf19 14.10.2004, 00:00
    
      ads ist bekannt und wird durchaus gescannt, z.B. von adaware. Ferner liegt ... fnmueller1 14.10.2004, 00:00
    
      Hallo Olaf, man sollte die Clustergröße so klein wie möglich halten, bei ... Soulmann63 14.10.2004, 00:00
    
      Dumme Empfehlung, denn dadurch wird das Dateisystem sehr ineffizient, was ... Rika 14.10.2004, 00:00
    
      zusätzlich sei noch der grössere verschleiss der fp erwähnt fnmueller1 14.10.2004, 00:00
    
      Info: www.heysoft.de/Frames/f_faq_ads_de.htm Tilo Nachdenklich 15.10.2004, 00:00
    
      Auszug aus den FAQ: Olaf19 15.10.2004, 00:00
    
      man mit Windows-Bordmitteln schwer sichtbar machen kann. sorry, aber das ... thomas woelfer 15.10.2004, 00:00
    
      Kann man diese Streams denn auch irgendwie wieder löschen, ohne externe ... Olaf19 15.10.2004, 00:00
    
      O.K. funktioniert ! Aber wo wird physisch nun die Datei test.txt:2 abgelegt ... REPI 15.10.2004, 00:00
    
      Der Stream ist eine Datei wie die Originaldatei auch. Gespeichert wird der ... Rika 15.10.2004, 00:00
    
      Dazu muss man aber den Namen des Streams erst einmal kennen. Und der wird ... Rika 15.10.2004, 00:00
    
      Hallo Rika! LADS listet die Namen und Größen aller ADS, die es findet. Der ... Tilo Nachdenklich 15.10.2004, 00:00
    
      Welchen Teil von Windows-Boardmittel hast du nicht verstanden? Ich selbst ... Rika 15.10.2004, 00:00