Nickles › Forum › Service › Klatsch, Fakten, News, Betas

Klatsch, Fakten, News, Betas 5.087 Themen, 27.849 Beiträge

Verfolgung starten

Gefahr aus der Schattenwelt

Soulmann63 am 14.10.2004, 00:00 / 16 Antworten / Flachansicht

Alternate Data Streams als Versteck für Schädlinge

Microsofts NTFS-Dateisystem speichert zusätzliche Informationen in Alternate Data Streams, die man mit Windows-Bordmitteln schwer sichtbar machen kann. Auch Schädlinge können sich in solchen Streams verstecken, denn nicht alle Virenscanner erkennen Malware in Streams zuverlässig.

Bereits seit Windows NT 3.51 unterstützt das von Microsoft entwickelte Dateisystem NTFS (NT File System) sogenannte Alternate Data Streams (ADS) [1]. Darin kann das Betriebssystem zusätzliche Informationen zu einer Datei ablegen, beispielsweise die mit Service Pack 2 eingeführten ZoneIDs, um Dateien als aus dem Internet stammend zu kennzeichnen. Auch Windows-Applikationen nutzen solche Streams seit langem und speichern dort etwa Miniaturbilder für die Vorschau [2]. Jede Datei kann prinzipiell beliebig viele Streams besitzen, die Notation sieht folgendermaßen aus: mehr

      Zwei Fragen beschäftigen mich, wenn ich das lese - eine mehr theoretische ... Olaf19 14.10.2004, 00:00
    
      Kann der Speicherplatzbedarf der ADS mit- verantwortlich dafür sein, dass ... Zaphod 14.10.2004, 00:00
    
      Im Gegenteil - was Clusterbildung angeht, ist NTFS im Vergleich etwa zu ... Olaf19 14.10.2004, 00:00
    
        fnmueller1 Olaf19 „Im Gegenteil - was Clusterbildung angeht, ist NTFS im Vergleich etwa zu FAT32...“
      
        14.10.2004, 00:00 Optionen
      
          ads ist bekannt und wird durchaus gescannt, z.B. von adaware. Ferner liegt das mit der größe idr schon mit dem ntfs system zusammen und dein eindrück täuscht dich nicht. Die Verweise auf die dateien werden nämlich , anders als bei fat systemen, schon ansatzweise afaik in so etwas ähnlichen doppelt in einer db gespeichert. Das verbraucht dann den platz. Das ganze dient der sicherheit und soltle iegentlich mit longhorn dann endlich vollkommen vollzogen werden. MS wollte das wie bei Reiser machen, nur leider haben sie wohl festgestellt, dass sie dessen nicht in diesem zeitrahmen fertig werden
        
             bei Antwort benachrichtigen
        
      Hallo Olaf, man sollte die Clustergröße so klein wie möglich halten, bei ... Soulmann63 14.10.2004, 00:00
    
      Dumme Empfehlung, denn dadurch wird das Dateisystem sehr ineffizient, was ... Rika 14.10.2004, 00:00
    
      zusätzlich sei noch der grössere verschleiss der fp erwähnt fnmueller1 14.10.2004, 00:00
    
      Info: www.heysoft.de/Frames/f_faq_ads_de.htm Tilo Nachdenklich 15.10.2004, 00:00
    
      Auszug aus den FAQ: Olaf19 15.10.2004, 00:00
    
      man mit Windows-Bordmitteln schwer sichtbar machen kann. sorry, aber das ... thomas woelfer 15.10.2004, 00:00
    
      Kann man diese Streams denn auch irgendwie wieder löschen, ohne externe ... Olaf19 15.10.2004, 00:00
    
      O.K. funktioniert ! Aber wo wird physisch nun die Datei test.txt:2 abgelegt ... REPI 15.10.2004, 00:00
    
      Der Stream ist eine Datei wie die Originaldatei auch. Gespeichert wird der ... Rika 15.10.2004, 00:00
    
      Dazu muss man aber den Namen des Streams erst einmal kennen. Und der wird ... Rika 15.10.2004, 00:00
    
      Hallo Rika! LADS listet die Namen und Größen aller ADS, die es findet. Der ... Tilo Nachdenklich 15.10.2004, 00:00
    
      Welchen Teil von Windows-Boardmittel hast du nicht verstanden? Ich selbst ... Rika 15.10.2004, 00:00