Les dossiers spéciaux et le stockage de fichiers invisibles

16
oct.
2012
  • Google Plus
  • LinkedIn
  • Viadeo
Posted by: Yann C.  /   Category: Administration réseaux et systèmes / Invisibilité & camouflage / OS / Windows   /   Pas de commentaire

Dans tous environnements Windows il y a des dossiers que l’on peut qualifier de « spéciaux ». Ces dossiers sont régulièrement représentés par une icône spécifique, comme c’est le cas de la Corbeille avec sa petite poubelle, ou encore le dossier des favoris du navigateur avec une étoile.

D’autres dossiers, quant à eux, disposent de fonctionnalités différentes. C’est le cas du dossier « Fonts » se trouvant dans « C:\Windows\Fonts » et qui contient toutes les polices d’écriture du système. Lorsqu’un fichier est collé au sein de ce dossier, Windows tente automatiquement d’installer la nouvelle police. A noter qu’il n’est pas possible via l’explorateur de créer des dossier par exemple dans ce répertoire spécial.

Le dossier spécial "fonts"

Le dossier spécial « fonts »

Mais qu’en est t’il d’un accès à ce dossier par le biais d’un terminal?

Accès au dossier "fonts" par un terminal

Accès au dossier « fonts » par un terminal

La figure précédente montre bien l’accès au dossier des « fonts » par le biais d’un terminal, dans lequel toutes les opérations usuelles sont fonctionnelles (création de dossier, de fichier…). Or toutes les modifications effectuées dans ce dossier ne s’avèrent pas visibles dans l’explorateur. En effet, les dossiers créés n’apparaissent pas et leur accès direct par la barre d’adresse de l’explorer n’amène à rien (Windows 7).

De tels répertoires disposant de propriétés similaires au dossier « fonts » il en existe une multitude sur un environnement Windows. Chaque répertoire est lié à une ressource spéciale dans l’environnement graphique, à un icône spécial et à une clé d’identification unique dans le registre.

Il suffit pour un nouveau répertoire avec un nom quelconque, d’être suffixé d’un point puis d’une clé du registre définie entre accolade pour devenir un répertoire « spécial ». Mais quels sont ces clés et vers quelles ressources pointent-elles?

Pour synthétiser et centraliser en guise d’exemple plusieurs de ces dossiers spéciaux, voici un script Batch qui permet la création de 120 d’entre eux :

@echo off
set /p folder=Indicate a folder prefix :
echo 1] network and internet connections
md %folder%.{7007ACC7-3202-11D1-AAD2-00805FC1270E}
echo 2] a media clip
md %folder%.{00022601-0000-0000-C000-000000000046}
echo 3] a video clip
md %folder%.{00022602-0000-0000-C000-000000000046}
echo 4] MIDI Sequence
md %folder%.{00022603-0000-0000-C000-000000000046}
echo 5] taskbar and start menu properties
md %folder%.{0DF44EAA-FF21-4412-828E-260A8728E7F1}
echo 7] scheduled tasks icon
md %folder%.{148BD52A-A2AB-11CE-B11F-00AA00530503}
echo 8] windows search
md %folder%.{1f4de370-d627-11d1-ba4f-00a0c91eedba}
echo 9] network places
md %folder%.{208D2C60-3AEA-1069-A2D7-08002B30309D}
echo 10] my computer
md %folder%.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
echo 11] control panel
md %folder%.{21EC2020-3AEA-1069-A2DD-08002B30309D}
echo 12] printers and faxes
md %folder%.{2227A280-3AEA-1069-A2DE-08002B30309D}
echo 13] an html document
md %folder%.{25336920-03F9-11CF-8FD0-00AA00686F13}
echo 14] search icon
md %folder%.{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}
echo 15] help and support icon
md %folder%.{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}
echo 16] a lock icon
md %folder%.{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}
echo 17] run icon
md %folder%.{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}
echo 18 opens your browser
md %folder%.{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}
echo 19 opens outlook
md %folder%.{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}
echo 20] properties icon
md %folder%.{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}
echo 21] network setup wizard
md %folder%.{2728520d-1ec8-4c68-a551-316b684c4ea7}
echo 22] MHTML document
md %folder%.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
echo 23] html application
md %folder%.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}
echo 24] unknown filetype
md %folder%.{30D02401-6A81-11d0-8274-00C04FD5AE38}
echo 25] wireless network setup wizard
md %folder%.{3c5c43a3-9ce9-4a9b-9699-2ac0cf6cc4bf}
echo 26] my documents
md %folder%.{450D8FBA-AD25-11D0-98A8-0800361B1103}
echo 27] XMl document
md %folder%.{48123bc4-99d9-11d1-a6b3-00c04fd91555}
echo 30] recycle bin full
md %folder%.{5ef4af3a-f726-11d0-b8a2-00c04fc309a4}
echo 31] FTP
md %folder%.{63da6ec0-2e98-11cf-8d82-444553540000}
echo 32] empty recycle bin
md %folder%.{645FF040-5081-101B-9F08-00AA002F954E}
echo 33] installation cd icon
md %folder%.{67cf8cbd-e5c0-44f7-9de5-e1d599d626d8}
echo 34 looks like its where browser plugins are kept
md %folder%.{692F0339-CBAA-47e6-B5B5-3B84DB604E87}
echo 35] folder options
md %folder%.{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}
echo 36] network and internet connections
md %folder%.{7007ACC7-3202-11D1-AAD2-00805FC1270E}
echo 38] clipboard icon
md %folder%.{72ADFD4B-2C39-11D0-9903-00A0C91BC942}
echo 77] system restore icon
md %folder%.{7325c922-bb81-47b0-8b2f-a5f8605e242f}
echo 78] wordpad document
md %folder%.{73FDDC80-AEA9-101A-98A7-00AA00374959}
echo 79] unknown folder type
md %folder%.{750fdf0f-2a26-11d1-a3ea-080036587f03}
echo 80] user accounts
md %folder%.{7A9D77BD-5403-11d2-8785-2E0420524153}
echo 81] scheduled tasks
md %folder%.{7BD29E00-76C1-11CF-9DD0-00A0C9034933}
echo 82] [internet explorer installation like activex] icon
md %folder%.{8369AB20-56C9-11D0-94E8-00AA0059CE02}
echo 83] briefcase
md %folder%.{85BBD920-42A0-1069-A2E4-08002B30309D}
echo 84] IE
md %folder%.{871C5380-42A0-1069-A2EA-08002B30309D}
echo 85] zip folder
md %folder%.{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
echo 86] internet explorer installations like activex
md %folder%.{88C6C381-2E85-11D0-94DE-444553540000}
echo 87] unknown folder icon
md %folder%.{8E6E6079-0CB7-11d2-8F10-0000F87ABD16}
echo 88] network and internet connections
md %folder%.{992CFFA0-F557-101A-88EC-00DD010CCC48}
echo 89] lock icon
md %folder%.{9B0EFD60-F7B0-11D0-BAEF-00C04FC308C9}
echo 90] restore icon
md %folder%.{9DB7A13C-F208-4981-8353-73CC61AE2783}
echo 91] mail icon
md %folder%.{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}
echo 92] desktop icon
md %folder%.{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}
echo 93] search icon
md %folder%.{A9B48EAC-3ED8-11d2-8216-00C04FB687DA}
echo 94] unknown filetype
md %folder%.{ADB9F5A4-E73E-49b8-99B6-2FA317EF9DBC}
echo 95] unknown folder type
md %folder%.{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}
echo 96] favorites
md %folder%.{B005E690-678D-11d1-B758-00A0C90564FE}
echo 97] are unknown file type
md %folder%.{B12AE898-D056-4378-A844-6D393FE37956}
echo 98] are unknown file type
md %folder%.{B50F5260-0C21-11D2-AB56-00A0C9082678}
echo 99] are unknown file type
md %folder%.{B7BBD408-F09C-4aa8-B65E-A00B8FE0F0B9}
echo 100] are unknown file type
md %folder%.{B96D2802-4B41-4bc7-A6A4-55C5A12268CA}
echo 101] are unknown file type
md %folder%.{BD84B380-8CA2-1069-AB1D-08000948F534}
echo 102] webfolders
md %folder%.{BDEADF00-C265-11d0-BCED-00A0C90AB50F}
echo 103] are unknown file type
md %folder%.{c79d1575-b8c6-4862-a284-788836518b97}
echo 104] fonts folder
md %folder%.{D20EA4E1-3957-11d2-A40B-0C5020524152}
echo 105] admin settings
md %folder%.{D20EA4E1-3957-11d2-A40B-0C5020524153}
echo 106] bitmap image
md %folder%.{D3E34B21-9D75-101A-8C3D-00AA001A1652}
echo 107] add network place wizard
md %folder%.{D4480A50-BA28-11d1-8E75-00C04FA31A86}
echo 108] scheduled tasks
md %folder%.{D6277990-4C6A-11CF-8D87-00AA0060F5BF}
echo 109] opens up search
md %folder%.{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
echo 110] scanners and cameras
md %folder%.{E211B736-43FD-11D1-9EFB-0000F8757FCD}
echo 111] zip folder
md %folder%.{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31}
echo 112] policy package
md %folder%.{ecabaebd-7f19-11d2-978E-0000f8757e2a}
echo 113] my docments
md %folder%.{ECF03A32-103D-11d2-854D-006008059367}
echo 114] are unknown file type
md %folder%.{EFA24E61-B078-11d0-89E4-00C04FC9E26E}
echo 115] are unknown file type
md %folder%.{EFA24E62-B078-11d0-89E4-00C04FC9E26E}
echo 116] are unknown file type
md %folder%.{EFA24E63-B078-11d0-89E4-00C04FC9E26E}
echo 117] another unknown folder type
md %folder%.{effc2928-37b1-11d2-a3c1-00c04fb1782a}
echo 118] XML document
md %folder%.{f5078f28-c551-11d3-89b9-0000f81fe221}
echo 119] an unknown folder type
md %folder%.{F5175861-2688-11d0-9C5E-00AA00A45957}
echo 120] scanner and cameras
md %folder%.{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}
echo 121] internet explorer
md %folder%.{FBF23B42-E3F0-101B-8488-00AA003E56F8}
echo 122] scheduled tasks
md %folder%.{FF393560-C2A7-11CF-BFF4-444553540000}
pause

Il suffit d’indiquer un préfixe pour chaque nom de dossier (facultatif) comme par exemple « test » et l’ensemble des 120 dossier spéciaux seront créés (dans les exemples qui suivent seulement 79 sont créés car disposant des références dans le registre). Le script précédent dispose des 120 clés propre à chaque type de dossier avec la description de la ressource pointée.

Une fois ces dossiers créés, ceux-ci ont leur icône spéciale. Certains d’entre eux n’affichent que le préfixe « test » sans la clé, comme c’est le cas sous Windows XP :

Les dossiers spéciaux créés sous Windows XP

Les dossiers spéciaux créés sous Windows XP

C’est encore plus visible sous Windows 7 (et 8) :

Les dossiers spéciaux créés sous Windows 7

Les dossiers spéciaux créés sous Windows 7

Chaque dossier à ses spécificités. Certains sont accessible en double cliquant dessus, d’autres redirigent vers une ressource du système (le panneau de configuration par exemple) et d’autres lancent une application associés.

Dans tous les cas, tous ces dossiers « spéciaux » s’accordent à être utilisés comme de simple dossier au travers d’un terminal. Il est possible de créer des sous-dossiers et des fichiers dans chacun d’eux au travers de la console. En guise d’exemple, testons avec le dossier « test.{2227A280-3AEA-1069-A2DE-08002B30309D} » qui pointe vers la ressource des « Imprimantes et télécopieurs »  de Windows.

En double cliquant sur ce dossier, on atteint :

Ressource "Imprimantes et télécopieurs" via l'explorer.Exe

Ressource « Imprimantes et télécopieurs » via l’explorer.Exe

En passant par le terminal :

Ressource "Imprimantes et télécopieurs" via le terminal

Ressource « Imprimantes et télécopieurs » via le terminal

Pour conclure, l’ensemble de ses dossiers permettent aisément de camoufler des données au travers d’un terminal, sans que celles-ci soient accessibles via l’explorateur Windows. Prisés des utilisateurs malveillants, de tels dossiers servent souvent à planquer des malwares et autres outils destinés à corrompre un système.

  • Google Plus
  • LinkedIn
  • Viadeo
Yann C.

About the Author : Yann C.

Consultant en sécurité informatique et s’exerçant dans ce domaine depuis le début des années 2000 en autodidacte par passion, plaisir et perspectives, il maintient le portail ASafety pour présenter des articles, des projets personnels, des recherches et développements, ainsi que des « advisory » de vulnérabilités décelées notamment au cours de pentest.