Les dossiers spéciaux et le stockage de fichiers invisibles

16
Oct
2012
  • Google Plus
  • LinkedIn
  • Viadeo
Posted by: Yann C.  /   Category: Network and system administration / Invisibility & camouflage / OS / Windows   /   No Comments

Dans tous environnements Windows il y a des dossiers que l’on peut qualifier de “spéciaux”. Ces dossiers sont régulièrement représentés par une icône spécifique, comme c’est le cas de la Corbeille avec sa petite poubelle, ou encore le dossier des favoris du navigateur avec une étoile.

D’autres dossiers, quant à eux, disposent de fonctionnalités différentes. C’est le cas du dossier “Fonts” se trouvant dans “C:\Windows\Fonts” et qui contient toutes les polices d’écriture du système. Lorsqu’un fichier est collé au sein de ce dossier, Windows tente automatiquement d’installer la nouvelle police. A noter qu’il n’est pas possible via l’explorateur de créer des dossier par exemple dans ce répertoire spécial.

Le dossier spécial "fonts"

Le dossier spécial “fonts”

Mais qu’en est t’il d’un accès à ce dossier par le biais d’un terminal?

Accès au dossier "fonts" par un terminal

Accès au dossier “fonts” par un terminal

La figure précédente montre bien l’accès au dossier des “fonts” par le biais d’un terminal, dans lequel toutes les opérations usuelles sont fonctionnelles (création de dossier, de fichier…). Or toutes les modifications effectuées dans ce dossier ne s’avèrent pas visibles dans l’explorateur. En effet, les dossiers créés n’apparaissent pas et leur accès direct par la barre d’adresse de l’explorer n’amène à rien (Windows 7).

De tels répertoires disposant de propriétés similaires au dossier “fonts” il en existe une multitude sur un environnement Windows. Chaque répertoire est lié à une ressource spéciale dans l’environnement graphique, à un icône spécial et à une clé d’identification unique dans le registre.

Il suffit pour un nouveau répertoire avec un nom quelconque, d’être suffixé d’un point puis d’une clé du registre définie entre accolade pour devenir un répertoire “spécial”. Mais quels sont ces clés et vers quelles ressources pointent-elles?

Pour synthétiser et centraliser en guise d’exemple plusieurs de ces dossiers spéciaux, voici un script Batch qui permet la création de 120 d’entre eux :

[bash]</p>
<p>@echo off<br />
set /p folder=Indicate a folder prefix :<br />
echo 1] network and internet connections<br />
md %folder%.{7007ACC7-3202-11D1-AAD2-00805FC1270E}<br />
echo 2] a media clip<br />
md %folder%.{00022601-0000-0000-C000-000000000046}<br />
echo 3] a video clip<br />
md %folder%.{00022602-0000-0000-C000-000000000046}<br />
echo 4] MIDI Sequence<br />
md %folder%.{00022603-0000-0000-C000-000000000046}<br />
echo 5] taskbar and start menu properties<br />
md %folder%.{0DF44EAA-FF21-4412-828E-260A8728E7F1}<br />
echo 7] scheduled tasks icon<br />
md %folder%.{148BD52A-A2AB-11CE-B11F-00AA00530503}<br />
echo 8] windows search<br />
md %folder%.{1f4de370-d627-11d1-ba4f-00a0c91eedba}<br />
echo 9] network places<br />
md %folder%.{208D2C60-3AEA-1069-A2D7-08002B30309D}<br />
echo 10] my computer<br />
md %folder%.{20D04FE0-3AEA-1069-A2D8-08002B30309D}<br />
echo 11] control panel<br />
md %folder%.{21EC2020-3AEA-1069-A2DD-08002B30309D}<br />
echo 12] printers and faxes<br />
md %folder%.{2227A280-3AEA-1069-A2DE-08002B30309D}<br />
echo 13] an html document<br />
md %folder%.{25336920-03F9-11CF-8FD0-00AA00686F13}<br />
echo 14] search icon<br />
md %folder%.{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}<br />
echo 15] help and support icon<br />
md %folder%.{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}<br />
echo 16] a lock icon<br />
md %folder%.{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}<br />
echo 17] run icon<br />
md %folder%.{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}<br />
echo 18 opens your browser<br />
md %folder%.{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}<br />
echo 19 opens outlook<br />
md %folder%.{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}<br />
echo 20] properties icon<br />
md %folder%.{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}<br />
echo 21] network setup wizard<br />
md %folder%.{2728520d-1ec8-4c68-a551-316b684c4ea7}<br />
echo 22] MHTML document<br />
md %folder%.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}<br />
echo 23] html application<br />
md %folder%.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}<br />
echo 24] unknown filetype<br />
md %folder%.{30D02401-6A81-11d0-8274-00C04FD5AE38}<br />
echo 25] wireless network setup wizard<br />
md %folder%.{3c5c43a3-9ce9-4a9b-9699-2ac0cf6cc4bf}<br />
echo 26] my documents<br />
md %folder%.{450D8FBA-AD25-11D0-98A8-0800361B1103}<br />
echo 27] XMl document<br />
md %folder%.{48123bc4-99d9-11d1-a6b3-00c04fd91555}<br />
echo 30] recycle bin full<br />
md %folder%.{5ef4af3a-f726-11d0-b8a2-00c04fc309a4}<br />
echo 31] FTP<br />
md %folder%.{63da6ec0-2e98-11cf-8d82-444553540000}<br />
echo 32] empty recycle bin<br />
md %folder%.{645FF040-5081-101B-9F08-00AA002F954E}<br />
echo 33] installation cd icon<br />
md %folder%.{67cf8cbd-e5c0-44f7-9de5-e1d599d626d8}<br />
echo 34 looks like its where browser plugins are kept<br />
md %folder%.{692F0339-CBAA-47e6-B5B5-3B84DB604E87}<br />
echo 35] folder options<br />
md %folder%.{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}<br />
echo 36] network and internet connections<br />
md %folder%.{7007ACC7-3202-11D1-AAD2-00805FC1270E}<br />
echo 38] clipboard icon<br />
md %folder%.{72ADFD4B-2C39-11D0-9903-00A0C91BC942}<br />
echo 77] system restore icon<br />
md %folder%.{7325c922-bb81-47b0-8b2f-a5f8605e242f}<br />
echo 78] wordpad document<br />
md %folder%.{73FDDC80-AEA9-101A-98A7-00AA00374959}<br />
echo 79] unknown folder type<br />
md %folder%.{750fdf0f-2a26-11d1-a3ea-080036587f03}<br />
echo 80] user accounts<br />
md %folder%.{7A9D77BD-5403-11d2-8785-2E0420524153}<br />
echo 81] scheduled tasks<br />
md %folder%.{7BD29E00-76C1-11CF-9DD0-00A0C9034933}<br />
echo 82] [internet explorer installation like activex] icon<br />
md %folder%.{8369AB20-56C9-11D0-94E8-00AA0059CE02}<br />
echo 83] briefcase<br />
md %folder%.{85BBD920-42A0-1069-A2E4-08002B30309D}<br />
echo 84] IE<br />
md %folder%.{871C5380-42A0-1069-A2EA-08002B30309D}<br />
echo 85] zip folder<br />
md %folder%.{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}<br />
echo 86] internet explorer installations like activex<br />
md %folder%.{88C6C381-2E85-11D0-94DE-444553540000}<br />
echo 87] unknown folder icon<br />
md %folder%.{8E6E6079-0CB7-11d2-8F10-0000F87ABD16}<br />
echo 88] network and internet connections<br />
md %folder%.{992CFFA0-F557-101A-88EC-00DD010CCC48}<br />
echo 89] lock icon<br />
md %folder%.{9B0EFD60-F7B0-11D0-BAEF-00C04FC308C9}<br />
echo 90] restore icon<br />
md %folder%.{9DB7A13C-F208-4981-8353-73CC61AE2783}<br />
echo 91] mail icon<br />
md %folder%.{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}<br />
echo 92] desktop icon<br />
md %folder%.{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}<br />
echo 93] search icon<br />
md %folder%.{A9B48EAC-3ED8-11d2-8216-00C04FB687DA}<br />
echo 94] unknown filetype<br />
md %folder%.{ADB9F5A4-E73E-49b8-99B6-2FA317EF9DBC}<br />
echo 95] unknown folder type<br />
md %folder%.{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}<br />
echo 96] favorites<br />
md %folder%.{B005E690-678D-11d1-B758-00A0C90564FE}<br />
echo 97] are unknown file type<br />
md %folder%.{B12AE898-D056-4378-A844-6D393FE37956}<br />
echo 98] are unknown file type<br />
md %folder%.{B50F5260-0C21-11D2-AB56-00A0C9082678}<br />
echo 99] are unknown file type<br />
md %folder%.{B7BBD408-F09C-4aa8-B65E-A00B8FE0F0B9}<br />
echo 100] are unknown file type<br />
md %folder%.{B96D2802-4B41-4bc7-A6A4-55C5A12268CA}<br />
echo 101] are unknown file type<br />
md %folder%.{BD84B380-8CA2-1069-AB1D-08000948F534}<br />
echo 102] webfolders<br />
md %folder%.{BDEADF00-C265-11d0-BCED-00A0C90AB50F}<br />
echo 103] are unknown file type<br />
md %folder%.{c79d1575-b8c6-4862-a284-788836518b97}<br />
echo 104] fonts folder<br />
md %folder%.{D20EA4E1-3957-11d2-A40B-0C5020524152}<br />
echo 105] admin settings<br />
md %folder%.{D20EA4E1-3957-11d2-A40B-0C5020524153}<br />
echo 106] bitmap image<br />
md %folder%.{D3E34B21-9D75-101A-8C3D-00AA001A1652}<br />
echo 107] add network place wizard<br />
md %folder%.{D4480A50-BA28-11d1-8E75-00C04FA31A86}<br />
echo 108] scheduled tasks<br />
md %folder%.{D6277990-4C6A-11CF-8D87-00AA0060F5BF}<br />
echo 109] opens up search<br />
md %folder%.{e17d4fc0-5564-11d1-83f2-00a0c90dc849}<br />
echo 110] scanners and cameras<br />
md %folder%.{E211B736-43FD-11D1-9EFB-0000F8757FCD}<br />
echo 111] zip folder<br />
md %folder%.{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31}<br />
echo 112] policy package<br />
md %folder%.{ecabaebd-7f19-11d2-978E-0000f8757e2a}<br />
echo 113] my docments<br />
md %folder%.{ECF03A32-103D-11d2-854D-006008059367}<br />
echo 114] are unknown file type<br />
md %folder%.{EFA24E61-B078-11d0-89E4-00C04FC9E26E}<br />
echo 115] are unknown file type<br />
md %folder%.{EFA24E62-B078-11d0-89E4-00C04FC9E26E}<br />
echo 116] are unknown file type<br />
md %folder%.{EFA24E63-B078-11d0-89E4-00C04FC9E26E}<br />
echo 117] another unknown folder type<br />
md %folder%.{effc2928-37b1-11d2-a3c1-00c04fb1782a}<br />
echo 118] XML document<br />
md %folder%.{f5078f28-c551-11d3-89b9-0000f81fe221}<br />
echo 119] an unknown folder type<br />
md %folder%.{F5175861-2688-11d0-9C5E-00AA00A45957}<br />
echo 120] scanner and cameras<br />
md %folder%.{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}<br />
echo 121] internet explorer<br />
md %folder%.{FBF23B42-E3F0-101B-8488-00AA003E56F8}<br />
echo 122] scheduled tasks<br />
md %folder%.{FF393560-C2A7-11CF-BFF4-444553540000}<br />
pause</p>
<p>[/bash]

Il suffit d’indiquer un préfixe pour chaque nom de dossier (facultatif) comme par exemple “test” et l’ensemble des 120 dossier spéciaux seront créés (dans les exemples qui suivent seulement 79 sont créés car disposant des références dans le registre). Le script précédent dispose des 120 clés propre à chaque type de dossier avec la description de la ressource pointée.

Une fois ces dossiers créés, ceux-ci ont leur icône spéciale. Certains d’entre eux n’affichent que le préfixe “test” sans la clé, comme c’est le cas sous Windows XP :

Les dossiers spéciaux créés sous Windows XP

Les dossiers spéciaux créés sous Windows XP

C’est encore plus visible sous Windows 7 (et 8) :

Les dossiers spéciaux créés sous Windows 7

Les dossiers spéciaux créés sous Windows 7

Chaque dossier à ses spécificités. Certains sont accessible en double cliquant dessus, d’autres redirigent vers une ressource du système (le panneau de configuration par exemple) et d’autres lancent une application associés.

Dans tous les cas, tous ces dossiers “spéciaux” s’accordent à être utilisés comme de simple dossier au travers d’un terminal. Il est possible de créer des sous-dossiers et des fichiers dans chacun d’eux au travers de la console. En guise d’exemple, testons avec le dossier “test.{2227A280-3AEA-1069-A2DE-08002B30309D}” qui pointe vers la ressource des “Imprimantes et télécopieurs”  de Windows.

En double cliquant sur ce dossier, on atteint :

Ressource "Imprimantes et télécopieurs" via l'explorer.Exe

Ressource “Imprimantes et télécopieurs” via l’explorer.Exe

En passant par le terminal :

Ressource "Imprimantes et télécopieurs" via le terminal

Ressource “Imprimantes et télécopieurs” via le terminal

Pour conclure, l’ensemble de ses dossiers permettent aisément de camoufler des données au travers d’un terminal, sans que celles-ci soient accessibles via l’explorateur Windows. Prisés des utilisateurs malveillants, de tels dossiers servent souvent à planquer des malwares et autres outils destinés à corrompre un système.

  • Google Plus
  • LinkedIn
  • Viadeo
Yann C.

About the Author : Yann C.

Consultant en sécurité informatique et s’exerçant dans ce domaine depuis le début des années 2000 en autodidacte par passion, plaisir et perspectives, il maintient le portail ASafety pour présenter des articles, des projets personnels, des recherches et développements, ainsi que des « advisory » de vulnérabilités décelées notamment au cours de pentest.