![\"Cr\u00e9ation](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/ads11.png\" "\\"Cr\u00e9ation")
<\/a>Cr\u00e9ation d’un simple fichier texte<\/p><\/div>\n
Pour ajouter \u00e0 ce m\u00eame fichier des donn\u00e9es cach\u00e9es et identifi\u00e9es par la cl\u00e9 “hidden.txt”, proc\u00e9der comme suit :<\/p>\n
[bash]echo Contenu invisible ! \u00a0&gt; test.txt:hidden.txt[\/bash]<\/p>\n
<\/a>Ajout de donn\u00e9es cach\u00e9es via ADS<\/p><\/div>\n
Bien que des donn\u00e9es soient ajout\u00e9es dans un ADS identifi\u00e9 par une cl\u00e9 pr\u00e9cise, le contenu principal du fichier ne s’av\u00e8re pas modifi\u00e9. Seuls ceux en connaissances de la cl\u00e9 peuvent acc\u00e9der au contenu de l’ADS.<\/p>\n
La dangerosit\u00e9 des ADS sur un fichier s’illustre par le fait que :<\/p>\n
- \n
- La taille du fichier demeure inchang\u00e9e<\/strong> m\u00eame apr\u00e8s l’ajout d’un certains nombres d’ADS<\/li>\n
- La somme de contr\u00f4le (checksum, md5, sha1…) du fichier ne change pas<\/strong> malgr\u00e9 l’ajout d’ADS<\/li>\n
- Toutes sortes de donn\u00e9es (des ex\u00e9cutables<\/strong> par exemple) peuvent \u00eatre stock\u00e9s dans les ADS d’un fichier.<\/li>\n
- Seul la date de derni\u00e8re modification du fichier s’av\u00e8re alt\u00e9r\u00e9e, bien que ceci soit modifiable.<\/li>\n<\/ul>\n
L’ajout de donn\u00e9es annexes en ADS est fonctionnel sur tous les Windows (XP, 7, 8…). Il est donc possible d’y cacher ce que bon semble \u00e0 l’utilisateur. Pour r\u00e9cup\u00e9rer ces donn\u00e9es, la commande “more” peut \u00eatre utile au sein d’un terminal :<\/p>\n
[bash]more &lt; test.txt:hidden.txt[\/bash]<\/p>\n
Toutefois, une diff\u00e9rence notable entre Windows XP\/Server 2003 et les successeurs 2008, Vista, 7 et 8 est que l’ex\u00e9cution d’application .exe stock\u00e9es dans les ADS d’un fichier n’est plus possible directement. En effet, les versions plus r\u00e9centes de Windows ont int\u00e9gr\u00e9 un m\u00e9canisme v\u00e9rifiant le type du fichier et le lieu de son stockage avant ex\u00e9cution. Ainsi, l’ex\u00e9cution directe au sein des ADS d’une application n’est plus fonctionnelle.<\/p>\n
Exemple sous Windows XP de l’ex\u00e9cution d’une application (netcat) au travers de l’ADS d’un fichier texte (via la commande “start” ou “wmic process call create”) :<\/p>\n
![\"Ex\u00e9cution](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/ads31-300x202.png\" "\\"Ex\u00e9cution")
<\/a>Ex\u00e9cution de netcat via les ADS d’un fichier texte sous Windows XP<\/p><\/div>\n
Il est donc possible de stocker tous types de donn\u00e9es de mani\u00e8re inerte dans les ADS quelque soit la version de l’OS, mais pour l’ex\u00e9cution de celle-ci leur extraction sera n\u00e9cessaire au pr\u00e9alable pour les version r\u00e9centes de Windows.<\/p>\n
Visibilit\u00e9 du processus nc.exe lanc\u00e9 au travers de l’ADS de calc.exe :<\/p>\n
![\"Gestionnaire](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/ads41-300x289.png\" "\\"Gestionnaire")
<\/a>Gestionnaire de t\u00e2ches et processus ADS<\/p><\/div>\n
Pour contrer cette protection d’ex\u00e9cution sous les Windows r\u00e9cents, l’utilitaire “mklink” qui permet la cr\u00e9ation de lien s’av\u00e8re utile. Toutefois celui-ci n’est pas disponible sous toutes les versions.<\/p>\n
[bash]mklink shortcut test.txt:nc.exe[\/bash]<\/p>\n
Il est aussi possible d’ajouter des donn\u00e9es dans l’ADS d’une partition en elle m\u00eame comme le montre l’exemple suivant (n\u00e9cessite des privil\u00e8ges) :<\/p>\n
[bash]type nc.exe &gt; :nc.exe[\/bash]<\/p>\n
Dans le cas pr\u00e9c\u00e9dent, l’ADS ne sera supprim\u00e9 qu’avec le formatage de la partition.<\/p>\n
Pour supprimer les ADS d’un fichier, une m\u00e9thode radicale consiste \u00e0 transf\u00e9rer ce fichier sur une partition non-NTFS (FAT32 par exemple), ce qui aura pour action de nettoyer les m\u00e9ta-data. Sinon, il est possible d’effectuer les op\u00e9rations simple suivantes qui\u00a0recr\u00e9eront\u00a0le fichier d’origine qu’avec son contenu l\u00e9gitime :<\/p>\n
[bash]C:\\&gt;ren test.txt test2.txt<\/p>
\n<p>C:\\&gt;type test2.txt &gt; test.txt<\/p>
\n<p>C:\\&gt;del test2.txt[\/bash]<\/p>\nIl existe divers logiciels et utilitaires sp\u00e9cialis\u00e9s permettant de contr\u00f4ler les ADS des fichiers. C’est le cas de “ADS Locator<\/a>” (GUI), “LADS<\/a>” (console) ou encore “Streams<\/a>” de Sysinternals.<\/p>\n
Les ADS sont encore une m\u00e9thode exploit\u00e9e des utilisateurs malintentionn\u00e9s pour stock\u00e9es de mani\u00e8re invisible des malwares et autres logiciels illicites. A garder en m\u00e9moire lors d’audit de s\u00e9curit\u00e9.<\/p>\n
R\u00e9f\u00e9rences<\/strong> :<\/p>\n
- \n
- Pr\u00e9sentation des Alternate Data Stream (ADS)<\/a><\/li>\n
- Practical Guide to Alternative Data Streams in NTFS<\/a><\/li>\n
- Windows 7 symbolic links and hidden files<\/a><\/li>\n
- Alternate Data Streams (ADS): Hiding In Plain Site<\/a><\/li>\n<\/ul>\n
<\/p>","protected":false},"excerpt":{"rendered":"
Les ADS, pour “Alternate Data Stream”, ou flux alternatifs de donn\u00e9es, sont des m\u00e9canismes int\u00e9gr\u00e9s \u00e0 Windows et plus particuli\u00e8rement […]<\/p>\n","protected":false},"author":1337,"featured_media":1180,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[59,124,165,167],"tags":[147,148,150,149,118,117,35],"class_list":["post-369","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administration-reseaux-et-systemes","category-invisibilite-et-camouflage","category-os","category-windows","tag-ads","tag-alternate-data-stream","tag-lads","tag-mklink","tag-windows-7","tag-windows-8","tag-windows-xp"],"_links":{"self":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/369","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/users\/1337"}],"replies":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/comments?post=369"}],"version-history":[{"count":11,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/369\/revisions"}],"predecessor-version":[{"id":1641,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/369\/revisions\/1641"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media\/1180"}],"wp:attachment":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media?parent=369"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/categories?post=369"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/tags?post=369"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Practical Guide to Alternative Data Streams in NTFS<\/a><\/li>\n
- La somme de contr\u00f4le (checksum, md5, sha1…) du fichier ne change pas<\/strong> malgr\u00e9 l’ajout d’ADS<\/li>\n