IP Security Forum

Author Topic: Windows Stream: unsichtbarer Datei-Anhang unter NTFS  (Read 9420 times)

Offline Helmut

  • Full Member
  • ***
  • Posts: 47
  • Karma: 0
    • New Orleans Jazz, Dixieland, Swing aus Berlin
Windows Stream: unsichtbarer Datei-Anhang unter NTFS
« on: Friday, 04.02.2005 12:46 »
nichts neues, aber weitgehend unbekannt:

Es können sog. Alternate Data Streams zu vorhandenen Dateien existieren, die vom NTFS verwaltet werden (wie z.B. auch die Datei-Attribute). Sie sind mittels Explorer nicht sichtbar, werden separat gespeichert und beeinflussen weder die Anzeige der Dateigröße noch des Datums.

Durch Doppelpunkt wird der Stream einer Datei zugeordnet: <Datei-Name>:<Stream-Name> z.B. test.txt:geheim

Er läßt sich z.B. mit einem Text-Editor erstellen bzw. bearbeiten: notepad.exe test.txt:geheim
Existiert die Datei test.txt noch nicht, wird sie mit 0kB Größe erstellt.

Beim Speichern unter nicht-NTFS wird man evtl. darauf aufmerksam, wie beim Ablegen auf einem Netware-Server. Es erscheint z.B. die Meldung, daß :geheim.txt:$DATA verloren gehen könnte.

Einige mistrauische EDV-Administratoren haben bereits Programme geschrieben und im Internet zur Verfügung gestellt, mit deren Hilfe man diese Streams aufstöbern kann (-> Google-Suche).

... bleibt die Frage nach dem Sinn des Ganzen.

Offline dongle

  • Newbie
  • *
  • Posts: 2
  • Karma: 0
Windows Stream: unsichtbarer Datei-Anhang unter NTFS
« Reply #1 on: Wednesday, 09.02.2005 08:30 »
interessant!
Abgesehen vom offensichtlichen Einsatz, dass man damit heimlich Dateien "markieren" kann, gibt es eigentlich Software, die das tatsächlich verwendet, und scannen Antivirenprogramme diese streams?

Offline Helmut

  • Full Member
  • ***
  • Posts: 47
  • Karma: 0
    • New Orleans Jazz, Dixieland, Swing aus Berlin
Viren in NTFS-Steams
« Reply #2 on: Wednesday, 09.02.2005 15:30 »
McAfee VirusScan überprüft offensichtlich die Streams, wie ein Test mit dem EICAR-Test-Virus ergab.

Offline Helmut

  • Full Member
  • ***
  • Posts: 47
  • Karma: 0
    • New Orleans Jazz, Dixieland, Swing aus Berlin
Nachtrag: Viren in Windows Streams
« Reply #3 on: Tuesday, 15.03.2005 15:26 »
heise.de hat sich der Sache im Zusammenhang mit Anti-Virus-Programmen schon im Oktober 2004 angenommen und dabei auch mit den Produkten namhafter Hersteller betrübliche Ergebnisse erzielt, siehe http://www.heise.de/newsticker/meldung/52162