Guia quitar virus manualmente #2

Buscar

Escrito por Lozano

jueves, 08 de mayo de 2008

Alternate data stream (ADS)

La serie windows NT (Nt, 2000 y XP) nos ofrece la posibilidad de instalar en sistema operativo en un sistema de ficheros llamado NTFS

Un sistema de ficheros "simplemente" es la forma en que un sistema operativo "maneja" los archivos en tu disco duro. En el caso de la serie Windows 9x (95, 98 y ME) se utilizaron los conocidos FAT16 y FAT32 y en la serie Windows NT (NT, 2000 y XP) se utiliza NTFS. NTFS es mucho mas seguro y versatil (podemos crear proliticas de acceso a nuestros ficheros, cifrar nuestras carpetas, etc...)

Un sistema NTFS tiene una "capacidad" NO DOCUMENTADA que nos permite utilizar los llamados Alternate Data Stream (ADS). Esta "capacidad"nos permite asociar "informacion"a un archivo (e incluso a un directorio) y existe para mantener una cierta compatibilidad con el HSF (sistema de archivos de macintosh, hierarchical file system).
Cuando asociamos un archivo1 a un archivo2, el archivo2 permanece invariable PERO"contiene" el archivo1 "en su interior". El archivo1 queda oculto a nuestro querido windows pero sigue existiendo e incluse en caso de ser un ejecutable PUEDE SER EJECUTADO!!! Descripcion de ADS sacada de la revista 6 de HackXCrack... Lengua

Ahora veamos como se podria evitar y/o defendernos en una situacion en que nuestro sistema se vea comprometido con un virus que se oculte mediante ADS, lo primero es identificar si el virus realmente existe y si de verdad esta asociado a un fichero o directorio de nuestro sistema, para ver los ficheros ocultos dentro de otros en ejecucion con el administrador de tareas facilmente nos murestra el fichero que contiene al oculto que se ejecuta en ese momento.

Mediante el administrador de tareas

A través de la librería StrmExt.dll

Esta librería, añade un nuevo Tab a las propiedades del Explorer, que nos permitirá ver los posibles Streams que pueda tener un archivo, directorio o unidad.
Para añadir un Tab a las propiedades de Explorer descargamos de Microsoft el siguiente código fuente:
NtfSex.exe

Dentro nos encontramos con algunos ejemplos de creación de Streams. El fichero que nos interesará es la librería compilada StrmExt.dll (Se adjunta código fuente de la librería).

La extraemos y la depositaremos en el directorio System32 de nuestro sistema. Acto seguido la registramos en el registro con el siguiente comando:

Regsvr32.exe StrmExt.dll

Una vez ejecutado el comando Windows registrará la librería, y podremos disponer en las propiedades del Explorer de un nuevo Tab para visualizar si un fichero tiene alojado algún Stream.

Registrando esta librería, conseguimos visualizar el Tab Streams sólo para ficheros. Si queremos que nos muestre el Tab Streams para analizar los streams de alguna unidad (ej. C:\ ) o por ejemplo de algún directorio, tendremos que incluir un par de entradas en el registro.

Windows Registry Editor Version5.00

[HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\{C3ED1679-814B-4DA9-AB00-1CAC71F5E337}]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{C3ED1679-814B-
Guarda el archivo con el nombre que quieras pero seguido de la extension .reg, por ejemplo nombre.reg, dale doble click cuando ya este creado para añadirá las entradas al registro necesarias para añadir el Tab en el explorer.

Para un directorio:

Para una unidad:

Escaneo de ADS

Frank Heyne ha desarrollado una herramienta que escanea documentos en busca de ADS. La herramienta en cuestión es LADS.
Su funcionamiento es muy sencillo:

Si quisiésemos escanear nuestra unidad C: (incluyendo subdirectorios) en busca y captura de ADS, ejecutaríamos un comando tal que:

Lads C:\ /S

LADS

Bibliografia
revistra HackXCrack #6
http://windowstips.wordpress.com

Add this page to your favorite Social Bookmarking websites