Klatsch, Fakten, News, Betas 5.087 Themen, 27.849 Beiträge

Verfolgung starten Optionen

Gefahr aus der Schattenwelt

Soulmann63 / 16 Antworten / Baumansicht Nickles

Alternate Data Streams als Versteck für Schädlinge

Microsofts NTFS-Dateisystem speichert zusätzliche Informationen in Alternate Data Streams, die man mit Windows-Bordmitteln schwer sichtbar machen kann. Auch Schädlinge können sich in solchen Streams verstecken, denn nicht alle Virenscanner erkennen Malware in Streams zuverlässig.

Bereits seit Windows NT 3.51 unterstützt das von Microsoft entwickelte Dateisystem NTFS (NT File System) sogenannte Alternate Data Streams (ADS) [1]. Darin kann das Betriebssystem zusätzliche Informationen zu einer Datei ablegen, beispielsweise die mit Service Pack 2 eingeführten ZoneIDs, um Dateien als aus dem Internet stammend zu kennzeichnen. Auch Windows-Applikationen nutzen solche Streams seit langem und speichern dort etwa Miniaturbilder für die Vorschau [2]. Jede Datei kann prinzipiell beliebig viele Streams besitzen, die Notation sieht folgendermaßen aus: mehr

*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
Olaf19 Soulmann63 „Gefahr aus der Schattenwelt“
Optionen

Zwei Fragen beschäftigen mich, wenn ich das lese - eine mehr theoretische und eine handfest praktische.

Da die ADS im Verborgenen arbeiten, sehe ich neben dem Eindringen von Schadsoftware noch ein anderes Gefahrenpotential: Könnten ADS nicht auch dafür missbraucht werden, persönliche Daten des Nutzers (Surfverhalten z.B.) dort zu hinterlegen und bei Gelegenheit wieder abzufragen? Das Ganze würde sich unbemerkt "hinter dem Rücken" des Users vollziehen, der i.d.R. gar nicht weiß, dass es ADS überhaupt gibt.

Nun zur praktischen Frage: Kann der Speicherplatzbedarf der ADS (mit-)verantwortlich dafür sein, dass auf der Systempartition meist (deutlich) mehr Speicherplatz belegt ist, als die Summe der Größen aller Dateien und Ordner es vermuten lässt?

Bin mal gespannt, ob da jemand weiter weiß.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Zaphod Olaf19 „Zwei Fragen beschäftigen mich, wenn ich das lese - eine mehr theoretische und...“
Optionen

> Kann der Speicherplatzbedarf der ADS (mit-)verantwortlich dafür sein, dass auf der Systempartition meist (deutlich) mehr Speicherplatz belegt ist, als die Summe der Größen aller Dateien und Ordner es vermuten lässt?

... das liegt in erster Linie an der blockweisen Speicherung der Daten in Clustern und ist kein Phänomen von NTFS, sondern ein Problem aller Dateisysteme. Ist ein Cluster 8 kb groß, braucht jede Datei 8 kb auf der Platte, auch wenn sie nur 500 byte groß ist. Eine 9 kb große Datei braucht dann gleich 2 Cluster = 16 kb.
HTH, Z.

bei Antwort benachrichtigen
Olaf19 Zaphod „ Kann der Speicherplatzbedarf der ADS mit- verantwortlich dafür sein, dass auf...“
Optionen

Im Gegenteil - was Clusterbildung angeht, ist NTFS im Vergleich etwa zu FAT32 ausgesprochen "genügsam". Trotzdem habe ich bisweilen den Eindruck dass der Speicherbedarf meines Systems mitunter verdächtig hoch ist bzw. dass es nicht erklärbare Schwankungen gibt. Ist schon länger her, dass mir das aufgefallen ist, daher kann ich das leider nicht konkreter formulieren.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
fnmueller1 Olaf19 „Im Gegenteil - was Clusterbildung angeht, ist NTFS im Vergleich etwa zu FAT32...“
Optionen

ads ist bekannt und wird durchaus gescannt, z.B. von adaware. Ferner liegt das mit der größe idr schon mit dem ntfs system zusammen und dein eindrück täuscht dich nicht. Die Verweise auf die dateien werden nämlich , anders als bei fat systemen, schon ansatzweise afaik in so etwas ähnlichen doppelt in einer db gespeichert. Das verbraucht dann den platz. Das ganze dient der sicherheit und soltle iegentlich mit longhorn dann endlich vollkommen vollzogen werden. MS wollte das wie bei Reiser machen, nur leider haben sie wohl festgestellt, dass sie dessen nicht in diesem zeitrahmen fertig werden

bei Antwort benachrichtigen
Soulmann63 Nachtrag zu: „Gefahr aus der Schattenwelt“
Optionen

Hallo Olaf,

man sollte die Clustergröße so klein wie möglich halten, bei NTFS wären das 512 Byte.

*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
Rika Soulmann63 „Hallo Olaf, man sollte die Clustergröße so klein wie möglich halten, bei NTFS...“
Optionen

Dumme Empfehlung, denn dadurch wird das Dateisystem sehr ineffizient, was Zugriffszeiten und Fragmentierung angeht. Belasse es lieber bei den Standardeinstellungen.

bei Antwort benachrichtigen
fnmueller1 Rika „Dumme Empfehlung, denn dadurch wird das Dateisystem sehr ineffizient, was...“
Optionen

zusätzlich sei noch der grössere verschleiss der fp erwähnt

bei Antwort benachrichtigen
Tilo Nachdenklich Soulmann63 „Gefahr aus der Schattenwelt“
Optionen

Info:
www.heysoft.de/Frames/f_faq_ads_de.htm

bei Antwort benachrichtigen
Olaf19 Tilo Nachdenklich „Info: www.heysoft.de/Frames/f_faq_ads_de.htm“
Optionen

> F: Welche Möglichkeiten stellt Microsoft bereit, um alternative Datenströme auf meinen NTFS-Medien aufzuspüren?
> A: Erwarten Sie das?

Tja... kurz und trocken. Die FAQs finde ich insgesamt sehr lesenswert, kompakter Überblick über das Thema, und das Programm LADS zum Auflisten der ADS werde ich mir auf jeden Fall auch mal reinziehen. Weitere Infos inkl. Bebilderung übrigens in diesem Artikel (Link am Ende der FAQs:

The Dark Side of NTFS.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
thomas woelfer Soulmann63 „Gefahr aus der Schattenwelt“
Optionen

>> man mit Windows-Bordmitteln schwer sichtbar machen kann.

sorry, aber das ist bloedsinn: man kann das sogar mit notepad ansehen.

versuch mal 'notepad test.txt' - text eingeben, speichern, beenden.
dann 'notepad tets.txt:2' - landet in stream 2.

die streams kann man danach ganz normal ansehen.

und das ist auch keineswegs ein 'windows' typisches feature, sondern eines das sich in vielen anderen systemen ebenfalls findet - weil es naemlich ungeheuer praktisch ist.

WM_FYI

this posting contains no tpyos.
bei Antwort benachrichtigen
Olaf19 thomas woelfer „ man mit Windows-Bordmitteln schwer sichtbar machen kann. sorry, aber das ist...“
Optionen

Kann man diese Streams denn auch irgendwie wieder löschen, ohne externe Hilfsmittel? Und wie groß ist die Gefahr von "Exploits"?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
REPI thomas woelfer „ man mit Windows-Bordmitteln schwer sichtbar machen kann. sorry, aber das ist...“
Optionen

O.K. funktioniert !

Aber wo wird physisch nun die Datei test.txt:2 abgelegt ?
Denn man findet sie nicht im Unterverzeichniss von test.txt !

Es empfiehlt sich immer, etwas Linux im Hause zu haben.
bei Antwort benachrichtigen
Rika REPI „O.K. funktioniert ! Aber wo wird physisch nun die Datei test.txt:2 abgelegt ?...“
Optionen

Der Stream ist eine Datei wie die Originaldatei auch. Gespeichert wird der Dateieintrag in der MFT, wie bei der Originaldatein auch.

bei Antwort benachrichtigen
Rika thomas woelfer „ man mit Windows-Bordmitteln schwer sichtbar machen kann. sorry, aber das ist...“
Optionen

Dazu muss man aber den Namen des Streams erst einmal kennen. Und der wird mit Windows-Boardmitteln genau wo angezeigt?

bei Antwort benachrichtigen
Tilo Nachdenklich Soulmann63 „Gefahr aus der Schattenwelt“
Optionen

Hallo Rika!

"LADS listet die Namen und Größen aller ADS, die es findet."
Der Mensch, der die FAQ zu Alternativen Datenströmen geschrieben hat, bietet ein Programm zum Anzeigen aller Alternativen Datenströme auf dem Computer an. Ich habe es aber noch nicht ausprobiert. Zu den FAQ:
www.heysoft.de/Frames/f_faq_ads_de.htm

bei Antwort benachrichtigen
Rika Tilo Nachdenklich „Hallo Rika! LADS listet die Namen und Größen aller ADS, die es findet. Der...“
Optionen

Welchen Teil von "Windows-Boardmittel" hast du nicht verstanden? Ich selbst benutze "Streams" von Sysinternals.

bei Antwort benachrichtigen