Alternate Data Streams als Versteck für Schädlinge
Microsofts NTFS-Dateisystem speichert zusätzliche Informationen in Alternate Data Streams, die man mit Windows-Bordmitteln schwer sichtbar machen kann. Auch Schädlinge können sich in solchen Streams verstecken, denn nicht alle Virenscanner erkennen Malware in Streams zuverlässig.
Bereits seit Windows NT 3.51 unterstützt das von Microsoft entwickelte Dateisystem NTFS (NT File System) sogenannte Alternate Data Streams (ADS) [1]. Darin kann das Betriebssystem zusätzliche Informationen zu einer Datei ablegen, beispielsweise die mit Service Pack 2 eingeführten ZoneIDs, um Dateien als aus dem Internet stammend zu kennzeichnen. Auch Windows-Applikationen nutzen solche Streams seit langem und speichern dort etwa Miniaturbilder für die Vorschau [2]. Jede Datei kann prinzipiell beliebig viele Streams besitzen, die Notation sieht folgendermaßen aus: mehr
Klatsch, Fakten, News, Betas 5.087 Themen, 27.849 Beiträge
> F: Welche Möglichkeiten stellt Microsoft bereit, um alternative Datenströme auf meinen NTFS-Medien aufzuspüren?
> A: Erwarten Sie das?
Tja... kurz und trocken. Die FAQs finde ich insgesamt sehr lesenswert, kompakter Überblick über das Thema, und das Programm LADS zum Auflisten der ADS werde ich mir auf jeden Fall auch mal reinziehen. Weitere Infos inkl. Bebilderung übrigens in diesem Artikel (Link am Ende der FAQs:
The Dark Side of NTFS.
CU
Olaf