Flux de données alternatifs (ADS)

But et fonction

Les flux de données alternatifs (ADS) sont une fonctionnalité unique au système de fichiers NTFS qui permet d’associer plus d’un flux de données à un seul nom de fichier. Chaque fichier sur un volume NTFS possède un flux de données principal et par défaut, techniquement sans nom mais souvent appelé . Ce flux contient le contenu principal attendu du fichier — le texte dans un fichier, les données pixels dans un , ou le code machine dans un fichier .:$DATA .txt .jpg .exe

Cependant, NTFS permet d’attacher un nombre quelconque de flux de données supplémentaires nommés à la même entrée de fichier dans le MFT. Par exemple, un fichier nommé peut avoir son contenu texte principal et héberger simultanément un fichier exécutable caché dans un flux séparé, tel que .MyDocument.txt MyDocument.txt:HiddenApp.exe

Cette fonctionnalité a été initialement conçue pour être compatible avec le système de fichiers hiérarchique classique Mac (HFS), mais elle est désormais rarement utilisée à des fins légitimes par les applications modernes.

Du point de vue DFIR, les ADS sont une technique bien connue utilisée par les malwares et les utilisateurs avisés pour masquer des données.

Mécanisme de dissimulation

La puissance de la visée comme technique de dissimulation réside dans son invisibilité face aux outils Windows standards.

• Invisibilité dans l’Explorateur de fichiers : L’Explorateur de fichiers Windows et la commande standard dans l’invite de commande n’affichent pas par défaut l’existence ou la taille des flux de données alternatifs. Un fichier contenant une grande charge utile cachée dans un ADS affichera sa taille comme s’il ne contenait que son flux de données principal, le rendant totalement anodin.dir

• Création et exécution :

  • L’ADS peut être facilement créé à l’aide d’outils en ligne de commande. Par exemple, la commande va canaliser tout le contenu binaire de la triche dans un nouveau flux nommé attaché à .type C:\path\to\cheat.exe > C:\path\to\benign_file.txt:hidden.exe hidden.exe benign_file.txt

  • Exécuter du code caché dans un ADS n’est pas aussi simple que de double-cliquer sur le fichier hôte. Cela nécessite des techniques spécifiques, telles que l’utilisation de la commande , ou d’autres méthodes de scripting.wmic process call create "C:\path\to\file.txt:hidden.exe" forfiles.exe

Données stockées et valeur médico-légale

Un ADS peut contenir tout type de données, allant de simples journaux texte à des binaires exécutables entiers, des scripts ou des fichiers de configuration. Leur valeur médico-légale est directement liée à leur utilisation comme mécanisme de dissimulation.

• Dissimulation des charges utiles malveillantes : C’est l’usage malveillant le plus courant. Les outils de triche, les logiciels malveillants et les scripts peuvent être stockés dans une ADS attachée à un fichier légitime et sans méfiance (par exemple, une DLL système ou un simple fichier texte).notepad.exe

• Dissimulation des fichiers de configuration ou de journaux : Les cheats peuvent utiliser ADS pour stocker leurs paramètres de configuration ou journaux d’activité, les dissimulant ainsi d’une découverte facile.

• Flux Zone.Identifier (un exemple bénin) : L’un des rares usages courants et légitimes de la visée est le stream. Lorsqu’un fichier est téléchargé depuis Internet via un navigateur web, Windows ajoute souvent ce flux au fichier. Il contient des métadonnées indiquant que le fichier provient d’une source non fiable (la « zone Internet »), ce qui déclenche l’invite « Avertissement de sécurité » lorsque vous essayez de l’exécuter. Analyser ce flux peut être utile sur le plan médico-légal pour prouver l’origine d’un fichier.Zone.Identifier

Détection et analyse

La détection et l’examen de la visée de vue nécessitent des commandes spécifiques ou des outils médico-légaux dédiés.

• Ligne de commande:

  • dir /r: Liste les flux de données alternatifs pour tous les fichiers du répertoire courant.

  • PowerShell : liste tous les flux pour un fichier spécifique.Get-Item -Path .\file.txt -Stream *

• Outils dédiés : Des utilitaires basés sur interface graphique comme AlternateStreamView de Nirsoft ou Streams de Sysinternals sont essentiels. Ils peuvent rapidement scanner des annuaires ou des disques entiers, lister tous les fichiers contenant de la publicité et permettre à l’analyste de voir, extraire ou supprimer le contenu du flux.

• Revue USN () : La création, modification ou suppression d’un ADS est consignée dans le USN Journal. Ces événements sont souvent signalés avec des codes de raison comme ou , associés au fichier hôte. Trouver de tels événements sur un fichier autrement normal est un indicateur fort de l’activité ADS.$UsnJrnlSTREAM_CHANGE NAMED_DATA_OVERWRITE

• Analyse MFT : La présence de l’ADS est enregistrée dans l’enregistrement MFT du fichier hôte, généralement dans l’attribut si le fichier contient plusieurs flux de données.$ATTRIBUTE_LIST

Points de réflexion (Concours SS)

Pour un ScreenSharer, la conscience de l’ADS est cruciale pour trouver des preuves qu’un joueur a activement essayé de se cacher.

• Une cachette classique : La visée est une technique incontournable pour cacher les triches. Un utilisateur SS doit scanner les annuaires utilisateurs courants (Bureau, Téléchargements, Temporaire) et les dossiers liés aux jeux pour détecter la présence de la visée à l’aide d’un outil dédié comme AlternateStreamView. Trouver un flux inattendument volumineux, ou un flux avec un nom ou, attaché à un fichier non exécutable est un signal d’alarme majeur..exe .dll

• Preuves d’exécution : Cacher le fichier est une chose, mais l’exécuter en est une autre. Si vous trouvez une commande dans l’historique des commandes du joueur (par exemple, l’historique PowerShell) ou un vidage mémoire qui utilise ou exécute un fichier avec un deux-points () dans son chemin, vous avez probablement trouvé la commande utilisée pour lancer une charge utile depuis un ADS.wmic forfiles :

• Contexte de Zone.Identifier : Le ruisseau peut être une preuve corroborante utile. Si un fichier suspect contient ce flux, un utilisateur de sécurité sociale peut consulter son contenu (par exemple, avec Notepad) pour voir d’où il a été téléchargé, ce qui peut le lier directement à un site de distribution de triches connu.Zone.Identifier HostUrl

• Correspondant à la revue : Si vous suspectez une activité ADS mais que les fichiers ont disparu, consultez le journal de la USN pour les événements sur des fichiers récemment modifiés ou supprimés. Cela peut prouver que les ADS étaient manipulés, même si vous ne pouvez pas récupérer leur contenu.STREAM_CHANGE