Flux de données alternatifs (ADS) - Flux de données cachés

Les flux de données alternatifs (ADS) représentent une fonctionnalité moins connue mais puissante inhérente au système de fichiers NTFS. Il permet d’associer plus d’un flux de données à un seul nom de fichier. Chaque fichier sur un volume NTFS possède un flux de données primaire, sans nom, conventionnellement appelé lorsqu’il est explicitement nommé. Ce flux contient le contenu principal attendu du fichier – le texte dans un fichier, les données pixels dans un , le code machine dans un fichier .:$DATA.txt.jpg.exe

Cependant, NTFS permet d’attacher des flux de données supplémentaires nommés à la même entrée de fichier dans le fichier . Par exemple, un fichier nommé pourrait avoir son texte principal dans et simultanément avoir un exécutable caché stocké dans .$MFTMyDocument.txtMyDocument.txt:$DATAMyDocument.txt:HiddenApp.exe

Cette capacité peut facilement être abusée pour masquer des données. Le code malveillant, les outils de triche, les fichiers de configuration, les journaux ou des informations sensibles peuvent être stockés dans une ADS attachée à un fichier apparemment anodin (comme , , ou un fichier simple ou image). Des outils standards comme l’Explorateur de fichiers de Windows n’affichent pas par défaut l’existence ou la taille de ces flux alternatifs, les rendant pratiquement invisibles à une inspection informelle.notepad.execalc.exe.txt

La détection et l’examen de la ADS nécessite des commandes spécifiques ou des outils dédiés :

  • Invite de commande : affichera les flux alternatifs pour les fichiers dans le répertoire courant.dir /r

  • PowerShell : liste les flux pour un fichier spécifique. peut lire du contenu en flux (s’il s’agit de texte).Get-Item -Path .\MyDocument.txt -Stream *Get-Content -Path .\MyDocument.txt -Stream HiddenApp.exe

  • Outils dédiés : Des utilitaires comme AlternateStreamView de Nirsoft ou Streams de Sysinternals fournissent des interfaces graphiques pour trouver, voir, extraire et supprimer facilement l’ADS à travers les fichiers et les répertoires.

  • Exécution : L’exécution de code caché dans un ADS nécessite souvent des techniques spécifiques, comme la commande, ou l’utilisation d’utilitaires tels que .wmic process call create "C:\path\file.txt:hidden.exe"forfiles

La conscience de la visée est cruciale lors des partages d’écran, car elle représente une technique courante pour dissimuler des charges utiles malveillantes.

Précédent$LogFile (Journal de métadonnées) - journal spécifique pour les modifications de métadonnéesSuivantAttributs du fichier (lecture seule, caché, etc.) - Propriétés manipulables

Mis à jour