Flux de données alternatifs (ADS)

  • Description: Comme détaillé dans la section Fondamentaux de Windows, les flux de données alternatifs NTFS permettent d’intégrer des données cachées « derrière » un fichier ou un répertoire standard sans affecter la taille du fichier principal ou le contenu apparent dans des outils comme l’Explorateur de fichiers.

  • Mécanisme: Un tricheur peut stocker un exécutable complet (comme ) ou un autre contenu malveillant dans une ADS attachée à un fichier hôte anodin (par exemple, ).cheat.exe notes.txt

    • Exemple de création : En utilisant l’invite de commande : (La commande canalise le contenu binaire de la triche dans l’ADS du fichier bénin).type C:\path\to\cheat.exe >> C:\path\to\benign_file.txt:hidden_stream_name.exe type >>

    • Exemple d’exécution : Nécessite souvent des commandes spécifiques comme ou utilise des utilitaires comme . Double-cliquer sur le fichier hôte () ne fera pas tourner le contenu ADS.wmic process call create "C:\path\to\benign_file.txt:hidden_stream_name.exe" forfiles benign_file.txt

  • Pourquoi les tricheurs l’utilisent : C’est une technique puissante de dissimulation. Il masque la charge utile malveillante de la recherche standard de fichiers et des scans simples qui ne cherchent que des fichiers autonomes. Le fichier hôte paraît tout à fait normal en taille et en contenu.

  • Détection:

    • Téléspectateurs ADS : Des outils comme AlternateStreamView (Nirsoft) ou Streams de Sysinternals sont essentiels. Scannez les répertoires pertinents (Téléchargements, Bureau, Temporaire, dossiers de jeux) ou des disques entiers pour lister tous les fichiers contenant de la publicité ADS. Examinez les ruisseaux aux noms suspects ou à la taille importante.

    • Ligne de commande : liste les flux dans le répertoire courant. Les PowerShell peuvent inspecter des fichiers spécifiques.dir /r Get-Item -Stream *

    • USN Journal : La création, modification ou suppression de la publicité de la publicité génère généralement ou // événements dans le journal, associés au fichier hôte. Trouver ces événements liés à des fichiers autrement normaux peut sembler suspect.STREAM_CHANGE NAMED_DATA_OVERWRITE EXTEND TRUNCATION

    • Analyse de la mémoire : Si le contenu ADS était exécuté, des traces pouvaient être trouvées en mémoire du processus (par exemple, en recherchant des chaînes issues de la triche cachée à l’intérieur ou du processus lancé via ).csrss.exe wmic

    • Outils spécialisés : Les suites ou outils médico-légaux comme Velociraptor comportent souvent des modules spécifiques (par exemple, ) conçus pour trouver et analyser l’ADS à travers un système.Windows.NTFS.ADSHunter

PrécédentCaractères Unicode dans les noms de fichiers/cheminsSuivantCode Obfuscation

Mis à jour