Oops.. Este post tiene los enlaces eliminados!

Identi revisa las denuncias de los usuarios en busca de enlaces eliminados que no dejan descargar los archivos, este mensaje te informa que este post que estas viendo tiene los enlaces eliminados.

Usa el Buscador

Por favor, te recomendamos que uses el buscador para encontrar más alternativas.

Ocultaci?n avanzada de archivos. Microsoft no aclara!

  • Categoría: Reciclaje
  • Publicado hace más de 7 años
Si bien esto no es noticia y ya lleva muchos a?os de antig?edad, me parecio oportuno demostrar una vez mas el porque no debemos usar software privativo como windows, mac os x, etc.

Con este metodo seremos capaces de ocultar cualquier tipo de archivo, de cualquier tama?o en un archivo o carpeta de? 0 bytes. Obviamente que como usuarios finales estaremos pensando: ?Y para que quiero esto yo, usuario comun y silvestre, si nunca lo voy a usar?

Seguro, es muy probable que vos no lo uses, pero un usuario malicioso no dudar? en hacerlo, para muchisimos fines, la imaginacion es el unico limite y lo peor de todo es que es imposible de encontrar estos archivos ocultos, con ninguna solucion comercial como antivirus, detector de rootkits, etc(imaginate lo que podria hacer un virus con esto?).

Asi que sin mas preambulos vamos all?! :-)

Alternate Data Stream


Los sistemas windows de la serie NT(NT, XP, VISTA, 2000, 2003, etc.) nos ofrece la posibilidad de usar como sistema de archivos el sistema NTFS. Para los que no saben, un sistema de archivos es la forma en que el sistema operativo(en este caso windows) maneja los archivos de tu disco duro. En el caso de la serie Windows 9x(95, 98 y Me) utilizan los archi conocidos ?fat16? o ?fat32?.

Ahora bien, como siempre nuestro querido microsoft nos brinda de software llamativo, ?innovador?, ?futurista?? asi como tambi?n cuelgues llamativos, errores innovadores y puertas traseras futuristas. Esta vez sigue alimentando nuestra capacidad de asombro con esta funcion NO DOCUMENTADA del sistema de archivos NTFS llamada Alternate Data Stream, que nos permite ?asociar?  datos a un archivo e incluso a un directorio y existe para mantener una compatibilidad con el HFS(Hierarchical File System) de Macintosh.

Cuando asociamos un archivo1 a un archivo2, el archivo2 aparentemente no ha variado pero en realidad ?contiene? al archivo1 en su ?interior? y queda ocultado para nuestro querido windows pero sigue existiendo e incluso, si es un archivo ejecutable, puede seguir siendo ejecutado!? de manera oculta .

Vamos a la practica!

Para realizar esta practica necesitamos tener instalado cualquier windows de la rama NT(ya mencionamos al principio cuales eran) y tener como sistema de archivos el NTFS.

Primera parte:

1)Abrimos la consola de windows:

inicio->ejecutar-> ponemos ?cmd? (sin las comillas) y enter.

2)Nos posicionamos en el disco C: (tan solo por comodidad) y creamos una carpeta llamada ?prueba? con el comando ?mkdir?(make directory):




3)Ahora creamos un archivo llamado archivo_visible.txt y en su contenido un texto que diga ?Este es un archivo visible?.

En la linea de comandos ponemos:

echo este es un archivo visible > archivo_visible.txt y apretamos enter



Ahora hacemos un ?dir? y nos tira lo que hay dentro de la carpeta ?prueba? y podremos observar que el archivo ?archivo_visible.txt? pesa 28bytes, recuerden esto ;-)

4) Ahora crearemos el archivo que queremos ocultar:

echo este es un archivo oculto y ni mandrake puede verlo > archivo_oculto.txt



5) Ahora se viene la parte interesante? agarrense los cinturones!

Gracias a Alternate Data Stream(desde ahora ADS) procederemos a meter el archivo_oculto.txt dentro de archivo_visible.txt, borraremos el archivo_oculto.txt?  y nos aseguramos que todo siga ?normal? .

Primero metemos el archivo oculto dentro del visible, escribiendo:

type archivo_oculto.txt > archivo_visible.txt:oculto

Borramos el archivo oculto:

del archivo_oculto.txt

Nos aseguramos que todo sigue en orden con ?dir?:



Como podemos observar, el archivo se borr?, ?archivo_visible.txt? sigue pesando 28 bytes y todo esta ?normal?? o no?

Abramos archivo_visible.txt en nuestro disco C: con el bloc de notas y veremos que esta todo en orden:



Todo en orden!? o asi lo parece . Ahora vamos a ver la verdad de la milanesa, lo que microsoft trata de ocultarle al usuario para aprovecharse de nosotros, de nuestra informaci?n y violar nuestra privacidad.

Cerramos la ventana del bloc de notas y ahora escribimos en la linea de comandos:

more  archivo_visible.txt

Este es un archivo visible

?More? es un comando para visualizar el contenido de archivos, en vez de haber usado el bloc de notas, podriamos haber usado este tambi?n y el resultado hubiese sido el mismo.

Ahora ponemos:

more <archivo_visible.txt:oculto



Espeluznante eh? ? ?pero que paso? nosotros borramos el archivo_oculto.txt!!!! esto no puede estar pasando!!!. Si claro y yo estoy escribiendo este art?culo mentalmente?

Ahora los invito a dejar volar la imaginaci?n? que utilidad podria tener esto?  Personalmente se me ocurren muchisimas cosas y casi todas ellas son malas. Una vez mas debemos agradecer a Microsoft por dejar nuestra PC a merced de cualquier usuario malicioso.

Ahora bien, que es lo que ha pasado realmente, por que te veo con cara de susto .

Lo que ha pasado es que hemos ASOCIADO el contenido del archivo_oculto.txt al de archivo_visible.txt mediante ?streaming?. Cando hacemos esto el contenido del asociado(archivo_oculto.txt)  queda ?oculto? dentro del archivo ?troyanizado? (archivo_visible.txt) y para colmo el archivo_visible.txt podria pasar todas las pruebas de comprobacion de integridad(CRC, md5 checksum, byte a byte o un test de ANTIVIRUS) porque en realidad nunca fue modificado.

Lo de ?:oculto? es como la ?etiqueta? del stream, podemos poner cualquiera que queramos y seria como la palabra clave para poder visualizar el archivo, en otras palabras solo podra ver el archivo oculto quien sepa esa palabra clave.

Peligroso?, si y mucho, lo peor de todo es que podemos probar muchisimas cosas como por ejemplo no solo ocultar archivos en ?simples archivos de texto? sino tambien podemos ?troyanizar? carpetas sin NINGUN contenido en ellas, osea carpetas de 0(cero) bytes, podemos meter GIGAS de informacion en un archivo de 0bytes, en una foto, etc., y ni hablar de viruses, troyanos, etc. El unico limite es la imaginaci?n.

Pero y ahora? que haremos? estamos indefensos!. Asi como un grupo de hackers descubrio este perfido plan de microsoft, tambi?n desarrollaron la ?vacuna?.

La vacuna se llama ?LADS?(List alternate data stream), un peque?o programa que nos permite scanear todo nuestro disco duro en busca de archivos ocultos con el metodo ADS. Su uso es muy simple, tan solo lo descargamos en alguna carpeta de nuestro disco duro, abrimos una consola(cmd) nos movemos a la carpeta donde se encuentre el programa y escribimos en la linea de comandos:

lads.exe C:  /s

Con este comando podremos escanear todo el disco C: en busca de archivos ocultos con ADS para despues borrarlos/escanearlo con un antivirus.

Por suerte no fue hasta hace poco, que vi que el unico antivirus que detecta este tipo de metodos de ocultacion, es el NOD32, asi que poco a poco va mejorando nuestra proteccion.

Bueno de momento esto es todo y espero que reflexionen un poco acerca de las tecnologias que usamos en el dia a dia. Si tengo tiempo, un dia de estos ampliare mas el tema haciendo demostraciones sobre ejecucion de software oculto con estos metodos.


Web de LADS: http://www.heysoft.de/nt/ep-lads.htm

Descargar LADS ]http://www.heysoft.de/nt/lads.zip[aqui]
Ocultaci?n avanzada de archivos. Microsoft no aclara!
0 Puntos Score: 0/10
Visitas: 972 Favoritos: 3
Más del Autor...
No se encontraron más posts
2 Comentarios Ocultaci?n avanzada de archivos. Microsoft no aclara!
ok, gracias por la informaci?
Para dejar un comentario Registrate! o.. eres ya usuario? Accede!