Come inserire file dentro altri file per nasconderli su Windows
Aggiornato il:
Creare ed eseguire file ADS nascosti dentro altri file per avviare qualsiasi programma
In un altro articolo precedente avevamo visto un piccolo trucco per nascondere i file dentro una una foto con estensione .jpg. In quel caso non si era fatto altro che creare dentro il file immagine, un archivio di winrar con dentro quel che si vuole.
Chiaramente la dimensione di questo file .jpg diventa più elevata a seconda di quanti file ci sono dentro e per aprirlo basta fare "Apri con.." e scegliere Winrar.
Ma i virus non si nascondono cosi, non solo sarebbe facile scovarlo, ma un archivio .rar di è completamente innocuo, non apre nulla in memoria e non attiva alcun processo.
Si chiamano ADS (Alternate Data Stream) quei file che si nascondono dentro un altro file, senza modificarne la dimensione e rimanendo del tutto occultati alla vista di Windows. Quando si apre e si esegue un file che contiene un ADS, si attiva quest'ultimo e si lancia il programma che vi sta sotto.
In questo articolo vediamo come si può creare facilmente, con il proprio pc, un ADS e nasconere qualsiasi file dentro un altro in modo che, quando si esegue quest'ultimo, l'ADS venga attivato al suo posto.
LEGGI ANCHE: Come Nascondere file e cartelle in Windows
1) Aprire Esplora Risorse, Andare sul disco C: e creare una nuova cartella chi possiamo chiamare "Ads".
2) Al suo interno, per provare l'esperimento, creare un nuovo file di testo e chiamarlo "test.txt" e copiare una foto o una immagine qualsiasi che si trova sul computer e che si può rinominare in immagine_test.jpg.
3) Aprire il prompt dei comandi che si trova in Star --> Programmi --> Accessori oppure andando su Start --> Esegui --> e scrivere "cmd"
4) Scrivere adesso cd \ads per entrare, via Dos, nella cartella creata prima.
5) Per creare un ADS elementare e iniziare a capire cosa sono, si può scrivere "echo Ciao bello > test.txt:testonascosto.txt"; si può notare che nella cartella ads non è stato aggiunto alcun file.
6) Scrivere sul prompt "notepad test.txt:testonascosto.txt" e come per magia si apre il notepad con il testo scritto prima; di fatto è stato nascosto un qualcosa di scritto che rimane invisibile sul computer se non eseguendo questo tipo di comandi.
Se la curiosità inizia a solleticare lo spirito hacker che è in ognuno di noi, andiamo avanti e vediamo cosa altro si può fare.
7) Se nascondere un testo può servire solo alle spie della CIA, un hacker può pensare di usare questa tecnica per nascondere un file cattivo dentro uno buono.
Nella cartella Ads, per fare un esperimento pratico, si può copiare il file calc.exe che si trova nella cartella di sistema Windows e che serve ad aprire la calcolatrice normale.
Per copiare il file nella cartella Ads, basta scrivere sul prompt dei comandi "copy C:\windows\system32\calc.exe c:\ads".
8) Adesso si può inserire il file immagine_test.jpg che avevamo preso prima e che dovrebbe essere ancora dentro la cartella Ads, dentro il file calc.exe.
Per fare questa infiltrazione si deve scrivere sulla finestra nera del DOS che fino ad ora, non abbiamo mai chiuso: "type immagine_test.jpg > calc.exe:immagine_test.jpg".
9) Risultato: se si avvia il file calc.exe, non succede nulla di strano; se si avvia da dos il file calc.exe scrivendo cosi: start ./calc.exe:immagine_test.jpg oppure start C:\ads\calc.exe:immagine_test.jpg (ci vuole sempre il percorso per intero), si apre l'immagine scelta prima e non la calcolatrice; se si cancella il file immagine_test dalla cartella Ads, il risultato non cambia.
Questo significa che il file jpg è stato nascosto dentro il file calc.exe, non è più visibile, la dimensione di calc.exe è rimasta invariata e non c'è nulla che segnali la presenza del Data Stream.
A differenza poi del metodo usato con Winrar, questa volta, non c'è nessun archivio e il file nascosto si attiva e si esegue quando si fa lo start di quello che ospita infatti, cliccando sul file calc.exe dalla cartella aperta, l'immagine non compare.
Si possono nascondere anche file dentro una cartella che sembrerà erroneamente vuota.
10) Si può creare una nuova cartella dentro Ads e chiamarla Ads2 poi da Dos, scrivere cd Ads2 e digitare il comando "type c:\ads\calc.exe > :pippo.exe"; il file calc.exe è nella cartella Ads2 ma non si vede, nè con il comando "dir" che mostra i file nelle directory, nè andandoci via esplora risorse con la normale interfaccia grafica.
Questi sono trucchetti abbastanza vecchi ma che a molti sono sconosciuti anche perchè, di fatto, non hanno una reale utilità, almeno per gli utenti normali; sono gli hacker cattivi che li sfruttano e, in passato, hanno fatto molti danni usando i Data Stream.
Immaginando infatti che, nel nostro esempio sopra, al punto 8, invece di un file immagine normale e innocuo, si fosse nascosto dentro la calcolatrice, un virus vero, sarebbero dolori.
Se poi il virus vero si fa chiamare, ad esempio svchost.exe che è presente diverse volte nel task manager, allora sarebbe davvero difficile da trovare.
Non finisce qui, perchè un hacker esperto, sa che programmi come la calcolatrice o il notepad sono sempre nel percorso C:\Windows\System32 quindi, potenzialmente, potrebbe andare a corrompere quel file, senza dover creare nulla di nuovo.
Ancora, senza scomodare virus, si potrebbe nascondere un file da 10GB dentro uno da 10 Kbyte e, senza capire il perchè, ci si potrebbe trovare con il pc bloccato e senza più spazio.
Per fortuna, questi problemi di sicurezza sono in gran parte superati, gli antivirus trovano al volo virus nascosti cosi ed è abbastanza improbabile subire un attacco di questo tipo se si sta protetti.
Unica raccomandazione che devo fare è che, vista la facilità con cui si può creare un file malevolo in questo modo, sarebbe il caso di non accettare nessun file da sconosciuti, magari inviati via MSN o via posta, anche se questi fossero foto, immagini, musiche, file di testo o qualunque altra cosa.
Per la cronaca, gli ADS funzionano solo su partizioni disco NTFS e non sulle FAT32 quindi per eliminare un File ADS si può o eliminare quello che lo ospita cancellandolo oppure spostandolo su una partizione FAT32.
Ci sono tool che riescono a individuare i Data Streams, ed il migliore è il famoso Hijackthis che abbiamo incontrato gia diverse volte in questo blog.
Su Hijackthis, aprendo i "Misc Tools" si trova una utility chiama "ADS Spy" che fa la scansione degli Streams e, se si vuole li rimuove ma, onestamente, sarebbe proprio uno zelo eccessivo di sicurezza anche perchè tanti ADS sono utili a Windows e si rischierebbe di fare danni.
Chiaramente la dimensione di questo file .jpg diventa più elevata a seconda di quanti file ci sono dentro e per aprirlo basta fare "Apri con.." e scegliere Winrar.
Ma i virus non si nascondono cosi, non solo sarebbe facile scovarlo, ma un archivio .rar di è completamente innocuo, non apre nulla in memoria e non attiva alcun processo.
Si chiamano ADS (Alternate Data Stream) quei file che si nascondono dentro un altro file, senza modificarne la dimensione e rimanendo del tutto occultati alla vista di Windows. Quando si apre e si esegue un file che contiene un ADS, si attiva quest'ultimo e si lancia il programma che vi sta sotto.
In questo articolo vediamo come si può creare facilmente, con il proprio pc, un ADS e nasconere qualsiasi file dentro un altro in modo che, quando si esegue quest'ultimo, l'ADS venga attivato al suo posto.
LEGGI ANCHE: Come Nascondere file e cartelle in Windows
1) Aprire Esplora Risorse, Andare sul disco C: e creare una nuova cartella chi possiamo chiamare "Ads".
2) Al suo interno, per provare l'esperimento, creare un nuovo file di testo e chiamarlo "test.txt" e copiare una foto o una immagine qualsiasi che si trova sul computer e che si può rinominare in immagine_test.jpg.
3) Aprire il prompt dei comandi che si trova in Star --> Programmi --> Accessori oppure andando su Start --> Esegui --> e scrivere "cmd"
4) Scrivere adesso cd \ads per entrare, via Dos, nella cartella creata prima.
5) Per creare un ADS elementare e iniziare a capire cosa sono, si può scrivere "echo Ciao bello > test.txt:testonascosto.txt"; si può notare che nella cartella ads non è stato aggiunto alcun file.
6) Scrivere sul prompt "notepad test.txt:testonascosto.txt" e come per magia si apre il notepad con il testo scritto prima; di fatto è stato nascosto un qualcosa di scritto che rimane invisibile sul computer se non eseguendo questo tipo di comandi.
Se la curiosità inizia a solleticare lo spirito hacker che è in ognuno di noi, andiamo avanti e vediamo cosa altro si può fare.
7) Se nascondere un testo può servire solo alle spie della CIA, un hacker può pensare di usare questa tecnica per nascondere un file cattivo dentro uno buono.
Nella cartella Ads, per fare un esperimento pratico, si può copiare il file calc.exe che si trova nella cartella di sistema Windows e che serve ad aprire la calcolatrice normale.
Per copiare il file nella cartella Ads, basta scrivere sul prompt dei comandi "copy C:\windows\system32\calc.exe c:\ads".
8) Adesso si può inserire il file immagine_test.jpg che avevamo preso prima e che dovrebbe essere ancora dentro la cartella Ads, dentro il file calc.exe.
Per fare questa infiltrazione si deve scrivere sulla finestra nera del DOS che fino ad ora, non abbiamo mai chiuso: "type immagine_test.jpg > calc.exe:immagine_test.jpg".
9) Risultato: se si avvia il file calc.exe, non succede nulla di strano; se si avvia da dos il file calc.exe scrivendo cosi: start ./calc.exe:immagine_test.jpg oppure start C:\ads\calc.exe:immagine_test.jpg (ci vuole sempre il percorso per intero), si apre l'immagine scelta prima e non la calcolatrice; se si cancella il file immagine_test dalla cartella Ads, il risultato non cambia.
Questo significa che il file jpg è stato nascosto dentro il file calc.exe, non è più visibile, la dimensione di calc.exe è rimasta invariata e non c'è nulla che segnali la presenza del Data Stream.
A differenza poi del metodo usato con Winrar, questa volta, non c'è nessun archivio e il file nascosto si attiva e si esegue quando si fa lo start di quello che ospita infatti, cliccando sul file calc.exe dalla cartella aperta, l'immagine non compare.
Si possono nascondere anche file dentro una cartella che sembrerà erroneamente vuota.
10) Si può creare una nuova cartella dentro Ads e chiamarla Ads2 poi da Dos, scrivere cd Ads2 e digitare il comando "type c:\ads\calc.exe > :pippo.exe"; il file calc.exe è nella cartella Ads2 ma non si vede, nè con il comando "dir" che mostra i file nelle directory, nè andandoci via esplora risorse con la normale interfaccia grafica.
Questi sono trucchetti abbastanza vecchi ma che a molti sono sconosciuti anche perchè, di fatto, non hanno una reale utilità, almeno per gli utenti normali; sono gli hacker cattivi che li sfruttano e, in passato, hanno fatto molti danni usando i Data Stream.
Immaginando infatti che, nel nostro esempio sopra, al punto 8, invece di un file immagine normale e innocuo, si fosse nascosto dentro la calcolatrice, un virus vero, sarebbero dolori.
Se poi il virus vero si fa chiamare, ad esempio svchost.exe che è presente diverse volte nel task manager, allora sarebbe davvero difficile da trovare.
Non finisce qui, perchè un hacker esperto, sa che programmi come la calcolatrice o il notepad sono sempre nel percorso C:\Windows\System32 quindi, potenzialmente, potrebbe andare a corrompere quel file, senza dover creare nulla di nuovo.
Ancora, senza scomodare virus, si potrebbe nascondere un file da 10GB dentro uno da 10 Kbyte e, senza capire il perchè, ci si potrebbe trovare con il pc bloccato e senza più spazio.
Per fortuna, questi problemi di sicurezza sono in gran parte superati, gli antivirus trovano al volo virus nascosti cosi ed è abbastanza improbabile subire un attacco di questo tipo se si sta protetti.
Unica raccomandazione che devo fare è che, vista la facilità con cui si può creare un file malevolo in questo modo, sarebbe il caso di non accettare nessun file da sconosciuti, magari inviati via MSN o via posta, anche se questi fossero foto, immagini, musiche, file di testo o qualunque altra cosa.
Per la cronaca, gli ADS funzionano solo su partizioni disco NTFS e non sulle FAT32 quindi per eliminare un File ADS si può o eliminare quello che lo ospita cancellandolo oppure spostandolo su una partizione FAT32.
Ci sono tool che riescono a individuare i Data Streams, ed il migliore è il famoso Hijackthis che abbiamo incontrato gia diverse volte in questo blog.
Su Hijackthis, aprendo i "Misc Tools" si trova una utility chiama "ADS Spy" che fa la scansione degli Streams e, se si vuole li rimuove ma, onestamente, sarebbe proprio uno zelo eccessivo di sicurezza anche perchè tanti ADS sono utili a Windows e si rischierebbe di fare danni.