এনটিএফএস কেন অদৃশ্য এক্সিকিউটেবলকে অনুমতি দেয়?


105

আপনি কেবল টাইপ করে অন্য কোনও ফাইলের অভ্যন্তরে যে কোনও ফাইল লুকিয়ে রাখতে পারেন:

type sol.exe > container.txt:sol.exe

এবং লুকানো ফাইলটি চালানোর জন্য কেবল ব্যবহার করুন:

start c:\hide\container.txt:sol.exe

তবে এটির উন্মাদ অংশটি হ'ল এটি ফাইলের আকার বাড়ায় না (তাই এটি সম্পূর্ণ গোপন)।

এবং যদি আপনি ভিতরে লুকানো জিনিসগুলি দিয়ে ফাইলটি মুছেন তবে লুকানো জিনিসগুলি মোছা হবে না। শুধু ব্যবহার করুন:

more <  container.txt:sol.exe > sol.exe

এনটিএফএস কেন এটিকে অনুমতি দেয়? এটি ভাইরাস আড়াল করার সবচেয়ে ভাল উপায় বলে মনে হচ্ছে।


1
সুন্দর, ম্যাক রিসোর্ফোর্সের মতো মনে হচ্ছে।
স্টেফানো বোরিনি

15
সবচেয়ে খারাপ, আপনি যখন sol.exe এর মতো শুরু করেন, টাস্ক ম্যানেজার প্রক্রিয়াটির নামটি ধারক হিসাবে দেখায়
t txt

16
আমাদের গুগল বোমা করা উচিত যাতে "ভয়ঙ্কর" এই প্রশ্নের দিকে পরিচালিত করে
হ্যাসেন

4
যতক্ষণ না এটি প্রায় ছিল, এখনও এখনও মাঝে মাঝে এভি বিকাশকারী / অন্যান্য লোকদের জুড়ে চালানো অবাক লাগে যা ফাইল সিস্টেমের সাথে খুব বেশি কাজ করে যা এখনও এটি সম্পর্কে জানেন না। প্রয়োজন নেই বলেই গড় অ্যাপ্লিকেশন বিকাশকারী এটি সম্পর্কে জানবেন বলে আমি আশা করি না, তবে আপনি যদি ফাইল সিস্টেমের
স্টাফগুলিতে

মনে হয় আপনি কোনও ফোল্ডারে কোনও এডিএস সংযুক্ত করতে পারেন। আপনি ফোল্ডারটি মোছার মাধ্যমে এডিএস মুছতে পারেন, তবে ফোল্ডারটি যখন আপনার ড্রাইভের মূল, আপনি নিজের সি: ড্রাইভ মুছতে পারবেন না, উদাহরণস্বরূপ, ড্রাইভটি পুনরায় ফর্ম্যাট না করে। আমার কাছে একটি লুকানো রুটকিট ভাইরাস তৈরির পদ্ধতির মতো মনে হচ্ছে (?)।
হাইটেকজেক

উত্তর:


98

এই প্রশ্নের দুটি দিক রয়েছে। প্রথমটি হ'ল কেন এই বৈশিষ্ট্যটি একেবারেই বিদ্যমান এবং দ্বিতীয়টি হ'ল জিইউআই (বা কমান্ড প্রম্পট) বৈশিষ্ট্যটি দেখতে ও পরিচালনা করা সহজ করে না।

এটি বিদ্যমান কারণ এটি কার্যকর। আরও বেশ কয়েকটি প্ল্যাটফর্ম ফাইল প্রতি একাধিক ডেটা স্ট্রিম সমর্থন করে। ম্যাকে, তাদের কাঁটাচামচ বলা হয়েছিল , উদাহরণস্বরূপ। আমি যুক্তিসঙ্গতভাবে নিশ্চিত যে মেইনফ্রেম বিশ্বে অনুরূপ জিনিসগুলি বিদ্যমান ছিল, তবে আজ কোনও স্পষ্ট উদাহরণে আমার আঙ্গুল রাখতে পারবে না।

আধুনিক উইন্ডোজে এটি কোনও ফাইলের জন্য অতিরিক্ত বৈশিষ্ট্য ধরে রাখতে ব্যবহৃত হয়। আপনি খেয়াল করতে পারেন যে উইন্ডোজ এক্সপ্লোরার থেকে প্রাপ্ত প্রপার্টি বাক্সে একটি সংক্ষিপ্ত ট্যাব রয়েছে যা সিম্পল ভিউতে (আমি উইন্ডোজ এক্সপিতে আছি, আপনার মাইলেজ অন্যান্য স্বাদে পৃথক হবে) যেমন শিরোনাম, বিষয়, লেখক এবং একাধিক দরকারী ক্ষেত্র অন্তর্ভুক্ত রয়েছে তাই এগিয়ে। যে ডেটাটি খুব সহজেই ফাইল থেকে পৃথক হয়ে যায় সেগুলি ধরে রাখতে কোনও ধরণের সাইড-কার ডাটাবেস তৈরি করার পরিবর্তে বিকল্প স্ট্রিমে সেই ডেটা সংরক্ষণ করা হয়।

চিহ্নিতকারীকে ধরে রাখতে একটি বিকল্প স্ট্রিমও ব্যবহৃত হয় যা বলে যে ফাইলটি একটি অবিশ্বস্ত নেটওয়ার্ক উত্স থেকে এসেছে যা ডাউনলোডের জন্য ইন্টারনেট এক্সপ্লোরার এবং ফায়ারফক্স উভয়ই প্রয়োগ করে।

স্ট্রিমগুলি একেবারেই বিদ্যমান রয়েছে তা লক্ষ্য করার জন্য কেন সেখানে আরও ভাল ব্যবহারকারীর ইন্টারফেস নেই এবং এগুলি কার্যকর করার বিষয়বস্তু কেন রাখা সম্ভব এবং আরও খারাপ, কেন পরে তা কার্যকর করা যায় তা কঠিন প্রশ্ন। এখানে যদি কোনও বাগ এবং সুরক্ষা ঝুঁকি থাকে তবে এটি এটি।

সম্পাদনা:

অন্য উত্তরের মন্তব্যে অনুপ্রাণিত হয়ে, আপনার অ্যান্টি-ভাইরাস এবং / অথবা অ্যান্টি-ম্যালওয়্যার সুরক্ষা বিকল্প স্ট্রিম সম্পর্কে সচেতন কিনা তা খুঁজে বের করার এখানে একটি উপায়।

EICAR পরীক্ষা ফাইলের একটি অনুলিপি পান । এটি ASCII পাঠ্যের 68 বাইট যা কার্যকর বৈধ x86 কার্যকর হতে পারে। যদিও সম্পূর্ণ নির্দোষ নয়, এটি অ্যান্টি-ভাইরাস শিল্পের দ্বারা এটি সত্যিকারের ভাইরাস হিসাবে সনাক্ত করার জন্য সম্মত হয়েছে। উদ্ভাবকরা ভেবেছিলেন যে সত্যিকারের ভাইরাস দিয়ে এভি সফ্টওয়্যার পরীক্ষা করা আগুনের বর্জ্যটি জ্বালিয়ে আগুনের বিপদাশঙ্কা পরীক্ষা করার মতো কিছুটা ...

EICAR ফাইলটি হ'ল:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

এটি এক্সটেনশনের সাহায্যে সংরক্ষণ করুন .COMএবং এটি কার্যকর করা হবে (যদি না আপনার এভি মনোযোগ না দেয়) এবং একটি অভিবাদন মুদ্রণ করে।

এটি একটি বিকল্প ডেটা স্ট্রিমে সংরক্ষণ এবং একটি স্ক্যান চালানো তথ্যবহুল হবে ...


11
ডিজাইন করে প্রদর্শিত ফাইলের আকারটি কেবলমাত্র মূল $ ডেটা স্ট্রিমের আকার দেখায়। এটি সাধারণত আপনি যা চান তা হ'ল। আপনি ফাইলের আকারের (যা এক ধরণের মেটাডেটা একরকম) ফাইল আকারের পাশাপাশি অন্তর্ভুক্ত করবেন না। সুরক্ষা ঝুঁকি হিসাবে। এডিএস কোনও পৃথক ফাইলের চেয়ে ঝুঁকিপূর্ণ নয়। আমি কোনও ম্যালওয়ারের কথা শুনিনি যা সফলভাবে সেই প্রক্রিয়াগুলির সাথে ছড়িয়ে পড়ে / লুকিয়ে থাকে।
জোয়

4
আপনি দুর্ঘটনাক্রমে কোনও পাঠ্য ফাইলের এডিএস-তে সংরক্ষিত এক্সিকিউটেবল চালাতে পারবেন না। এটি কোনও সাধারণ ব্যবহারকারীর দ্বারা দুর্ঘটনাবশত চালানোর জন্য এটি খুব গোপন। আপনার প্রথমে আপোস করা দরকার।
আর মার্টিনহো ফার্নান্দিস

7
@ এশ: মার্টিনহো এটিকে নখ দিয়েছিল - যে প্রচ্ছন্নতা এমন স্ট্রিমটিতে নির্বাহযোগ্যকে খুঁজে পাওয়া শক্ত করে তোলে তা সক্রিয়ভাবে চেষ্টা না করেই মৃত্যুদণ্ড কার্যকর করাও শক্ত করে তোলে। এটির সাথে সম্পূর্ণ বৈকল্পিক করুন, বলুন, পুরো "লুকানো ফাইল এক্সটেনশানগুলি" ফায়াস্কো, যেখানে এক্সিকিউটেবল ফাইলগুলি জিইউআই-তে টেক্সট ফাইল হতে পারে বলে, এবং এখনও খুব সহজেই কার্যকর করা যেতে পারে।
শোগ 9

3
ধরে নিই যে আপনার কাছে এমন কোনও AV আছে যা কমপক্ষে .COM ফাইলের দিকে মনোযোগ দিচ্ছে, আপনি এডিএস হিসাবে এটি সংযুক্ত করতে সক্ষম হবেন না কারণ AV আপনাকে .COM ফাইল অ্যাক্সেস করতে বাধা দেবে (এডিএস হিসাবে সংযুক্তিতে অ্যাক্সেসের জন্য একজনের প্রয়োজন ফাইল)। তবে আপনার EICAR স্ট্রিংয়ের সাথে একটি পাঠ্য ফাইল সংযুক্ত করতে এবং ADS এর অভ্যন্তরে একটি .COM এক্সটেনশনের সাথে নাম রাখতে সক্ষম হওয়া উচিত। যেমন টাইপ করুন EICAR.txt> test.txt: EICAR.COM
কেটিসি

2
EICAR.COM ফাইল সম্পর্কে কুল বিষয়: উইন্ডোজ কোন 64-বিট সংস্করণের উপর চলবে না তাই আমি অনুমান একবার সবাই 64-বিট মেশিনে (যা এই কৌতুক আর কাজ করবে না এখনো সম্ভবত কিছুদিনের হতে)।
ক্রেডেন্স

15

এই বৈশিষ্ট্যটি উইন্ডোজ সার্ভারের ক্রস প্ল্যাটফর্ম বৈশিষ্ট্যের জন্য প্রয়োজন: ম্যাকের জন্য পরিষেবাগুলি।

এটি এনটিএফএসে চলমান একটি উইন্ডোজ সার্ভারকে এএফপি-র মাধ্যমে ম্যাক্সে ভাগ করার অনুমতি দেয়। এই বৈশিষ্ট্যটি কাজ করার জন্য, এনটিএফএস ফাইল সিস্টেমকে কাঁটাচামচ সমর্থন করতে হবে এবং এটি প্রথম দিন থেকেই রয়েছে।

এবং আপনি জিজ্ঞাসার আগে, এই বৈশিষ্ট্যটি এখনও ব্যবহৃত হয়? হ্যাঁ এটি আমি চালিয়ে যাচ্ছি এবং একটি ক্লায়েন্টের সার্ভারে প্রতিদিন আমি ব্যবহার করি যা আমি সমর্থন করি।

মূল সুরক্ষার সমস্যাটি তখনই আসে যখন লোকেরা এবং অ্যাপ্লিকেশনগুলি ভুলে যায় বা বুঝতে পারে না যে এটি রয়েছে।

মোট ফাইল আকারে কাঁটাচামচ অন্তর্ভুক্ত করা বা উইন্ডোজ এক্সপ্লোরারগুলিতে তাদের দেখানো সত্ত্বেও সম্ভবত একটি বিকল্প থাকতে হবে।


2
আপনি যদি ভোটটি নামতে চলেছেন তবে দয়া করে কেন একটি মন্তব্য করুন।
ব্রুস ম্যাকলিউড

2
বৈশিষ্ট্যটি প্রথম স্থানে থাকার জন্য এটি পুরোপুরি বিশ্বাসযোগ্য কারণ বলে মনে হচ্ছে।
আরবেরটিগ

3
ম্যাক্সের জন্য ফাইল ভাগ করে নেওয়ার জন্য কেবল এই বৈশিষ্ট্যটি যুক্ত করা কোনও কলুষিত কারণের মতো শোনাচ্ছে না। নেটওয়ার্কের মাধ্যমে ভাগ করে নেওয়ার জন্য সার্ভারের পাশে ফাইলটি অক্ষত সংরক্ষণের প্রয়োজন হয় না। আমি বেশ কয়েকটি * নিক্স অ্যাপল শেয়ারিং সার্ভার দেখেছি যা ফাইল এবং ডেটা এবং সংস্থান তথ্যগুলিতে বিভক্ত হয়। এটি ক্লায়েন্টের কাছে স্বচ্ছ। কেবল এএফপিকে অনুমতি দেওয়ার জন্য প্রকৃত ড্রাইভ ফর্ম্যাটটি পরিবর্তন করা বাস্তববাদী বলে মনে হয় না। একটি দুর্দান্ত উপকার হতে পারে তবে এই বৈশিষ্ট্যের কারণ হিসাবে নয়।
সিমুর

2
হ্যাঁ, আমি ভাবছি [উদ্ধৃতি আবশ্যক] আপনি যদি দাবি করে যাচ্ছেন যে এনটিএফএসে এমএস এডিএস বাস্তবায়নের প্রধান কারণ এসএফএম হয় ।
আফরাজায়

3
উদ্ধৃতিটি পাওয়া গেছে: ... ADS ক্ষমতা যেখানে ম্যাকিনটোস হায়ারার্কিকাল ফাইল সিস্টেম, এইচএফএসের সাথে সামঞ্জস্যের মঞ্জুরি দেওয়ার জন্য প্রাথমিকভাবে ধারণা করা হয়েছিল ; যেখানে ফাইলের তথ্য কখনও কখনও পৃথক সংস্থানগুলিতে গঠিত হয়। বিকল্প ডেটা স্ট্রিমগুলি অ্যাট্রিবিউটস এবং অস্থায়ী স্টোরেজ হিসাবে ফাইলের তথ্য সংরক্ষণের জন্য দেশীয় উইন্ডোজ অপারেটিং সিস্টেম সহ বিভিন্ন প্রোগ্রামের দ্বারা বৈধভাবে ব্যবহার করা হয়েছে। উৎস: windowsecurity.com/articles/Alternate_Data_Streams.html
JamesBarnett

5

আমি কল্পনা করতাম মূল ব্যবহারগুলির মধ্যে একটি (সম্ভবত উদ্দেশ্যযুক্ত ব্যবহার) হ'ল স্বচ্ছভাবে কোনও ফাইলে কোনও ধরণের মেটা-ডেটা যুক্ত করার অনুমতি দেওয়া। ফাইলের আকারের পরিবর্তন না হওয়ার কারণ এই দৃশ্যে আপনি ফাইলটি দেখতে বা অন্যরকমভাবে আচরণ করতে চান না কারণ উদ্ভূত অ্যাপ্লিকেশনটি ফাইলটি দেখতে কিছু দিকের উপর নির্ভর করে।

আমি উদাহরণস্বরূপ আইডিইগুলিতে আকর্ষণীয় ব্যবহারগুলি কল্পনা করতে পারি, যেখানে কখনও কখনও একক ইউনিট (কোড ফাইল / ফর্ম ফাইল ইত্যাদি) গঠনের জন্য একাধিক ফাইল জড়িত থাকে, যা মূল ফাইলের সাথে এইভাবে সংযুক্ত থাকতে পারে যাতে তারা ঘটনাক্রমে পৃথক না হয়ে যায়।

আমি আরও বিশ্বাস করি যে কোনও প্রদত্ত ডিরেক্টরি ট্রিতে এই জাতীয় সমস্ত 'সংযুক্তি' সন্ধান করার জন্য একটি আদেশ রয়েছে, সুতরাং এগুলি আসলে সম্পূর্ণ লুকানো নয়। আরও ভাল ভাইরাস স্ক্যানাররা যদি এই সম্পর্কে অবগত না থাকে এবং এই 'লুকানো' অঞ্চলগুলি পরীক্ষা করে তবে এটি আমাকে অবাক করে দেবে, তবে আপনি এটি পরীক্ষা করে কোনও পাঠ্য ফাইলে সংক্রামিত এক্সিকিউটেবলের সাথে সংযুক্ত করে এবং এটি নেওয়া হয়েছে কিনা তা পরীক্ষা করে দেখতে পারেন।


আপনি কি দয়া করে এরকম এক্সিকিউটেবলের জন্য একটি লিঙ্ক পোস্ট করতে পারেন যাতে আমি চেষ্টা করতে পারি? ;)
আর মার্টিনহো ফার্নান্দিস

আমি আপনাকে আপনার মেশিনে এভিজি চালানোর পরামর্শ দিই, এবং তারপরে চেষ্টা করতে কোয়ারেন্টাইন ফোল্ডার থেকে এক্সিকিউটেবলগুলির মধ্যে একটি
ধর

2
@ মার্টিনহো, আপনি EICAR পরীক্ষার ফাইলটি চান: এক্স 5 ও! পি% @ এপি [4 \ পিজেডএক্স 54 (পি ^) 7 সিসি) 7 IC IC আইকার-স্ট্যান্ডার্ড-এন্টিভাইরাস-টেস্ট-ফাইল! $ এইচ + এইচ * ঠিক সেই পাঠ্যটি পেস্ট করুন (ঠিক CC বাইট ASCII পাঠ্য, পুরো গল্পের জন্য eicar.org/anti_virus_test_file.htm দেখুন ) এক্সটেনশন সহ নামের একটি ফাইলের মধ্যে। এটি চালাতে এবং একটি বার্তা মুদ্রণ করবে। আপনার এভি যদি না কাজ করে তবে অবশ্যই। এটি একটি বিকল্প ডেটা স্ট্রিমে ফেলে দিন এবং সেখানেও পরীক্ষা করে দেখুন।
RBerteig

@ আরবার্টিগ: আরে শীতল ... জানতাম না এমন একটা জিনিস আছে।
jerryjvl

@ জেরিজেভিএল, যেমন তারা বলেছে, এটি আগুনের বর্জ্য জ্বালিয়ে আগুনের অ্যালার্ম পরীক্ষা করছে ...
আরবার্টেইগ

5

বিকল্প ডেটা স্ট্রিম দ্বারা প্রকাশিত সম্ভাব্য সুরক্ষা দুর্বলতার বিষয়ে এখানে একটি নিবন্ধ ।


6
<nitpick> এটি একটি দুর্বলতা, হুমকি নয় </ nitpick>। এটি যতটা শোনায় তত বড় চুক্তি নয়। এটি ব্যবহারের জন্য আপনার কাছে ইতিমধ্যে শংসাপত্র থাকা দরকার।
রোমান্ডাস

সমস্যা নেই. বিটিডব্লিউ, আপনার বানান পরীক্ষা করুন। এবং সর্বদা মনে রাখবেন: হুমকি দুর্বলতাগুলি শোষণ করে। হুমকিগুলি হ'ল মানুষ, সাধারণত, তবে প্রাকৃতিক এবং তৈরি-বিপর্যয়ও গণনা করে।
রোমান্ডাস

@ রোমান্ডাস, আপনার ইতিমধ্যে কোন শংসাপত্রগুলি থাকা দরকার? বাড়িতে বেশিরভাগ উইন্ডোজ ব্যবহারকারীরা (বিশেষত এক্সপি) অ্যাডমিন সুবিধাগুলি নিয়ে চলছে তাই এটি শোনাতে কেন এটি বড় বিষয় নয়?
অ্যাশ

@ এশ, "লুকানোর পদ্ধতি সহ ... একটি ভগ্ন সিস্টেমের মধ্যে"। সিস্টেমটি ইতিমধ্যে কোনও কিছু আড়াল করার জন্য প্রথমে সমঝোতা করতে হবে এবং একইভাবে লুকানো কোনও কিছুই কার্যকর করতে হবে।
কেটিসি

5

ভাল প্রশ্ন, আমি গত বছর পর্যন্ত এডিএস সম্পর্কে সঠিকভাবে অবগত ছিলাম না এবং আমি অনেক বছর ধরে উইন্ডোজ বিকাশকারী হয়েছি। আমি গ্যারান্টি দিতে পারি যে আমি এতে একা নই।

ফাইলগুলিতে বিকল্প ডেটা পরীক্ষা করতে সক্ষম হওয়া সম্পর্কে, আমি ফ্র্যাঙ্ক হেইন সফ্টওয়্যার থেকে ল্যাডস নামে একটি দরকারী ছোট্ট সরঞ্জাম উপলব্ধ available এটি প্রদত্ত ডিরেক্টরিতে সমস্ত ফাইলের এডিএস তালিকাভুক্ত করতে পারে, এমনকি এনক্রিপ্ট করা ফাইলগুলিতেও (এবং উপ-ডিরেক্টরিতেও)।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.