| TheTurningPoint | [b]Alternate Data Streams als Versteck für Schädlinge[/b] Das von Windows XP genutzte NTFS-Dateisystem speichert zusätzliche Informationen in "Alternate Data Streams". Darin kann das Betriebssystem zusätzliche Informationen zu einer Datei ablegen, beispielsweise die mit Service Pack 2 eingeführten ZoneIDs, um Dateien als aus dem Internet stammend zu kennzeichnen. Auch Windows-Applikationen nutzen solche Streams seit langem und speichern dort etwa Miniaturbilder für die Vorschau. Jede Datei kann prinzipiell beliebig viele Streams besitzen. Auch Viren und andere Schädlinge können sich in solchen Streams verstecken. Allerdings lässt sich der Stream weder mit dem DOS-Kommando DIR noch mit dem Windows Explorer anzeigen. Alles was man sieht, ist die "Wirts-Datei", der Stream ist quasi unsichtbar. Selbst wenn ein Anwender oder eine Applikation mehrere MByte in den Stream schreibt, bleibt die Größe der Datei unverändert. Sogar an ein Verzeichnis lässt sich ein ADS binden. Streams eignen sich so hervorragend, um Daten zu verstecken. Inkonsistenzen der Summe der gespeicherten Dateien und dem noch verfügbaren Speicherplatz auf der Festplatte können auf versteckte Streams hinweisen. "Gefahr aus der Schattenwelt" [URL]http://www.heise.de/security/artikel/52139[/URL] "Virenscanner übersehen Schädlinge" [URL]http://www.heise.de/newsticker/meldung/52162[/URL] |
