Quiero hacer una copia de seguridad de los archivos del sistema Windows infectados antes de formatearlos todos y reinstalar el sistema. Lo haría desde un Linux Live USB. He oído que se debe tener cuidado al copiar solo los archivos y no a las secuencias de datos alternativas o ayudarían a que el malware persista al reinstalar el sistema.
Desde Linux, ¿cómo copio los archivos de forma segura sin transportar los flujos de datos alternativos con ellos?
Cópielo en cualquier sistema de archivos que no sea NTFS.
Las secuencias de datos alternativas (ADS) son una característica exclusiva de NTFS. Es similar a, pero distinto de, los atributos extendidos (xattrs) en muchos sistemas de archivos Linux como ext4. La principal diferencia es que las secuencias de ADS pueden estar ocultas, lo que requiere el conocimiento del identificador de ADS para acceder a ellas, mientras que las xattrs se pueden enumerar.
Debido a que solo NTFS es compatible con ADS, copiarlo en un sistema de archivos como ext4 lo elimina de manera efectiva. Es por la misma razón que los xattrs no se conservan cuando un archivo se copia de ext4 a NTFS.
En una nota al margen, si bien el código malicioso podría esconderse en el ADS de un archivo, no estaría activo allí. El malware almacenado en un ADS se neutralizaría completamente hasta que otra cosa lo activara intencionalmente. No es más una fuente de infecciones que otros lugares donde se pueden ocultar los datos.
¿Cómo copio los archivos de forma segura sin transportar los flujos de datos alternativos con ellos?
Esto depende de cómo esté montando el sistema de archivos NTFS (presumiblemente) en Linux. Si está utilizando el controlador del sistema de archivos ntfs-3g para Linux, entonces (de acuerdo con la página de manual ) puede montar el sistema de archivos con la opción "streams_interface = none", que solo expondrá el flujo sin nombre (el flujo de datos principal no alternativo).
En este caso (según la documentación), parece que simplemente puede copiar el archivo como de costumbre y solo se copiará la secuencia sin nombre.
Actualización:
He probado esto en Kali Linux. Dejo que el sistema monte una unidad / partición NTFS USB externa por su procedimiento predeterminado. Luego copié un archivo con un flujo de datos alternativo del sistema de archivos NTFS al sistema de archivos ext4 en la máquina Kali Linux. El flujo de datos alternativo no se conservó; si vuelvo a copiar el archivo a un volumen NTFS, el ADS ya no está presente.
Lea otras preguntas en las etiquetas windows linux windows-10 alternative-data-streams