¿Cómo puedo identificar / descubrir archivos ocultos con ADS?

7

ADS, o flujos de datos alternativos, se agregaron a Windows en 1993 (Primera versión de Windows NT) como una característica del nuevo sistema de archivos NTFS para ayudar a admitir algunas características del sistema operativo Mac en ese momento. Me gusta leer sobre temas de seguridad, y recientemente leí acerca de cómo a los virus, troyanos, registradores de teclas, etc., les gusta ocultar el uso de ADS porque el archivo es invisible, no como un archivo oculto, sino completamente invisible para el Explorador de Windows e incluso el dir comando en el símbolo del sistema. Básicamente, es como la Anne Frank para los virus informáticos, se esconde allí y nadie lo sabe, por lo que podría ser una amenaza para los usuarios informáticos.

¿Hay una manera de detectar estos archivos ADS sin el uso de un programa especializado, y si no, ¿cuál sería un programa / método para detectar estos archivos?

    
pregunta cutrightjm 12.04.2013 - 02:59
fuente

2 respuestas

10

dir /R los muestra en un entorno de línea de comandos.

Microsoft Windows [Versión 6.1.7600] Copyright (c) 2009 Microsoft Corporation. Todos los derechos reservados.

C:\Windows\system32>dir /?
Displays a list of files and subdirectories in a directory.

DIR [drive:][path][filename] [/A[[:]attributes]] [/B] [/C] [/D] [/L] [/N]
  [/O[[:]sortorder]] [/P] [/Q] [/R] [/S] [/T[[:]timefield]] [/W] [/X] [/4]

  [drive:][path][filename]
              Specifies drive, directory, and/or files to list.

  /A          Displays files with specified attributes.
  attributes   D  Directories                R  Read-only files
               H  Hidden files               A  Files ready for archiving
               S  System files               I  Not content indexed files
               L  Reparse Points             -  Prefix meaning not
  /B          Uses bare format (no heading information or summary).
  /C          Display the thousand separator in file sizes.  This is the
              default.  Use /-C to disable display of separator.
  /D          Same as wide but files are list sorted by column.
  /L          Uses lowercase.
  /N          New long list format where filenames are on the far right.
  /O          List by files in sorted order.
  sortorder    N  By name (alphabetic)       S  By size (smallest first)
               E  By extension (alphabetic)  D  By date/time (oldest first)
               G  Group directories first    -  Prefix to reverse order
  /P          Pauses after each screenful of information.
  /Q          Display the owner of the file.

  /R          Display alternate data streams of the file.

  /S          Displays files in specified directory and all subdirectories.
  /T          Controls which time field displayed or used for sorting
  timefield   C  Creation
              A  Last Access
              W  Last Written
  /W          Uses wide list format.
  /X          This displays the short names generated for non-8dot3 file
              names.  The format is that of /N with the short name inserted
              before the long name. If no short name is present, blanks are
              displayed in its place.
  /4          Displays four-digit years

Switches may be preset in the DIRCMD environment variable.  Override
preset switches by prefixing any switch with - (hyphen)--for example, /-W.
    
respondido por el cpt_fink 12.04.2013 - 03:31
fuente
4

Además de usar el conmutador "dir / R" en CMD, aquí hay una lista bastante completa de las herramientas de administración y exploración del Flujo de datos alternativos (ADS). Si bien el comando DIR solo lista los archivos ADS en el directorio actual, las herramientas a continuación le brindan la capacidad de escanear unidades completas y verlas fácilmente.

ADSManager

FlexHex Streams

También puedes consultar este enlace para obtener más información y recursos sobre ADS

  

LADS : enumere los flujos de datos alternativos de Frank Heyne

     

Streams.exe de SysInternals:

     

herramienta de línea de comando ScanADS :

     

Escáner GUI de ADS :

     

Escáner de GUI de ADS crucial:

     

Detector de ADS para Explorer:

     

Puertos de Windows de las herramientas de Unix como CAT: enlace

    
respondido por el NULLZ 12.04.2013 - 03:42
fuente

Lea otras preguntas en las etiquetas