0
Найти на сайте: параметры поиска

 

 

атакующий хочет скрыть данные в потоке

25 апреля 2020 - natribamakom

Рассмотрим пример, в котором атакующий хочет скрыть данные в потоке, связанном с файлом notepad. ехе. Конечно, атакующий способен маскировать данные за любым файлом в системе, но предположим, что он выбрал notepad. ехе. Обычный поток, связанный с notepad, ехе, содержит исполняемую программу для простого редактора Notepad.

Атакующий создаст другой поток позади notepad, ехе, используя программу ср, включенную в Resource Kit для Windows NT. Resource Kit от Microsoft, который может быть куплен во множестве книжных магазинов и у продавцов программного обеспечения, содержит множество инструментов для администрирования систем с Windows NT. Некоторые из инструментов Resource Kit оказались удобными для атакующих. В частности, программа ср предназначалась для

копирования файлов, но она также может перемещать данные в файловые потоки. В нашем примере атакующий хочет взять stuff . txt и скрыть его в потоке позади notepad, ехе. Он печатает:

С:\>ср stuff.txt notepad.ехе:data

Приведенная команда копирует содержимое файла stuff . txt в поток data позади файла notepad, ехе. Двоеточие, сопровождаемое именем потока, указывает, в какой поток поместить данные. Атакующий вправе дать новому потоку любое имя и создать любое число потоков для каждого файла. Новый поток, названный data, автоматически создан командой ср и прикреплен к концу файла notepad.exe. После удаления файла stuff.txt в этом каталоге он исчезнет бесследно. Все содержимое stuff . txt скрыто позади исполняемой программы редактора Notepad.

Теперь, если кто-нибудь запускает программу notepad. ехе, обычная исполняемая программа реализуется без указания на скрытый файловый поток. Когда вы посмотрите на размер файла notepad. ехе, отобразится размер обычной ис- полняемои программы, опять же без указания на скрытый файловый поток. <Зтот поток весьма эффективно замаскирован. Позднее атакующий может вернуться к системе и извлечь скрытые данные из созданного потока, снова используя команду ср:

С:\>ср notepad.ехе:data stuff.txt

Теперь файл stuff . txt восстановлен, и атакующий получил доступ к его содержимому.

Комментарии (0)

Нет комментариев. Ваш будет первым!