- Konum
- BERTUNA
-
- Üyelik Tarihi
- 2 Haz 2020
-
- Mesajlar
- 5,277
-
- MFC Puanı
- 15,980
Giriş
Güvenlik söz konusu olduğunda herkes, ADS olarak da bilinen Windows Alternatif Veri Akışlarını bilmelidir. Çok fazla duyurulmasa da, Windows NTFS dosya sisteminin bu az bilinen özniteliğinin olmaması, gelecekte bir sorunu nasıl çözeceğinizi etkileyebilir.
ADS, Windows NT 3.1'den başlayarak Windows NTFS dosya sisteminde tanıtılmıştı. Bu 'özellik', Macintosh Hiyerarşik Dosya Sistemi (HFS) ile uyumluluğa izin vermek için uygulandı. Kısaca, Macintosh dosya sistemi verilerini iki kısımda depolamaktaydı: kaynak çatalı ve veri çatalı. Veri çatalı, verilerin gerçekte bulunduğu yerdir ve kaynak çatalı, işletim sistemine veri bölümünü nasıl kullanacağını söylemek için kullanılır. Windows, .bat, .exe, .txt, .html gibi uzantılar aracılığıyla benzer bir işlem yapar. Bu uzantılar, işletim sistemine dosyalarda bulunan belirli verilerin nasıl kullanılacağını söyler.
Windows'un Macintosh dosya sistemiyle uyumlu olması için, alternatif veri akışları sundular. Bu gizli akış, kaynak çatalı kullanıldığı için kullanılır; sisteme dosyada bulunan verilerin nasıl kullanılacağını anlatmak için.
ADS, Mac dünyasıyla uyumluluk için oluşturulmuş olsa da, yalnızca bu amaç için kullanılmaz. Birçok uygulama, bir dosyanın özniteliklerini içlerinde depolamak için ADS kullanır. Örneğin, bir metin belgesi oluşturup sağ tıklayıp özelliklerine girerseniz bir özet sayfası görürsünüz. Bu özet bilgi dosyaya ADS aracılığıyla eklenir.
Özetle, ADS'yi görünür olanlara eklenmiş gizli dosyalar olarak düşünün. Bu kadar tehlikeli olmalarının ana nedeni, iyi bilinmemeleri, genellikle kullanıcı tarafından gizlenmeleri ve bunları tanıyan çok az güvenlik programının olmasıdır.
ADS'yi görüntüleyen programlar :
ADS'yi görüntülemek için kullanılabilecek programların hepsinden değil, bazılarından bahsetmek istiyorum. Bu makaleyi okurken ve bazı örnekleri izledikçe, aslında oluşturmakta olduğunuz ADS dosyalarını görebilirsiniz.
Programlar aşağıdaki gibidir:
1.
2.
Bir ADS nasıl yapılır
Bir komut isteminden, aşağıda bir ADS'nin nasıl yapılacağına dair bir örnek verilmiştir:
Hidden.txt adında yeni bir ADS oluşturuldu ve test.txt dosyasına eklendi. ADS dosyası, bir ADS eklerken: ve: işaretinden sonra gösterilir.
Bu dizinde bir DIR yaparsanız, tüm gördüğünüz normal dosyadır.
Öte yandan, LADS'yi çalıştırırsanız, test.txt dosyasına eklenmiş olan ADS'yi, hidden.txt 9'u görebilirsiniz.
ADS hidden.txt dosyasını görüntülemek veya ona bilgi eklemek isterseniz, dosyayı açmak için not defterini çalıştırmanız yeterlidir.
Örneğin:
Bu, dosyayı not defterinde açacak ve düzenlemenize ve kaydetmenize izin verecektir.
Bir ADS dosyası oluşturmak için not defteri de kullanabilirsiniz. Sadece şunu yazın:
Not Defteri başlayacak ve bu dosyanın mevcut olmadığını ve onu oluşturmak istediğinizi söyleyecektir. Evet dersiniz ve sonra bilgileri girip kaydedersiniz. Bu yöntem, ads.txt adlı yeni bir ADS oluşturdu.
ADS dosyalarının bir dosyaya eklenmesi gerekmez, ancak bir dizine de eklenebilir. Bu, bir sabit sürücünün köküne karşı bir ADS oluşturduğunuzda bir soruna neden olur, çünkü yeniden biçimlendirmediğiniz sürece ADS'yi kaldırmayı imkansız hale getirir. Birisi bunu düzeltebilecek bir program biliyorsa, lütfen bana bildirin.
Bir dizine karşı nasıl ADS yapılacağına dair bir örnek:
Bu komut şimdi dizinin kendisine bir ADS eklemiştir. Dizine eklenen ADS'yi görmek için LADS'yi çalıştırın.
Bunun nesi bu kadar zararlı?
Ya size ADS'nin yürütülebilir dosyalarla da kullanılabileceğini söylersem? Doğru, yürütülebilir ADS dosyaları .txt dosyalarına eklediğiniz gibi herhangi bir dosyaya eklenebilir ve tıpkı metin dosyaları gibi çoğu yazılımdan gizlenebilir.
İşte bir örnek:
adlı bir ADS dosyası oluşturdunuz ve bunu ads.txt metin dosyasına eklediniz. Bir kez daha, dizini yönetirseniz, hidden.exe'yi değil, yalnızca ads.txt'yi görürsünüz. LADS'yi çalıştırın ve ADS'yi göreceksiniz.
ADS dosyaları olan yürütülebilir dosyaların başlatılmasına ilişkin bir uyarı vardır. ADS yürütülebilir dosyasını başlatmak için her zaman START komutunu kullanmalısınız ve her zaman dosyanın tam yolunu kullanmalısınız.
İşte bazı çalıştırma komutları veya çalışmayan komutlar....
Önce
ADS'yi çalıştırılabilir yapacağım:
np.exe ADS çalıştırılabilir dosyasını başlatmayan komutlar:
Yürütülebilir dosyayı başlatacak komut:
Gördüğünüz gibi, ADS çalıştırılabilir dosyasının tam yolunu kullanmalısınız.
ADS Dosyaları Nasıl Silinir
ADS dosyalarının silinmesi özellikle zor değildir, ancak sorunlara neden olabilirler. Bir dosyaya eklenmiş bir ADS'yi silmek için, dosyayı silmeniz yeterlidir. Diyelim ki number.txt adında bir dosyanız var ve gizli.txt adında bir ADS eklenmiş. Hidden.txt dosyasından kurtulmak istiyorsunuz, ancak bilgileri number.txt olarak saklayın, böylece number.txt dosyasını silemezsiniz.
Bunu yapmak için aşağıdakine benzer bir şey yapmalısınız:
Bir dizine ekli ADS dosyalarını silmek için dizini silmeniz gerekir. Bu, ADS bir sabit sürücünün kök dizinine bağlanırsa büyük bir soruna neden olabilir. Sürücüyü yeniden biçimlendirmedikçe ADS'yi bu şekilde silemeyeceğiniz için, bunu ADS dosyasındaki istenmeyen bilgilerden kurtulmak için yapabilirsiniz.
Bu öğreticiyi yazdığımdan beri, Alternatif Veri Akışı dosyalarını kullanarak makinenize virüs bulaştırmak için piyasaya sürülen birkaç kötü amaçlı yazılım programı var. Bu nedenle, bu tür programları bilgisayarınızdan kaldırmak için mevcut yazılımda iyileştirmeler yapılmıştır. Bilgisayarınızdaki ADS dosyalarını arayacak ve ardından kaldırabileceğiniz bir liste sağlayacak bir program ADSSPY'dir. Bu programın bağlantısını aşağıda bulabilirsiniz:
ADS SPY Program Linki :
ADS'nin Diğer Kullanımları
Başlangıçta ADS dosyalarının başka kullanımları olduğundan bahsetmiştim. Windows'taki bazı dosyaların özelliklerinde bir özet sekmesi bulunur. Buna bir örnek .txt belgeleridir. Yeni bir .txt belgesi oluşturup üzerine sağ tıklayıp özeti seçerseniz, bazı bilgileri doldurabilirsiniz.
Bu bilgiler, belgeye ekli ADS dosyaları olarak kaydedilir. Örneğin, benioku.txt adlı bir dosyamız var. Özet bölümüne girip Başlık alanına adımı girip Tamam'a basarsam, bu bilgi ADS olarak kaydedilecektir.
Bunu aşağıdaki gibi görebilirsiniz:
Özetle
Gördüğünüz gibi ADS, Microsoft onları tanıttığında pazarlık edildiğinden çok daha fazlasını. Meşru kullanımları vardır, ancak kesinlikle daha karanlık niyetler için kullanılabilirler.
Özetle, ADS'nin neden sorunlu kabul edilebileceğinin nedenleri şunlardır:
- ADS'yi algılayan çok az program vardır.
- ADS'yi kaldırmak zor olabilir.
- Explorer ve Dir, boş alanı belirlerken ADS tarafından kullanılan alanı hesaplamaz.
- Bir yürütülebilir dosyayı ADS olarak gizleyebilirsiniz.
Yabancı Kaynak Çevirisi :
Güvenlik söz konusu olduğunda herkes, ADS olarak da bilinen Windows Alternatif Veri Akışlarını bilmelidir. Çok fazla duyurulmasa da, Windows NTFS dosya sisteminin bu az bilinen özniteliğinin olmaması, gelecekte bir sorunu nasıl çözeceğinizi etkileyebilir.
ADS, Windows NT 3.1'den başlayarak Windows NTFS dosya sisteminde tanıtılmıştı. Bu 'özellik', Macintosh Hiyerarşik Dosya Sistemi (HFS) ile uyumluluğa izin vermek için uygulandı. Kısaca, Macintosh dosya sistemi verilerini iki kısımda depolamaktaydı: kaynak çatalı ve veri çatalı. Veri çatalı, verilerin gerçekte bulunduğu yerdir ve kaynak çatalı, işletim sistemine veri bölümünü nasıl kullanacağını söylemek için kullanılır. Windows, .bat, .exe, .txt, .html gibi uzantılar aracılığıyla benzer bir işlem yapar. Bu uzantılar, işletim sistemine dosyalarda bulunan belirli verilerin nasıl kullanılacağını söyler.
Windows'un Macintosh dosya sistemiyle uyumlu olması için, alternatif veri akışları sundular. Bu gizli akış, kaynak çatalı kullanıldığı için kullanılır; sisteme dosyada bulunan verilerin nasıl kullanılacağını anlatmak için.
ADS, Mac dünyasıyla uyumluluk için oluşturulmuş olsa da, yalnızca bu amaç için kullanılmaz. Birçok uygulama, bir dosyanın özniteliklerini içlerinde depolamak için ADS kullanır. Örneğin, bir metin belgesi oluşturup sağ tıklayıp özelliklerine girerseniz bir özet sayfası görürsünüz. Bu özet bilgi dosyaya ADS aracılığıyla eklenir.
Özetle, ADS'yi görünür olanlara eklenmiş gizli dosyalar olarak düşünün. Bu kadar tehlikeli olmalarının ana nedeni, iyi bilinmemeleri, genellikle kullanıcı tarafından gizlenmeleri ve bunları tanıyan çok az güvenlik programının olmasıdır.
ADS'yi görüntüleyen programlar :
ADS'yi görüntülemek için kullanılabilecek programların hepsinden değil, bazılarından bahsetmek istiyorum. Bu makaleyi okurken ve bazı örnekleri izledikçe, aslında oluşturmakta olduğunuz ADS dosyalarını görebilirsiniz.
Programlar aşağıdaki gibidir:
1.
Kod:
http://www.heysoft.de/en/software/lads.php
Kod:
https://www.bleepingcomputer.com/files/adsspy.phpBir ADS nasıl yapılır
Bir komut isteminden, aşağıda bir ADS'nin nasıl yapılacağına dair bir örnek verilmiştir:
Kod:
C: \ test > echo "ADS"> test.txt: hidden.txtHidden.txt adında yeni bir ADS oluşturuldu ve test.txt dosyasına eklendi. ADS dosyası, bir ADS eklerken: ve: işaretinden sonra gösterilir.
Bu dizinde bir DIR yaparsanız, tüm gördüğünüz normal dosyadır.
Öte yandan, LADS'yi çalıştırırsanız, test.txt dosyasına eklenmiş olan ADS'yi, hidden.txt 9'u görebilirsiniz.
Kod:
C: \ test> lads
LADS - Ücretsiz sürüm 3.21
(C) Telif Hakkı 1998-2003 Frank Heyne Software (http://www.heysoft.de)
Bu program, dosyaları alternatif veri akışlarına (ADS) sahip listeler.
LADS'yi kendi sorumluluğunuzdadır kullanın!
Tarama dizini C: \ test \
dosyadaki boyut ADS
---------- ---------------------------------
8 C: \ test \ test.txt: hidden.txt
Listelenen 1 ADS'de 8 baytÖrneğin:
Kod:
C: \ test> notepad test.txt: hidden.txtBu, dosyayı not defterinde açacak ve düzenlemenize ve kaydetmenize izin verecektir.
Bir ADS dosyası oluşturmak için not defteri de kullanabilirsiniz. Sadece şunu yazın:
Kod:
C: \ test> notepad another.txt: ads.txtNot Defteri başlayacak ve bu dosyanın mevcut olmadığını ve onu oluşturmak istediğinizi söyleyecektir. Evet dersiniz ve sonra bilgileri girip kaydedersiniz. Bu yöntem, ads.txt adlı yeni bir ADS oluşturdu.
ADS dosyalarının bir dosyaya eklenmesi gerekmez, ancak bir dizine de eklenebilir. Bu, bir sabit sürücünün köküne karşı bir ADS oluşturduğunuzda bir soruna neden olur, çünkü yeniden biçimlendirmediğiniz sürece ADS'yi kaldırmayı imkansız hale getirir. Birisi bunu düzeltebilecek bir program biliyorsa, lütfen bana bildirin.
Bir dizine karşı nasıl ADS yapılacağına dair bir örnek:
Kod:
C: \ test> echo test>: hidden.txtBu komut şimdi dizinin kendisine bir ADS eklemiştir. Dizine eklenen ADS'yi görmek için LADS'yi çalıştırın.
Bunun nesi bu kadar zararlı?
Ya size ADS'nin yürütülebilir dosyalarla da kullanılabileceğini söylersem? Doğru, yürütülebilir ADS dosyaları .txt dosyalarına eklediğiniz gibi herhangi bir dosyaya eklenebilir ve tıpkı metin dosyaları gibi çoğu yazılımdan gizlenebilir.
İşte bir örnek:
Kod:
C: \ test> c: \ windows \ notepad.exe> ads.txt: hidden.exe yazın Gizli.exeADS dosyaları olan yürütülebilir dosyaların başlatılmasına ilişkin bir uyarı vardır. ADS yürütülebilir dosyasını başlatmak için her zaman START komutunu kullanmalısınız ve her zaman dosyanın tam yolunu kullanmalısınız.
İşte bazı çalıştırma komutları veya çalışmayan komutlar....
Önce
ADS'yi çalıştırılabilir yapacağım:
Kod:
C: \ test> c: \ windows \ notepad.exe> ads.txt: np.exenp.exe ADS çalıştırılabilir dosyasını başlatmayan komutlar:
Kod:
C: \ test> ads.txt : np.exe
Dosya adı, dizin adı veya birim etiketi sözdizimi yanlış.
C: \ test> c: \ test \ ads.txt: np.exe
Dosya adı, dizin adı veya birim etiketi sözdizimi yanlış:
C: \ test> start ads.txt: np.exe
Erişim reddedildi.Yürütülebilir dosyayı başlatacak komut:
Kod:
C: \ test> start c: \ test \ ads.txt: np.exeGördüğünüz gibi, ADS çalıştırılabilir dosyasının tam yolunu kullanmalısınız.
ADS Dosyaları Nasıl Silinir
ADS dosyalarının silinmesi özellikle zor değildir, ancak sorunlara neden olabilirler. Bir dosyaya eklenmiş bir ADS'yi silmek için, dosyayı silmeniz yeterlidir. Diyelim ki number.txt adında bir dosyanız var ve gizli.txt adında bir ADS eklenmiş. Hidden.txt dosyasından kurtulmak istiyorsunuz, ancak bilgileri number.txt olarak saklayın, böylece number.txt dosyasını silemezsiniz.
Bunu yapmak için aşağıdakine benzer bir şey yapmalısınız:
Kod:
C: \ test> ren numara.txt temp.txt
C: \ test> temp.txt yazın> sayı.txt
C: \ test> del temp.txtBir dizine ekli ADS dosyalarını silmek için dizini silmeniz gerekir. Bu, ADS bir sabit sürücünün kök dizinine bağlanırsa büyük bir soruna neden olabilir. Sürücüyü yeniden biçimlendirmedikçe ADS'yi bu şekilde silemeyeceğiniz için, bunu ADS dosyasındaki istenmeyen bilgilerden kurtulmak için yapabilirsiniz.
Kod:
C: \ test> echo empty> filler.txt
C: \ test> filler.txt yazın>: badads.txtBu öğreticiyi yazdığımdan beri, Alternatif Veri Akışı dosyalarını kullanarak makinenize virüs bulaştırmak için piyasaya sürülen birkaç kötü amaçlı yazılım programı var. Bu nedenle, bu tür programları bilgisayarınızdan kaldırmak için mevcut yazılımda iyileştirmeler yapılmıştır. Bilgisayarınızdaki ADS dosyalarını arayacak ve ardından kaldırabileceğiniz bir liste sağlayacak bir program ADSSPY'dir. Bu programın bağlantısını aşağıda bulabilirsiniz:
ADS SPY Program Linki :
Kod:
https://www.bleepingcomputer.com/files/adsspy.phpADS'nin Diğer Kullanımları
Başlangıçta ADS dosyalarının başka kullanımları olduğundan bahsetmiştim. Windows'taki bazı dosyaların özelliklerinde bir özet sekmesi bulunur. Buna bir örnek .txt belgeleridir. Yeni bir .txt belgesi oluşturup üzerine sağ tıklayıp özeti seçerseniz, bazı bilgileri doldurabilirsiniz.
Bu bilgiler, belgeye ekli ADS dosyaları olarak kaydedilir. Örneğin, benioku.txt adlı bir dosyamız var. Özet bölümüne girip Başlık alanına adımı girip Tamam'a basarsam, bu bilgi ADS olarak kaydedilecektir.
Bunu aşağıdaki gibi görebilirsiniz:
Kod:
C: \ test> lads
LADS - Ücretsiz sürüm 3.21
C: \ test \
size ADS dizini taranıyor
---------- ----------- ----------------------
11 C: \ test \: hidden.txt
120 C: \ test \ readme.txt:? SummaryInformation
0 C: \ test \ readme.txt: {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
Listelenen 3 ADS'de 131 baytÖzetle
Gördüğünüz gibi ADS, Microsoft onları tanıttığında pazarlık edildiğinden çok daha fazlasını. Meşru kullanımları vardır, ancak kesinlikle daha karanlık niyetler için kullanılabilirler.
Özetle, ADS'nin neden sorunlu kabul edilebileceğinin nedenleri şunlardır:
- ADS'yi algılayan çok az program vardır.
- ADS'yi kaldırmak zor olabilir.
- Explorer ve Dir, boş alanı belirlerken ADS tarafından kullanılan alanı hesaplamaz.
- Bir yürütülebilir dosyayı ADS olarak gizleyebilirsiniz.
Yabancı Kaynak Çevirisi :
Kod:
https://www.bleepingcomputer.com/tutorials/windows-alternate-data-streams/