27/2/2007
Alternate Data Streams
|
¿Porqué tenés que saber lo que es el Alternate Data Streams (ADS)? porque últimamente los spywares y virus lo están utilizando para darle una vuelta más de rosca a un ataque.
El ADS es una implementación de metadatos para windows XP/2000/2003/NT, en la cual se almacena información adicional sobre un archivo sin que éste se vea alterado.
El problema aquí es que los últimos spywares y virus lo están utilizando para guardar allí, de forma segura, información o fragmentos de código (incluso ejecutables) que luego pueden utilizar al momento de intentar atacar o ser removidos.
Lo cierto es que son muy pocos los antispywares/virus que escanean y limpian esta información, con lo cual es muy recomendable tener a mano al ADS Spy [site] [download], que rápida y muy fácilmente limpia todo el ADS stream.
Para utilizarlo es tan sencillo como seleccionar “Full scan” y darle a “Start Scan”. En caso de encontrar ADS sospechosos podemos seleccionarlos y luego eliminarlos.
¿Querés saber más sobre el ADS Stream? fijate este tutorial (en inglés) y esta página.
Descargar el ADS Spy aquí.
|
Por
Ignacio a las
7:28 am
|
|
|
9 Comentarios
»
Trackback URL
|
 Como siempre muy buena data la del Capitán… ya estoy escaneando mi máquina…
Publicado por gringo — 27/2/2007 @ 8:22 am
|
|
Alternate Data Streams: nuevo escondite para Spyware y Virus
¿Porqué tenés que saber lo que es el Alternate Data Streams (ADS)? Porque últimamente los spywares y virus lo están utilizando para darle una vuelta más de rosca a un ataque.
Publicado por meneame.net — 27/2/2007 @ 10:24 am
|
|
Hola! Gracias por la visita y el comentario en mi bitácora! 
Publicado por argentalico — 27/2/2007 @ 3:19 pm
|
|
Sinceramente no estaba enterado de esto, ya mismo pongo a prueba ese soft. Gracias por la recomendación, seguiré leyéndote.
Que estés bien.
Publicado por AgustÃn — 27/2/2007 @ 5:00 pm
|
|
pensé que esto estaba resuelto en versiones mas nuevas de windows o con sus services packs… pero por lo que veo acá http://www.heysoft.de/Frames/f_sw_la_en.htm está actualizado para VISTA!
Publicado por pablotossi — 28/2/2007 @ 6:28 am
|
|
No, lo que Windows XP trae incorporado es totalmente diferente, se llama DEP. Y no quiero escribir mucho, asà que http://en.wikipedia.org/wiki/Data_Execution_Prevention 
Publicado por marcoss — 28/2/2007 @ 10:47 pm
|
|
pablo: efectivamente, “es una feature” 
marquitos: mmm, me parece que le pifiaste, nada que ver el DEP con esto.. hasta donde leo ahi, el DEP previene ejecuciones de código arbirtrario en memoria… y esto que hablamos aca son archivos comunes y corrientes, ocultos por el shell.
Publicado por Ignacio — 1/3/2007 @ 8:37 am
|
|
una masa el search!!, ya escanié todo saltaron unos cuantos archivos de mas…graxxx
Publicado por dario — 1/3/2007 @ 10:10 pm
|
|
|
[…] Palabras clave: BackTrack, Test de Penetración, Distribución, LiveCD, scanner de puertos, Vulnerabilidades, exploits, sniffers, SQL Injection, Troyanos, RootKits, NTFS Alternate Data Streams, Fuerza Bruta, Redirección, Fuzzing, Spoofing, NetCat, Bash, Nmap. […]
Publicado por Test de penetración con BackTrack, Contenido y Recursos — 25/8/2008 @ 11:00 am
|
Leave a Reply
|
