Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


ADS - Alternate Data Stream - Contre-mesures

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
15.01.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Les fichiers sous Windows, avec le système de fichiers NTFS, sont constitués de plusieurs flux : le flux de données principal, par défaut, (le fichier ou le répertoire tel que l'utilisateur peut le voir) et un à plusieurs éventuels flux de données alternatifs ("méta-données"), totalement invisibles, pouvant contenir n'importe quoi, y compris du code exécutable. Il s'agit d'une technologie exclusive aux partitions NTFS de Windows (Windows NT, 2000, XP, Vista, 7, 8, etc. ...)

ADS - Alternate Data Stream - Contre-mesures ADS - Alternate Data Stream - Contre-mesures ADS - Alternate Data Stream - Contre-mesures

En 2 mots
Installez et activer un bon Pare-feu (firewall)
Installez et activer un bon Antivirus
Protéger vos navigateurs et votre navigation
Procéder à la mise à jour périodique de l'ordinateur

Pour aller plus loin

Utilisateur de Windows Server (à partir de 2003 R2), exploitez la commande dirquota.exe.
Utilisateurs de serveurs IIS, analysez avec URLScan.

Pour comprendre
Qu'est-ce qu'une ADS - Alternate Data Stream ?

La destruction d'une ADS - Alternate Data Stream peut s'obtenir, théoriquement, simplement en détruisant l'objet parent (le fichier ou le répertoire) de rattachement (ce qui est scabreux et pas simple du tout car le fichier maître de rattachement peut, lui, être parfaitement légitime !

Il faut alors envisager de copier le fichier sur un support non organisé en NTFS, détruire l'original et restaurer le fichier à partir de sa sauvegarde. Les ADS - Alternate Data Stream racine ne peuvent pas être détruites du tout (sauf à reformater le disque). Heureusement, pour détruire les ADS, il existe quelques utilitaires très spécialisés : Voir les fiches :
  • ADS Spy (de Merijn Bellekom) - gratuit - énumération et destruction (ads-spy est également disponible à l'intérieur de HijackThis du même auteur)
  • HijackThis (de Merijn Bellekom) - gratuit - contient ADS Spy. (Notons qu'outre cet usage particulier, HijackThis est totalement périmé et ne doit plus être utilisé)
  • ADS Locator (de Patrick Kolla - Spybot Search & Destroy - Safer Networking Limited)
  • TDS (de DiamondCS) - commercial - N'existe plus (abandonné par DiamondCS depuis le 21.07.2005
  • Sfind (de Foundstone)
  • RootkitRevealer (de SysInternals) - Gratuit - énumération seule - liste blanche
  • File Monitor (de SysInternals) - Gratuit - énumération seule
  • More (Windows commentée par JC Bellamy) - gratuit - visualisation seule et abracadabrantesque - Mode console
  • ShowStream (de JC Bellamy) - gratuit - énumération seule - Mode graphique
  • CmdStream (de JC Bellamy) - gratuit - énumération seule - Mode console
  • Streams (de SysInternals) - gratuit - énumération seule - Mode console
  • StreamDir (de Texas Imperial Software) - Gratuit - énumération seule - Mode console
  • CrucialADS ( de Crucial Security) - Gratuit - énumération seule - Mode graphique
  • LADS (de Frank Heyne Sofware) - Gratuit - énumération seule - Mode console
  • Phrozen ADS Revealer (de Phrozen) - Gratuit - visualisation - suppression - Mode graphique
Les Quotas de Windows Server
Windows Server (à partir de 2003 R2) ajoute une notion de quotas plus fine que précédemment puisqu'elle descend au niveau des répertoires et non plus seulement au niveau des volumes. Utilisez la commande dirquota.exe. Les ADS - Alternate Data Stream sont pris en compte donc la présence de données en flux ADS sera révélée.
http://www.microsoft.com/windowsserver2003/R2/trial/default.mspx.

Les sites Web cachés
Un flux ADS - Alternate Data Stream caché peut contenir un site Web entier ! Caché sur un serveur il va exploiter la bande passante et toutes les ressources de celui-ci à l'insu de l'administrateur. Sous IIS, l'usage de URLScan permet de révéler la présence de tels sites squattant un serveur.

StrmExt.dll de MicrosoftStrmExt.dll de MicrosoftStrmExt.dll de Microsoft

Cette dll de Microsoft a été publiée (dernier " time stamp " (horodatage)) le 04 février 2000 à 05h01, et n'a plus été mise à jour depuis. La page traitant de ce sujet sur le site de Microsoft annonce même que le produit a été retiré. Il s'agit d'une dll 16 bits pour Windows 98, Me, NT. Windows 2000 et XP n'étaient pas encore sorti.

Des versions modifiées en 32 bits et 64 bits ont été développées, sur la base du produit d'origine de Microsoft, puisque, contrairement à toute attente de la part de Microsoft, le code source était disponible !
StrmExt.dll en version 16 bits peut encore être trouvée sur le site de Microsoft (vérification du 20.05.2013)
StrmExt.dll en version 32 bits
StrmExt.dll en version 64 bits

Version 16 bits d'origine Microsoft :
Copier cette dll dans votre répertoire système "system32" (probablement "c:\windows\system32"). Faites "Démarrer > Exécuter" et tapez "regsvr32 StrmExt.dll". Vous devez voir apparaître ce message :

ADS - Alternate Data Stream - StrmExt.dll de Microsoft
ADS - Alternate Data Stream - StrmExt.dll de Microsoft

Vous avez, désormais, dans les propriétés des objets (dans l'explorateur de Windows), un nouvel onglet donnant la liste des noms des flux ADS attachés à l'objet et une petite fenêtre permet d'en voir le contenu.

ADS - Alternate Data Stream - StrmExt.dll de Microsoft
ADS - Alternate Data Stream - StrmExt.dll de Microsoft

Cet utilitaire permet de détruire un flux ADS :

ADS - Alternate Data Stream - StrmExt.dll de Microsoft
ADS - Alternate Data Stream - StrmExt.dll de Microsoft

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

Ressources NTFS

Ressources ADS

 Requêtes similairesRequêtes similaires" Requêtes similaires "