Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


ADS - Alternate Data Stream - Contre-mesures

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
15.01.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Les fichiers sous Windows, avec le système de fichiers NTFS, sont constitués de plusieurs flux : le flux de données principal, par défaut, (le fichier ou le répertoire tel que l'utilisateur peut le voir) et un à plusieurs éventuels flux de données alternatifs ("méta-données"), totalement invisibles, pouvant contenir n'importe quoi, y compris du code exécutable. Il s'agit d'une technologie exclusive aux partitions NTFS de Windows (Windows NT, 2000, XP, Vista, 7, 8, etc. ...)

ADS - Alternate Data Stream - Contre-mesures ADS - Alternate Data Stream - Contre-mesures ADS - Alternate Data Stream - Contre-mesures

En 2 mots :

Pour aller plus loin

  • Utilisateur de Windows Server (à partir de 2003 R2), exploitez la commande dirquota.exe.
  • Utilisateurs de serveurs IIS, analysez avec URLScan.

Pour comprendre

Détruire une ADS

  • La destruction d'une ADS - Alternate Data Stream peut s'obtenir, théoriquement, simplement en détruisant l'objet parent (le fichier ou le répertoire) de rattachement.
  • Il faut envisager de copier le fichier sur un support non organisé en NTFS (un disque formaté en FAT ou une clé USB), détruire l'original et restaurer le fichier à partir de sa sauvegarde. Les ADS qui étaient attachées à ce fichier sont perdues.
  • Les ADS - Alternate Data Stream racine ne peuvent pas être détruites du tout (sauf à reformater le disque).

Détruire ou ne pas détruire, là est la question

  • Les ADS ne sont pas toutes suspicieuses ! On ne peut donc pas toutes les supprimer les yeux fermés.

Des outils spécialisés pour voir les ADS, certains pour les détruire, certains avec une liste blanche d'ADS à ne pas détruire.

  • ADS Spy (de Merijn Bellekom) - gratuit - énumération et destruction (ADS Spy est également disponible à l'intérieur de HijackThis du même auteur)
  • HijackThis (de Merijn Bellekom) - gratuit - contient ADS Spy. (Notons qu'outre cet usage particulier, HijackThis est totalement périmé et ne doit plus être utilisé)
  • ADS Locator (de Patrick Kolla - Spybot Search & Destroy - Safer Networking Limited)
  • TDS (de DiamondCS) - commercial - N'existe plus (abandonné par DiamondCS depuis le 21.07.2005
  • Sfind (de Foundstone)
  • RootkitRevealer (de SysInternals) - Gratuit - énumération seule - liste blanche
  • File Monitor (de SysInternals) - Gratuit - énumération seule
  • More (Windows commentée par JC Bellamy) - gratuit - visualisation seule et abracadabrantesque - Mode console
  • ShowStream (de JC Bellamy) - gratuit - énumération seule - Mode graphique
  • CmdStream (de JC Bellamy) - gratuit - énumération seule - Mode console
  • Streams (de SysInternals) - gratuit - énumération seule - Mode console
  • StreamDir (de Texas Imperial Software) - Gratuit - énumération seule - Mode console
  • CrucialADS ( de Crucial Security) - Gratuit - énumération seule - Mode graphique
  • LADS (de Frank Heyne Sofware) - Gratuit - énumération seule - Mode console
  • Phrozen ADS Revealer (de Phrozen) - Gratuit - visualisation - suppression - Mode graphique
Les Quotas de Windows Server

Les sites Web cachés

  • Un flux ADS - Alternate Data Stream caché peut contenir un site Web entier ! Caché sur un serveur il va exploiter la bande passante et toutes les ressources de celui-ci à l'insu de l'administrateur. Sous IIS, l'usage de URLScan permet de révéler la présence de tels sites squattant un serveur.

StrmExt.dll de MicrosoftStrmExt.dll de MicrosoftStrmExt.dll de Microsoft

Cette dll de Microsoft a été publiée (dernier " time stamp " (horodatage)) le 04 février 2000 à 05h01, et n'a plus été mise à jour depuis. La page traitant de ce sujet sur le site de Microsoft annonce même que le produit a été retiré. Il s'agit d'une dll 16 bits pour Windows 98, Me, NT (Windows 2000 et Windows XP n'étaient pas encore sortis).


Des versions modifiées en 32 bits et 64 bits ont été développées, sur la base du produit d'origine de Microsoft, puisque, contrairement à toute attente de la part de Microsoft, le code source était disponible !
StrmExt.dll en version 16 bits peut encore être trouvée sur le site de Microsoft (vérification du 20.05.2013)
StrmExt.dll en version 32 bits
StrmExt.dll en version 64 bits

Version 16 bits d'origine Microsoft :
Copier cette dll dans votre répertoire système "system32" (probablement "c:\windows\system32"). Faites "Démarrer > Exécuter" et tapez "regsvr32 StrmExt.dll". Vous devez voir apparaître ce message :

ADS - Alternate Data Stream - StrmExt.dll de Microsoft
ADS - Alternate Data Stream - StrmExt.dll de Microsoft

Vous avez, désormais, dans les propriétés des objets (dans l'explorateur de Windows), un nouvel onglet donnant la liste des noms des flux ADS attachés à l'objet et une petite fenêtre permet d'en voir le contenu.

ADS - Alternate Data Stream - StrmExt.dll de Microsoft
ADS - Alternate Data Stream - StrmExt.dll de Microsoft

Cet utilitaire permet de détruire un flux ADS :

ADS - Alternate Data Stream - StrmExt.dll de Microsoft
ADS - Alternate Data Stream - StrmExt.dll de Microsoft

RessourcesRessources" Ressources "

Ressources NTFS

Ressources ADS