 |
Assiste.com
| |
ShowStream (ADS - Alternate Data Stream)
ShowStream : seul outil permettant de découvrir, voir, manipuler, exporter, importer et concaténer les flux alternatifs de données (ADS - Alternate Data Stream).
24.05.2023 : Pierre Pinard.
|
Dossier (collection) : Logiciels de la logithèque |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Identité (montrer / masquer)
| Sommaire (montrer / masquer) |
|---|
ShowStream, de Jean-Claude Bellamy, est le seul outil existant permettant de découvrir, voir, manipuler, exporter, importer et concaténer les flux alternatifs de données (les ADS - Alternate Data Stream).
Que sont les ADS et les risques liés aux ADS ?
ShowStream permet de découvrir les flux de données additionnels (ADS - Alternate Data Stream) attachés à certains fichiers ou répertoires dans le système de fichiers NTFS, de voir ce qu'il y a dedans et de les manipuler.
Il n'y a pas d'outil équivalent. C'est le seul.
Notes :
ZHPdiag donne, dans son journal (log) d'analyse, sous la référence O62, la liste des ADS suspects, exécutables ou installés en mode "driver" dans certains dossiers système comme %System32% (donc avec niveau noyau du système).
Attention : ne pas être paranoïaque et ne pas détruire systématiquement les ADS. Certains ADS sont légitimes et appartiennent à Windows mais Microsoft ne donne aucune documentation à ce sujet. Voir, dans ADS - Alternate Data Stream, un petit récapitulatif d'ADS légitimes connus (mais ce tableau est très ancien (2002) et très incomplet).
Attention aux ADS de sécurité. NTFS permet d'attribuer un ou des propriétaires, et des droits et interdictions de chaque compte utilisateur à chaque fichier et répertoire (et les partages...). Ces droits sont stockés dans un flux ADS attaché au flux principal (au fichier ou répertoire). Les détruire fait perdre les restrictions d'accès (mais ce peut être une solution pour nettoyer complètement un système de ses droits mal attribués, anarchiques, et recommencer intégralement ces attributions).
Le téléchargement de ShowStream vient avec un autre outil, CmdStream (outil en ligne de commande).
| Annonce |
En 2003, après avoir passé en revue les outils existants donnant accès aux flux ADS, et avoir souligné l'indigence de cet inventaire et les lacunes de ces outils, Jean-Claude Bellamy nous offre l'outil le plus complet existant, permettant de découvrir, voir, manipuler, exporter, importer et concaténer les flux alternatifs de données, ces flux invisibles attachés à un flux principal (un fichier « normal », tel qu'il apparaît aux yeux des utilisateurs). Ces flux alternatifs ont divers usages mais, malheurement, l'insécurité et la cybercriminalité s'en mêlent.
Jean-Claude Bellamy - Microsoft MVP (en 2003)
Les flux de méta-données dans les partitions NTFS
J'ai écrit 2 logiciels :
ShowStream (en mode graphique)
Application avec interface graphique, capable de :
Rechercher les fichiers contenant des flux multiples dans un dossier donné (récursivité possible)
Analyser tous les flux d'un fichier, avec affichage du contenu en hexadécimal
Copier des flux dans plusieurs fichiers élémentaires
Créer un fichier cabinet (.cab) contenant, sous forme séparée, tous les flux d'un fichier
Reconstituer un fichier avec tous ses flux à partir d'un fichier cabinet précédemment créé.
Cela permet de copier sur n'importe quel support (partiton FAT, CDROM,..) un fichier provenant d'une partition NTFS, puis de le restaurer sur une partition NTFS en conservant l'intégralité des flux supplémentaires (résumé, ACL, ..)
CmdStream (en mode ligne de commande)
Application en mode console reprenant les fonctionnalités suivantes de ShowStream :
Création d'un fichier cabinet (.cab) contenant sous forme séparée tous les flux d'un fichier
Reconstitution d'un fichier avec tous ses flux à partir d'un fichier cabinet précédemment créé.
Cela permet de créer facilement des scripts (.bat ou .cmd) de sauvegarde de fichiers sur des supports quelconques (FAT,CDROM,..) et les restaurations correspondantes.
| Annonce |
Ce logiciel analyse les flux présents dans tout fichier résidant sur une partition NTFS.
Un fichier est composé de plusieurs flux, constitués chacun :
d'un descripteur de flux
d'un nom éventuel
des données proprement dites
Les applications habituelles n'accèdent qu'aux données du flux standard (anonyme).
Les informations de résumé éventuelles (onglet résumé des propriétés d'un fichier) constituent plusieurs flux nommés.
La création de miniature d'un fichier image dans l'explorateur génère un flux nommé.
La liste de contrôle d'accès (ACL) est dans un flux (Descripteur de sécurité).
Si on copie un fichier situé sur une partition NTFS (et contenant éventuellement plusieurs flux) vers une autre partition de type non NTFS :
FAT12 (disquette)
FAT16 ou FAT32 (disque dur)
CDFS ou UDF (gravure de CD ou DVD)
...on perd l'intégralité des flux autre que celui des données standard.
ShowStream sert à :
Onglet "Recherche de flux"
Rechercher dans un dossier les fichiers contenant des flux supplémentaires nommés.
On peut demander aussi :
l'exploration des sous-dossiers
l'affichage des noms de tous les fichiers
On peut effectuer des tris en cliquant sur le nom des colonnes
Onglet "Analyse de flux"
Analyser un fichier quelconque en affichant la liste des flux qu'il contient :
les flux anonymes
attributs de sécurité
données du fichier
...
les flux nommés
informations de résumé
miniatures de fichiers images
flux nommés créés par l'utilisateur
...
Exporter chaque flux d'un fichier dans un fichier binaire (à des fins d'analyse...).
Exporter l'ensemble des flux d'un fichier dans un fichier cabinet (extension .cab) contenant en interne plusieurs fichiers binaires (2 par flux) et un fichier sommaire permettant la reconstitution du fichier initial (cf. paragraphe suivant).
Onglet "Fusion de flux"
Extraire les fichiers élémentaires de flux précédemment créés d'un fichier cabinet, afin de recréer le fichier d'origine sur une partition NTFS, avec tous les flux contenus à l'origine (attributs de sécurité, données standard, résumé, flux nommés, utilisateur, ...). Cela permet en particulier de copier un fichier vers une partition de type quelconque (FAT, CDROM..) et de ne perdre ainsi aucune information.
On peut également ajouter un à plusieurs flux nommés supplémentaires à partir de fichiers existants quelconques.
| Annonce |
ShowStream - Onglet "Recherche de flux"
Cet onglet permet de :
Effectuer une recherche, dans le dossier spécifié, de tous les fichiers contenant des flux anonymes et des flux nommés. La partition sélectionnée doit être de type NTFS.
La recherche peut être récursive (exploration des sous-dossiers). On peut aussi rechercher tous les fichiers.
La liste résultat peut être enregistrée dans un fichier texte, dans un format tabulé pouvant être ouvert sous Excel.
ShowStream - Onglet "Recherche de flux"
Analyse un fichier (de type quelconque) et indique combien il comporte de flux, nommés ou non. La partition du fichier à analyser doit être de type NTFS.
La liste des flux est affichée, avec respectivement :
- leurs noms (le suffixe :$DATA est omis)
- leurs types
- des indicateurs éventuels
- leur taille en octetsLe contenu hexadécimal du flux sélectionné dans la liste précédente est affiché.
On peut exporter le contenu du flux sélectionné dans un fichier quelconque (un nom par défaut est suggéré).
On peut aussi exporterl'intégralité des flux dans un fichier "cabinet" (extension .cab), sur une partition de type quelconque, en vue d'une fusion ultérieure.
ShowStream - Onglet "Recherche de flux"
Reconstitue un fichier avec l'intégralité de ses flux à partir d'un fichier cabinet (.cab) précédemment généré.
Il est possible d'ajouter au fichier qui sera reconstitué un flux supplémentaire nommé, à partir d'un fichier quelconque et d'un nom de flux arbitraire.
Le fichier qui sera reconstitué doit appartenir à une partition de type NTFS.
On peut décider de ne pas incorporer certains flux nommés, en décochant les cases associées.
Un journal des opérations est affiché, avec remarques ou messages d'erreur éventuels.
ShowStream - Onglet "À propos"
Affiche la version du logiciel ainsi qu'un aide-mémoire.
| Annonce |
Jean-Claude Bellamy nous a quittés le 19 janvier 2015.
| Annonce |
Dossier (collection) : Logithèques |
|---|
Logithèque |
