Que sont les ADS et les risques liés aux ADS ?

ShowStream permet de découvrir les flux de données additionnels (ADS - Alternate Data Stream) attachés à certains fichiers ou répertoires, de voir ce qu'il y a dedans et de les manipuler.

Il n'y a pas d'outil équivalent. C'est le seul.

Note :
ZHPdiag donne, dans son journal (log) d'analyse, sous la référence O62, la liste des ADS suspects, exécutables ou installés en mode "driver" dans certains dossiers système comme %System32% (donc avec niveau noyau du système).

Attention : ne pas être paranoïaque et ne pas détruire systématiquement les ADS. Certains ADS sont légitimes et appartiennent à Windows mais Microsoft ne donne aucune documentation à ce sujet. Voir, dans ADS - Alternate Data Stream, un petit récapitulatif d'ADS légitimes connus (mais ce tableau est très ancien (2002) et très incomplet).

Attention aux ADS de sécurité. NTFS permet d'attribuer un ou des propriétaires, et des droits et interdictions de chaque compte utilisateur à chaque fichier et répertoire (et les partages...). Ces droits sont stockés dans un flux ADS attaché au flux principal (au fichier ou répertoire). Les détruire fait perdre les restrictions d'accès (mais ce peut être une solution pour nettoyer complètement un système des droits mal attribués, anarchiques, et recommencer intégralement ces attributions).

Le téléchargement de ShowStream comporte un autre outil, CmdStream (en ligne de commande).

Naissance de ShowStream :
En 2003, après avoir passé en revue les outils existants donnant accès aux flux ADS, et avoir souligné l'indigence de cet inventaire et les lacunes de ces outils, Jean-Claude Bellamy nous offre l'outil le plus complet existant, permettant de découvrir, voir, manipuler, exporter, importer et concaténer des flux alternatifs de données, ces flux invisibles attachés à un flux principal (un fichier "normal", tel qu'il apparaît aux yeux des utilisateurs). Ces flux alternatifs ont divers usages mais, malheurement, l'insécurité et la cybercriminalité s'en mêlent.


Description par JC Bellamy :

Ce logiciel analyse les flux présents dans tout fichier résidant sur une partition NTFS.
Un fichier est composé de plusieurs flux, constitués chacun :

• d'un descripteur de flux
  
• d'un nom éventuel
  
• des données proprement dites
  

Les applications habituelles n'accèdent qu'aux données du flux standard (anonyme).
Les informations de résumé éventuelles (onglet résumé des propriétés d'un fichier) constituent plusieurs flux nommés.

La création de miniature d'un fichier image dans l'explorateur génère un flux nommé.

La liste de contrôle d'accès (ACL) est dans un flux (Descripteur de sécurité).

Si on copie un fichier situé sur une partition NTFS (et contenant éventuellement plusieurs flux) vers une autre partition de type non NTFS :

• FAT12 (disquette)
  
• FAT16 ou FAT32 (disque dur)
  
• CDFS ou UDF (gravure de CD ou DVD)
  

on perd l'intégralité des flux autre que celui des données standard.

Ce logiciel sert à :

• Onglet "Recherche de flux"
  Rechercher dans un dossier les fichiers contenant des flux supplémentaires nommés.
  On peut demander aussi :
  
  • l'exploration des sous-dossiers
    
  • l'affichage des noms de tous les fichiers
    
  On peut effectuer des tris en cliquant sur le nom des colonnes
  
  
• Onglet "Analyse de flux"
  Analyser un fichier quelconque en affichant la liste des flux qu'il contient :
  
  • les flux anonymes
    
    • attributs de sécurité
      
    • données du fichier
      
    • ...
      
  • les flux nommés
    
    • informations de résumé
      
    • miniatures de fichiers images
      
    • flux nommés créés par l'utilisateur
      
    • ...
      
  
  Exporter chaque flux d'un fichier dans un fichier binaire (à des fins d'analyse...)
  Exporter l'ensemble des flux d'un fichier dans un fichier cabinet (extension .cab) contenant en interne plusieurs fichiers binaires (2 par flux) et un fichier sommaire permettant la reconstitution du fichier initial.
  (cf. paragraphe suivant)
  
  
• Onglet "Fusion de flux"
  Extraire les fichiers élémentaires de flux précédemment créés d'un fichier cabinet, afin de recréer le fichier d'origine sur une partition NTFS, avec tous les flux contenus à l'origine (attributs de sécurité, données standard, résumé, flux nommés, utilisateur, ...). Cela permet en particulier de copier un fichier vers une partition de type quelconque
  (FAT, CDROM..) et de ne perdre ainsi aucune information.
  
  On peut également ajouter un à plusieurs flux nommés supplémentaires à partir de fichiers
  existants quelconques.
  

1. ShowStream - Onglet "Recherche de flux"
   
   
   
   Cet onglet permet de :
   
   Effectuer une recherche, dans le dossier spécifié, de tous les fichiers contenant des flux anonymes et des flux nommés. La partition sélectionnée doit être de type NTFS.
   
   La recherche peut être récursive (exploration des sous-dossiers). On peut aussi rechercher tous les fichiers.
   
   La liste résultat peut être enregistrée dans un fichier texte, dans un format tabulé pouvant être ouvert sous Excel.
   
   
   
   
2. ShowStream - Onglet "Recherche de flux"
   
   
   
   Analyse un fichier (de type quelconque) et indique combien il comporte de flux, nommés ou non. La partition du fichier à analyser doit être de type NTFS.
   
   
   La liste des flux est affichée, avec respectivement :
   - leurs noms (le suffixe :$DATA est omis)
   - leurs types
   - des indicateurs éventuels
   - leur taille en octets
   
   Le contenu hexadécimal du flux sélectionné dans la liste précédente est affiché.
   
   On peut exporter le contenu du flux sélectionné dans un fichier quelconque (un nom par défaut est suggéré).
   
   On peut aussi exporter l'intégralité des flux dans un fichier "cabinet" (extension .cab), sur une partition de type quelconque, en vue d'une fusion ultérieure.
   
   
   
   
3. ShowStream - Onglet "Recherche de flux"
   
   
   
   Reconstitue un fichier avec l'intégralité de ses flux à partir d'un fichier cabinet (.cab) précédemment généré.
   
   Il est possible d'ajouter au fichier qui sera reconstitué un flux supplémentaire nommé, à partir d'un fichier quelconque et d'un nom de flux arbitraire.
   
   Le fichier qui sera reconstitué doit appartenir à une partition de type NTFS.
   
   On peut décider de ne pas incorporer certains flux nommés, en décochant les cases associées.
   
   Un journal des opérations est affiché, avec remarques ou messages d'erreur éventuels.
   
   
   
   
4. ShowStream - Onglet "A propos"
   Affiche la version du logiciel ainsi qu'un un aide-mémoire.
   

Jean-Claude Bellamy nous a quitté le 19 janvier 2015.