مصادر البيانات البديلة Alternate Data Streams ظهرت مع ظهور نظام ويندوز 2000 وقد أحدثت هذه القفزة ضجة في حينها بسبب التطبيق الغير سليم لهذه التقنية في انظمة ويندوز، علماً بأن الكثير من الفيروسات الخطيرة كانت تختبئ باستخدام هذه الطريقة دون تمكن نظام التشغيل أو حتى برامج مكافحة الفيروسات من اكتشاف مكان الفيروس.كان هذا في السابق أما الآن فقد عدلت شركة مايكروسوفت بعض الأمور الهامة (واللتي لن أتطرق لها هنا )التي تمنع تخفي الفيروسات تحت اسماء ملفات النظام مما يجعل استخدام هذه الطريقة الآن للتخفي غير فعالة.مصادر البيانات البديلة ليست فكرة جديدة إذ انها موجودة في أنظمة الماكنتوش واليونيكس وغرضها إلصاق بيانات إضافية بالملفات. من الأمثلة على ذلك تخزين معلومات عن الملف كاسم المؤلف وعنوان الملف وملاحظات الملف كما تجده في الصورة التالية.
كيف تخفي ملفاً بهذه الطريقة:
المتطلبات:
الطريقة:
في المثال الذي سيتم تطبيقه أحاول إخفاء برنامج الحاسبة calc.exe داخل ملف نصي اسمه kibtar.txt. لتبسيط الأمر سأقوم بإنشاء مجلد في الجزء C من القرص الصلب كي يسهل الولوج إليه ومن ثم اصدر الأوامر التالية من خلال سطر الأوامر كما تظهر في الصورة.
السطر الأول:
السطر الأول ليس إلا لإنشاء ملف نصي اسمه kibtar.txt يحتوي النص "kibtar was here"
السطر الثاني:
هذا السطر سيقوم بنسخ محتويات الملف c:\windows\system32\calc.exe إلى الملف kibtar.txt:c.exe
بهذه الطريقة نكون قد أخفينا نسخة من برنامج الحاسبة في ملف باسم c.exe والذي بدوره تم إلصاقة بالملف النصي kibtar.txt
السطر الثالث:
فتح الملفات المخفية بطريقة مصادر البيانات البديلة يختلف حسب نوعية الملف المخفي، فلو كان الملف المخفي عبارة عن ملف تشغيلي نستخدم الأمر start مع المسار الكامل للملف المخفي.
ولو كان الملف المخفي عبارة عن صورة فبإمكاننا فتحها عن طريق الأمر
mspaint kibtar.txt:myimage.gif
عند فتح نافذة المهام لرؤية العمليات الحالية ستلاحظ أن اسم الملف موجود باسم kibtar.txt:c.exe وهذه أحد التعديلات التي قامت بها مايكروسوفت كي لا تتخفى الفيروسات خلف برامج غير مشكوك فيها. كما في الصورة
ملاحظة:
يمكن أيضا تطبيق هذه الطريقة على مجلد لتلصق به ملفات مخفية.
أخفيت ملفاتك ولم تتذكر أين اخفيتها؟
يمكن الكشف عن الملفات المخفية بهذه الطريقة عن طريق برامج مجانية ومنها
العيوب:
هذا كل شيء ولكن لا تحاول إخفاء ملفات هامة جداً بهذه الطريقة إلا إن كنت تحمل نسخة احتياطية خارجية لكي لا يتعرض للحذف دون قصد.
كيف تخفي ملفاً بهذه الطريقة:
المتطلبات:
- نظام تشغيل ويندوز بنظام ملفات انتيافاس وإلا فلا.
الطريقة:
في المثال الذي سيتم تطبيقه أحاول إخفاء برنامج الحاسبة calc.exe داخل ملف نصي اسمه kibtar.txt. لتبسيط الأمر سأقوم بإنشاء مجلد في الجزء C من القرص الصلب كي يسهل الولوج إليه ومن ثم اصدر الأوامر التالية من خلال سطر الأوامر كما تظهر في الصورة.
السطر الأول:
السطر الأول ليس إلا لإنشاء ملف نصي اسمه kibtar.txt يحتوي النص "kibtar was here"
السطر الثاني:
هذا السطر سيقوم بنسخ محتويات الملف c:\windows\system32\calc.exe إلى الملف kibtar.txt:c.exe
بهذه الطريقة نكون قد أخفينا نسخة من برنامج الحاسبة في ملف باسم c.exe والذي بدوره تم إلصاقة بالملف النصي kibtar.txt
السطر الثالث:
فتح الملفات المخفية بطريقة مصادر البيانات البديلة يختلف حسب نوعية الملف المخفي، فلو كان الملف المخفي عبارة عن ملف تشغيلي نستخدم الأمر start مع المسار الكامل للملف المخفي.
ولو كان الملف المخفي عبارة عن صورة فبإمكاننا فتحها عن طريق الأمر
mspaint kibtar.txt:myimage.gif
عند فتح نافذة المهام لرؤية العمليات الحالية ستلاحظ أن اسم الملف موجود باسم kibtar.txt:c.exe وهذه أحد التعديلات التي قامت بها مايكروسوفت كي لا تتخفى الفيروسات خلف برامج غير مشكوك فيها. كما في الصورة
ملاحظة:
يمكن أيضا تطبيق هذه الطريقة على مجلد لتلصق به ملفات مخفية.
أخفيت ملفاتك ولم تتذكر أين اخفيتها؟
يمكن الكشف عن الملفات المخفية بهذه الطريقة عن طريق برامج مجانية ومنها
- LADS
- Streams
- LNS
- ADSspy
- ADS Locator
العيوب:
- معظم البرامج ومن ضمنها نظام الويندوز نفسه لا تحسب حجم الملف بشكل صحيح إذ تتجاهل حساب حجم الملفات المخفية.
- الملفات المخفية بهذه الطريقة تختفي في الحالات التالية (للذكر لا الحصر):
- عند عمل نسخة أخرى من الملف الذي يحتوي ملفات مخفية
- ضغط الملف
- نسخ الملف إلى نظام ملفات غير انتيافاس
- نسخ الملف عبر الشبكة بين جهازين حتى لو كان الجهازين بنظام انتيافاس
هذا كل شيء ولكن لا تحاول إخفاء ملفات هامة جداً بهذه الطريقة إلا إن كنت تحمل نسخة احتياطية خارجية لكي لا يتعرض للحذف دون قصد.