Alternate Data Streams (ADS) è una funzione implementata dal file system NTFS sconosciuta ai più. Quando viene creato un file, il sistema operativo gli associa due flussi di dati: un flusso di dati principale, di fatto il suo contenuto ossia i dati visualizzabili dall'utente aprendo il documento con la opportuna applicazione.
Molti non sanno però che oltre ai flussi principali, vi sono anche quelli alternativi, che a differenza dei primi sono nascosti e inaccessibili dall'Esplora Risorse di Windows.
Gli Alternate Data Streams (ADS) sono letteralmente i "Flussi di dati alternativi". Essi consentono all'utente di nascondere all'interno di un file delle informazioni, o addirittura un altro file.
Il bello è che il file a cui vengono associati dei flussi alternativi non subisce modifiche di nessun genere. Anche aggiungendo un flusso di grandezza pari a vari GB la dimensione del file, così come visualizzata dal sistema operativo, rimane la stessa!!
Questa funzionalità piace molto ai virus-writer che la utilizzano come veicolo di malware di ogni tipo. Infatti grazie agli ADS è possibile correlare a un file non solo informazioni testuali ma anche ad esempio un altro file, con la sola caratteristica che questo sarà praticamente invisibile e inaccessibile e potrà comunque essere avviato senza procedura di decrittazione o decompressione.
In più, poiché non viene alterata nessuna caratteristica del file e il sistema non notifica la presenza di flussi alternativi, questa tecnologia rende praticamente impossibile a un utente (a prescindere che sia eseprto o meno) determinare se il file scaricato contiene o meno degli ADS.
Molti non sanno però che oltre ai flussi principali, vi sono anche quelli alternativi, che a differenza dei primi sono nascosti e inaccessibili dall'Esplora Risorse di Windows.
Gli Alternate Data Streams (ADS) sono letteralmente i "Flussi di dati alternativi". Essi consentono all'utente di nascondere all'interno di un file delle informazioni, o addirittura un altro file.
Il bello è che il file a cui vengono associati dei flussi alternativi non subisce modifiche di nessun genere. Anche aggiungendo un flusso di grandezza pari a vari GB la dimensione del file, così come visualizzata dal sistema operativo, rimane la stessa!!
Questa funzionalità piace molto ai virus-writer che la utilizzano come veicolo di malware di ogni tipo. Infatti grazie agli ADS è possibile correlare a un file non solo informazioni testuali ma anche ad esempio un altro file, con la sola caratteristica che questo sarà praticamente invisibile e inaccessibile e potrà comunque essere avviato senza procedura di decrittazione o decompressione.
In più, poiché non viene alterata nessuna caratteristica del file e il sistema non notifica la presenza di flussi alternativi, questa tecnologia rende praticamente impossibile a un utente (a prescindere che sia eseprto o meno) determinare se il file scaricato contiene o meno degli ADS.
