Les Alternate Data Stream NTFS
2024-02-23
Image par Pexels de PixabayVous ne le savez peut-être pas mais il est possible dans le système de fichiers NTFS de créer des flux de données alternatifs dans un fichier. Ces flux peuvent stocker des images et même des exécutables, cette pratique est d'ailleurs souvent utilisées par des personnes mal intentionnées dans le but de créer des virus ou de cacher du contenu, en effet ils ne sont pas visibles dans l'explorateur de fichier.
Histoire
Les ADS ont été créés dans le but d'offrir une compatibilité avec HFS, système de gestion de fichiers sous Mac. Ils offrent une méthode pratique pour stocker des métadonnées supplémentaires associées à un fichier sans modifier le fichier lui-même, cela peut inclure des informations telles que des étiquettes de sécurité, des attributs de fichier avancés ou des informations spécifiques à une application.
Créer un flux de données ?
A titre informatif, je vais vous présenter comment il est possible de dissimuler dans un fichier texte du texte caché. Cet usage n'est pas illégal, néanmoins je tiens à souligner que tout ce que vous pourrez faire avec les informations transmises doit respecter la loi.
Méthode sous Windows à l'aide de "cmd.exe" (le terminal)
Créer un fichier texte avec du contenu
C:\echo "Mon texte visible" > Fichier.txt
Afficher le contenu du fichier
C:\type Fichier.txt
"Mon texte visible"
Créer un flux de données alternatif
C:\echo "Mon texte invisible" > Fichier.txt:1234.txt
Ouvrir le flux de données alternatif
C:\notepad Fichier.txt:1234.txt
Ici j'ai ouvert le bloc note de windows en affichant non pas "Mon texte visible" mais le texte présent dans le flux alternatif "Mon texte invisible" sans que cela n'affecte le fichier initial.
Voir les flux de données alternatifs
C:\dir /R
Le volume dans le lecteur C s'appelle Windows
Le numéro de série du volume est WXYZ-123P
Répertoire de C:\
dd/mm/yyyy hh:mm < DIR > .
dd/mm/yyyy hh:mm < DIR > ..
dd/mm/yyyy hh:mm 14 Fichier.txt
dd/mm/yyyy hh:mm 14 Fichier.txt:1234.txt:$DATA
2 fichier(s). X xxx octets
2 Rep(s) X xxxxx xx octets libres
Supprimer les flux
Supprimer le fichier, supprime aussi le flux de données qui lui est associé mais vous pouvez utiliser également "stream.exe" si vous souhaitez supprimer un flux spécifique.
Les versions récentes de Windows ont limité les fonctionnalités des ADS et les virus utilisant ce type de pratiques sont de moins en moins fréquents. Cependant, il est intéressant de comprendre et connaître ce type de possibilité afin de mieux luter contre elle.
