Alternate Data Streams o Flujo Alternativos de Datos (ADS)

Alternate Data Streams o Flujo Alternativos de Datos (ADS) una caracteristica del sistema operativo Windows (presente del sistema operativo Windows NT) en su sistema de archivos NTFS que permite almacenar un fichero dentro de otro fichero.

Se piensa que un fichero es una secuencia de bytes ordenados que se accede por un nombre, pero en el sistemas de archivos NTFS, un fichero está compuesto por diferentes flujos de datos o “data streams”, junto a un flujo principal como se muestra en la siguiente imagen:

structure ntfs

Algunas caracteristicas de los ADS:

  • Son completamente ocultos para el usuario, no puede ser vistos por métodos convenciones como el Explorador de Windows.
  • El archivo principal no refleja el tamaño de los otros archivo vinculados.
  • Los archivos ADS pueden contener cualquier extensión.

Algunos usos:

  1. Son utilizados por sistema operativo y aplicaciones como fuentes de informacion de metadatos.
  2. Es una tecnica anti-forence para oculta evidencia.
  3. Son utilizados para ocultar archivos ejecutables (malware) para su posterior ejecución.

adsgrafic

Grafico resumen de archivos ADS.

Ejemplo de crear y visualizar un archivo ADS desde Windows 8:

adswin8

Ejemplo como visualizar un archivo ADS desde una herramienta como lo es ADSspy, muy sencilla de utilizar.

adsADSspy

Saludos, comenta y comparte.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s