Alternate Data Streams o Flujo Alternativos de Datos (ADS)

Alternate Data Streams o Flujo Alternativos de Datos (ADS) una caracteristica del sistema operativo Windows (presente del sistema operativo Windows NT) en su sistema de archivos NTFS que permite almacenar un fichero dentro de otro fichero.

Se piensa que un fichero es una secuencia de bytes ordenados que se accede por un nombre, pero en el sistemas de archivos NTFS, un fichero está compuesto por diferentes flujos de datos o “data streams”, junto a un flujo principal como se muestra en la siguiente imagen:

structure ntfs

Algunas caracteristicas de los ADS:

  • Son completamente ocultos para el usuario, no puede ser vistos por métodos convenciones como el Explorador de Windows.
  • El archivo principal no refleja el tamaño de los otros archivo vinculados.
  • Los archivos ADS pueden contener cualquier extensión.

Algunos usos:

  1. Son utilizados por sistema operativo y aplicaciones como fuentes de informacion de metadatos.
  2. Es una tecnica anti-forence para oculta evidencia.
  3. Son utilizados para ocultar archivos ejecutables (malware) para su posterior ejecución.

adsgrafic

Grafico resumen de archivos ADS.

Ejemplo de crear y visualizar un archivo ADS desde Windows 8:

adswin8

Ejemplo como visualizar un archivo ADS desde una herramienta como lo es ADSspy, muy sencilla de utilizar.

adsADSspy

Saludos, comenta y comparte.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s