Il semble que sous une partition NFTS les ADS peuvent permettre de
"cacher" un programme coucou à même par la suite d'appeler par exemple
un spyware ou des troyens.
1- Est-ce à dire qu'il vaut mieux ne pas être en NFTS et que l'on est
mieux protégé en Fat32 par exemple ?
2- Comment attrape-t-on ceci ?
3- Est-ce également vrai sous XP ?
4- Et enfin existe-t-il des moyens de se protéger là contre et le
danger est-il vraiement présent pour le moment ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Laurent
wrote:
Bonjour,
Il semble que sous une partition NFTS les ADS peuvent permettre de "cacher" un programme coucou à même par la suite d'appeler par exemple un spyware ou des troyens.
J'imagine que tu parles de NTFS, NFTS connais pas.
1- Est-ce à dire qu'il vaut mieux ne pas être en NFTS et que l'on est mieux protégé en Fat32 par exemple ?
Je ne pense pas, NTFS gère les ACLs (les droits utilisateurs) pas FAT32. Pour le problème des troyens/spyware, c'est toujours la même réponse : Antivirus à jour, firewall digne de ce nom, bonnes pratiques de l'utilisateur.
2- Comment attrape-t-on ceci ?
Je ne pense pas que cela s'attrape pour l'instant, même si j'ai lu sur le web que des POC existent mais apparement rien de malicieux.
3- Est-ce également vrai sous XP ?
Oui. Je ne connais toutefois pas l'impact du SP2 sur cette fonctionnalité de NTFS.
4- Et enfin existe-t-il des moyens de se protéger là contre et le danger est-il vraiement présent pour le moment ?
Voir au dessus.
Merci beaucoup à vous
De rien.
-- Laurent, newbie FreeBSD'iste ;-)
pierre_meyrion@yahoo.fr wrote:
Bonjour,
Il semble que sous une partition NFTS les ADS peuvent permettre de
"cacher" un programme coucou à même par la suite d'appeler par exemple
un spyware ou des troyens.
J'imagine que tu parles de NTFS, NFTS connais pas.
1- Est-ce à dire qu'il vaut mieux ne pas être en NFTS et que l'on est
mieux protégé en Fat32 par exemple ?
Je ne pense pas, NTFS gère les ACLs (les droits utilisateurs) pas FAT32.
Pour le problème des troyens/spyware, c'est toujours la même réponse :
Antivirus à jour, firewall digne de ce nom, bonnes pratiques de
l'utilisateur.
2- Comment attrape-t-on ceci ?
Je ne pense pas que cela s'attrape pour l'instant, même si j'ai lu sur
le web que des POC existent mais apparement rien de malicieux.
3- Est-ce également vrai sous XP ?
Oui. Je ne connais toutefois pas l'impact du SP2 sur cette
fonctionnalité de NTFS.
4- Et enfin existe-t-il des moyens de se protéger là contre et le
danger est-il vraiement présent pour le moment ?
Il semble que sous une partition NFTS les ADS peuvent permettre de "cacher" un programme coucou à même par la suite d'appeler par exemple un spyware ou des troyens.
J'imagine que tu parles de NTFS, NFTS connais pas.
1- Est-ce à dire qu'il vaut mieux ne pas être en NFTS et que l'on est mieux protégé en Fat32 par exemple ?
Je ne pense pas, NTFS gère les ACLs (les droits utilisateurs) pas FAT32. Pour le problème des troyens/spyware, c'est toujours la même réponse : Antivirus à jour, firewall digne de ce nom, bonnes pratiques de l'utilisateur.
2- Comment attrape-t-on ceci ?
Je ne pense pas que cela s'attrape pour l'instant, même si j'ai lu sur le web que des POC existent mais apparement rien de malicieux.
3- Est-ce également vrai sous XP ?
Oui. Je ne connais toutefois pas l'impact du SP2 sur cette fonctionnalité de NTFS.
4- Et enfin existe-t-il des moyens de se protéger là contre et le danger est-il vraiement présent pour le moment ?
Voir au dessus.
Merci beaucoup à vous
De rien.
-- Laurent, newbie FreeBSD'iste ;-)
Kevin Denis
Le 24-02-2005, a écrit :
Il semble que sous une partition NFTS les ADS peuvent permettre de "cacher" un programme coucou à même par la suite d'appeler par exemple un spyware ou des troyens.
parles tu de ceci?
http://www.bellamyjc.org/fr/stream.html
-- Kevin
Le 24-02-2005, pierre_meyrion@yahoo.fr <pierre_meyrion@yahoo.fr> a écrit :
Il semble que sous une partition NFTS les ADS peuvent permettre de
"cacher" un programme coucou à même par la suite d'appeler par exemple
un spyware ou des troyens.
Il semble que sous une partition NFTS les ADS peuvent permettre de "cacher" un programme coucou à même par la suite d'appeler par exemple un spyware ou des troyens.
parles tu de ceci?
http://www.bellamyjc.org/fr/stream.html
-- Kevin
pierre_meyrion
Il semble que sous une partition NFTS les ADS peuvent permettre de "cacher" un programme coucou à même par la suite d'appeler par exemple un spyware ou des troyens.
parles tu de ceci?
http://www.bellamyjc.org/fr/stream.html
J'ai été voir sans tout comprendre ! Voici le lien qui m'a fait poser la question :
Alors si vous avez des réponses à mes questions je suis preneur !
Encore merci à vous
Pierre
Il semble que sous une partition NFTS les ADS peuvent permettre de
"cacher" un programme coucou à même par la suite d'appeler par exemple
un spyware ou des troyens.
parles tu de ceci?
http://www.bellamyjc.org/fr/stream.html
J'ai été voir sans tout comprendre ! Voici le lien qui m'a fait poser la question :
Il semble que sous une partition NFTS les ADS peuvent permettre de "cacher" un programme coucou à même par la suite d'appeler par exemple un spyware ou des troyens.
parles tu de ceci?
http://www.bellamyjc.org/fr/stream.html
J'ai été voir sans tout comprendre ! Voici le lien qui m'a fait poser la question :
Alors si vous avez des réponses à mes questions je suis preneur !
Encore merci à vous
Pierre
Kevin Denis
Le 25-02-2005, a écrit :
Il semble que sous une partition NFTS les ADS peuvent permettre de "cacher" un programme coucou à même par la suite d'appeler par exemple un spyware ou des troyens.
Alors si vous avez des réponses à mes questions je suis preneur !
Pour faire bref:
Un fichier est plus qu'un contenant unique.
Il est possible de disposer de plusieurs flux d'informations dans un fichier. Une image? Imagine une pochette a soufflets. Le contenu du fichier est situe dans le premier soufflet. Le texte d'un fichier texte par exemple. Mais il est egalement possible de mettre un autre texte dans le deuxieme soufflet, le troisieme, etc..
Cela pose probleme a partir du moment ou l'on se rend compte que la majorite des outils windows ne se preoccupe que du premier soufflet! Typiquement, on peut mettre a peu pres autant de chose que l'on souhaite dans les flux, la taille rapportee par windows restera la meme.
Par contre, je viens de tester rapidement le coup des fichiers executables decrit ci dessus, et ca ne fonctionne pas chez moi (?) (win2000Pro) C:stream>type winmine.exe > calc.exe:winmine.exe C:stream>start calc.exe:winmine.exe Accès refusé.
(avec une injure box "impossible d'ouvrir le raccourci internet") Pour la taille par contre: C:stream>echo hop > a.txt C:stream>dir a.txt 25/02/2005 14:21 6 a.txt C:stream>echo "Un petit poisson qui fait du velo" > a.txt:b.txt C:stream>dir 25/02/2005 14:22 6 a.txt C:stream>type a.txt hop C:stream>more < a.txt:b.txt "Un petit poisson qui fait du velo"
Pour le coup des programmes qui ne s'executent pas, je ne sais pas, ca a peut etre ete corrige depuis. Surtout que l'article de JCB doit dater deja au moins d'une paire d'annee, non?
Sinon, demander peut etre sur fcsv si les antivirus surveillent ce genre de choses. -- Kevin
Le 25-02-2005, pierre_meyrion@yahoo.fr <pierre_meyrion@yahoo.fr> a écrit :
Il semble que sous une partition NFTS les ADS peuvent permettre de
"cacher" un programme coucou à même par la suite d'appeler par exemple
un spyware ou des troyens.
Alors si vous avez des réponses à mes questions je suis preneur !
Pour faire bref:
Un fichier est plus qu'un contenant unique.
Il est possible de disposer de plusieurs flux d'informations dans un
fichier. Une image? Imagine une pochette a soufflets. Le contenu du fichier
est situe dans le premier soufflet. Le texte d'un fichier texte par
exemple.
Mais il est egalement possible de mettre un autre texte dans le deuxieme
soufflet, le troisieme, etc..
Cela pose probleme a partir du moment ou l'on se rend compte que la
majorite des outils windows ne se preoccupe que du premier soufflet!
Typiquement, on peut mettre a peu pres autant de chose que l'on souhaite
dans les flux, la taille rapportee par windows restera la meme.
Par contre, je viens de tester rapidement le coup des fichiers executables
decrit ci dessus, et ca ne fonctionne pas chez moi (?) (win2000Pro)
C:stream>type winmine.exe > calc.exe:winmine.exe
C:stream>start calc.exe:winmine.exe
Accès refusé.
(avec une injure box "impossible d'ouvrir le raccourci internet")
Pour la taille par contre:
C:stream>echo hop > a.txt
C:stream>dir a.txt
25/02/2005 14:21 6 a.txt
C:stream>echo "Un petit poisson qui fait du velo" > a.txt:b.txt
C:stream>dir
25/02/2005 14:22 6 a.txt
C:stream>type a.txt
hop
C:stream>more < a.txt:b.txt
"Un petit poisson qui fait du velo"
Pour le coup des programmes qui ne s'executent pas, je ne sais pas,
ca a peut etre ete corrige depuis. Surtout que l'article de JCB doit
dater deja au moins d'une paire d'annee, non?
Sinon, demander peut etre sur fcsv si les antivirus surveillent ce genre
de choses.
--
Kevin
Il semble que sous une partition NFTS les ADS peuvent permettre de "cacher" un programme coucou à même par la suite d'appeler par exemple un spyware ou des troyens.
Alors si vous avez des réponses à mes questions je suis preneur !
Pour faire bref:
Un fichier est plus qu'un contenant unique.
Il est possible de disposer de plusieurs flux d'informations dans un fichier. Une image? Imagine une pochette a soufflets. Le contenu du fichier est situe dans le premier soufflet. Le texte d'un fichier texte par exemple. Mais il est egalement possible de mettre un autre texte dans le deuxieme soufflet, le troisieme, etc..
Cela pose probleme a partir du moment ou l'on se rend compte que la majorite des outils windows ne se preoccupe que du premier soufflet! Typiquement, on peut mettre a peu pres autant de chose que l'on souhaite dans les flux, la taille rapportee par windows restera la meme.
Par contre, je viens de tester rapidement le coup des fichiers executables decrit ci dessus, et ca ne fonctionne pas chez moi (?) (win2000Pro) C:stream>type winmine.exe > calc.exe:winmine.exe C:stream>start calc.exe:winmine.exe Accès refusé.
(avec une injure box "impossible d'ouvrir le raccourci internet") Pour la taille par contre: C:stream>echo hop > a.txt C:stream>dir a.txt 25/02/2005 14:21 6 a.txt C:stream>echo "Un petit poisson qui fait du velo" > a.txt:b.txt C:stream>dir 25/02/2005 14:22 6 a.txt C:stream>type a.txt hop C:stream>more < a.txt:b.txt "Un petit poisson qui fait du velo"
Pour le coup des programmes qui ne s'executent pas, je ne sais pas, ca a peut etre ete corrige depuis. Surtout que l'article de JCB doit dater deja au moins d'une paire d'annee, non?
Sinon, demander peut etre sur fcsv si les antivirus surveillent ce genre de choses. -- Kevin
Patrick Maurice
"Kevin Denis" a écrit dans le message de news:
Par contre, je viens de tester rapidement le coup des fichiers executables decrit ci dessus, et ca ne fonctionne pas chez moi (?) (win2000Pro) C:stream>type winmine.exe > calc.exe:winmine.exe C:stream>start calc.exe:winmine.exe Accès refusé.
Ca vient de la protection des fichiers Windows. Quand tu modifies calc.exe par "type winmine.exe > calc.exe:winmine.exe", Windows restaure aussitot un calc.exe sain. Si tu essaies "start calc.exe:machintruc.exe" tu obtiens la meme erreur. Par contre si tu copies winmine.exe sur un flux d'un fichier non protégé par Windows, ça marche tres bien:
(je ne joins pas le bitmap mais ca marche si le répertoire courant est WINDOWSsystem32)
Ce qui confirme qu'un executable peut etre cache dans un fichier anodin.
Encore plus fort, on peut meme le cacher dans le repertoire, sans fichier: C:WINDOWSsystem32>dir test Répertoire de C:test 27/02/2005 11:47 <REP> . 27/02/2005 11:47 <REP> .. 0 fichier(s) 0 octets 2 Rép(s) 10 660 937 728 octets libres C:WINDOWSsystem32>type winmine.exe >test:bobo.exe C:WINDOWSsystem32>dir test Répertoire de C:test 27/02/2005 11:49 <REP> . 27/02/2005 11:49 <REP> .. 0 fichier(s) 0 octets 2 Rép(s) 10 660 814 848 octets libres C:WINDOWSsystem32>start test:bobo.exe
et ca marche aussi.
Par contre si on parle des antivirus, on trouve des infos chez Symantec, McAfee, Kaspersky, Sophos, Panda, à ce sujet depuis septembre 2000. Voir aussi http://www.certa.ssi.gouv.fr/site/CERTA-2000-ALE-012/
"Kevin Denis" <kevin@nowhere.invalid> a écrit dans le message de news:
slrnd1v325.3ue.kevin@zipslack.local.tux...
Par contre, je viens de tester rapidement le coup des fichiers executables
decrit ci dessus, et ca ne fonctionne pas chez moi (?) (win2000Pro)
C:stream>type winmine.exe > calc.exe:winmine.exe
C:stream>start calc.exe:winmine.exe
Accès refusé.
Ca vient de la protection des fichiers Windows. Quand tu modifies calc.exe
par "type winmine.exe > calc.exe:winmine.exe", Windows restaure aussitot un
calc.exe sain.
Si tu essaies "start calc.exe:machintruc.exe" tu obtiens la meme erreur.
Par contre si tu copies winmine.exe sur un flux d'un fichier non protégé par
Windows, ça marche tres bien:
(je ne joins pas le bitmap mais ca marche si le répertoire courant est
WINDOWSsystem32)
Ce qui confirme qu'un executable peut etre cache dans un fichier anodin.
Encore plus fort, on peut meme le cacher dans le repertoire, sans fichier:
C:WINDOWSsystem32>dir test
Répertoire de C:test
27/02/2005 11:47 <REP> .
27/02/2005 11:47 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 10 660 937 728 octets libres
C:WINDOWSsystem32>type winmine.exe >test:bobo.exe
C:WINDOWSsystem32>dir test
Répertoire de C:test
27/02/2005 11:49 <REP> .
27/02/2005 11:49 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 10 660 814 848 octets libres
C:WINDOWSsystem32>start test:bobo.exe
et ca marche aussi.
Par contre si on parle des antivirus, on trouve des infos chez Symantec,
McAfee, Kaspersky, Sophos, Panda, à ce sujet depuis septembre 2000.
Voir aussi http://www.certa.ssi.gouv.fr/site/CERTA-2000-ALE-012/
Par contre, je viens de tester rapidement le coup des fichiers executables decrit ci dessus, et ca ne fonctionne pas chez moi (?) (win2000Pro) C:stream>type winmine.exe > calc.exe:winmine.exe C:stream>start calc.exe:winmine.exe Accès refusé.
Ca vient de la protection des fichiers Windows. Quand tu modifies calc.exe par "type winmine.exe > calc.exe:winmine.exe", Windows restaure aussitot un calc.exe sain. Si tu essaies "start calc.exe:machintruc.exe" tu obtiens la meme erreur. Par contre si tu copies winmine.exe sur un flux d'un fichier non protégé par Windows, ça marche tres bien:
(je ne joins pas le bitmap mais ca marche si le répertoire courant est WINDOWSsystem32)
Ce qui confirme qu'un executable peut etre cache dans un fichier anodin.
Encore plus fort, on peut meme le cacher dans le repertoire, sans fichier: C:WINDOWSsystem32>dir test Répertoire de C:test 27/02/2005 11:47 <REP> . 27/02/2005 11:47 <REP> .. 0 fichier(s) 0 octets 2 Rép(s) 10 660 937 728 octets libres C:WINDOWSsystem32>type winmine.exe >test:bobo.exe C:WINDOWSsystem32>dir test Répertoire de C:test 27/02/2005 11:49 <REP> . 27/02/2005 11:49 <REP> .. 0 fichier(s) 0 octets 2 Rép(s) 10 660 814 848 octets libres C:WINDOWSsystem32>start test:bobo.exe
et ca marche aussi.
Par contre si on parle des antivirus, on trouve des infos chez Symantec, McAfee, Kaspersky, Sophos, Panda, à ce sujet depuis septembre 2000. Voir aussi http://www.certa.ssi.gouv.fr/site/CERTA-2000-ALE-012/
Catageek
Bonjour,
Le Jeudi 24 Février 2005 15:11, a écrit:
Bonjour,
Il semble que sous une partition NFTS les ADS peuvent permettre de "cacher" un programme coucou à même par la suite d'appeler par exemple un spyware ou des troyens.
1- Est-ce à dire qu'il vaut mieux ne pas être en NFTS et que l'on est mieux protégé en Fat32 par exemple ?
Fat32 n'est pas sensible aux ADS (alternate Data Stream) mais ne gère pas
les droits d'accès aux fichiers, ce qui est embetant. Remarque, quand on voit les droits d'accès NTFS par défaut de Windows (toute version) est-ce un préjudice ?
2- Comment attrape-t-on ceci ? Comme n'importe quel autre virus/malware/spyware/... Il suffit que le
concepteur y ait pensé.
3- Est-ce également vrai sous XP ? Vrai sous XP Service Pack 1, pour le SP2 je ne sais pas
4- Et enfin existe-t-il des moyens de se protéger là contre et le danger est-il vraiement présent pour le moment ? Difficile à savoir puisque meme les antivirus ne les détectent pas. En tout
cas, Symantec ne les détectait pas en décembre 2004, suite à un test que j'ai effectué moi-meme avec le fichier test EICAR.
Merci beaucoup à vous de rien
-- "Ce que l'on conçoit bien s'énonce clairement, Et les mots pour le dire arrivent aisément."
(Nicolas Boileau, l'Art poétique)
Bonjour,
Le Jeudi 24 Février 2005 15:11, pierre_meyrion@yahoo.fr a écrit:
Bonjour,
Il semble que sous une partition NFTS les ADS peuvent permettre de
"cacher" un programme coucou à même par la suite d'appeler par exemple
un spyware ou des troyens.
1- Est-ce à dire qu'il vaut mieux ne pas être en NFTS et que l'on est
mieux protégé en Fat32 par exemple ?
Fat32 n'est pas sensible aux ADS (alternate Data Stream) mais ne gère pas
les droits d'accès aux fichiers, ce qui est embetant. Remarque, quand on
voit les droits d'accès NTFS par défaut de Windows (toute version) est-ce
un préjudice ?
2- Comment attrape-t-on ceci ?
Comme n'importe quel autre virus/malware/spyware/... Il suffit que le
concepteur y ait pensé.
3- Est-ce également vrai sous XP ?
Vrai sous XP Service Pack 1, pour le SP2 je ne sais pas
4- Et enfin existe-t-il des moyens de se protéger là contre et le
danger est-il vraiement présent pour le moment ?
Difficile à savoir puisque meme les antivirus ne les détectent pas. En tout
cas, Symantec ne les détectait pas en décembre 2004, suite à un test que
j'ai effectué moi-meme avec le fichier test EICAR.
Merci beaucoup à vous
de rien
--
"Ce que l'on conçoit bien s'énonce clairement,
Et les mots pour le dire arrivent aisément."
Il semble que sous une partition NFTS les ADS peuvent permettre de "cacher" un programme coucou à même par la suite d'appeler par exemple un spyware ou des troyens.
1- Est-ce à dire qu'il vaut mieux ne pas être en NFTS et que l'on est mieux protégé en Fat32 par exemple ?
Fat32 n'est pas sensible aux ADS (alternate Data Stream) mais ne gère pas
les droits d'accès aux fichiers, ce qui est embetant. Remarque, quand on voit les droits d'accès NTFS par défaut de Windows (toute version) est-ce un préjudice ?
2- Comment attrape-t-on ceci ? Comme n'importe quel autre virus/malware/spyware/... Il suffit que le
concepteur y ait pensé.
3- Est-ce également vrai sous XP ? Vrai sous XP Service Pack 1, pour le SP2 je ne sais pas
4- Et enfin existe-t-il des moyens de se protéger là contre et le danger est-il vraiement présent pour le moment ? Difficile à savoir puisque meme les antivirus ne les détectent pas. En tout
cas, Symantec ne les détectait pas en décembre 2004, suite à un test que j'ai effectué moi-meme avec le fichier test EICAR.
Merci beaucoup à vous de rien
-- "Ce que l'on conçoit bien s'énonce clairement, Et les mots pour le dire arrivent aisément."
