تكنيك مخفي كردن اطلاعات با استفاده از سيستم فايل NTFS بررسي ابزارهاي  (Cat & ADS spy)

فايل سيستم NTFS ، به عنوان يك فايل سيستم قدرتمند و با ويژگي‌هايي در خور توجه، قابليتي دارد به نام ADS (Alternate Data Stream) (جايگاه ذخيره اطلاعات جداگانه). اين قابليت به ما امكان مي‌دهد كه اطلاعات حياتي و حساس خود را به صورت مخفي درون ADS ، فايل‌هاي ديگر و يا هر پوشة دلخواه ذخيره كنيم، بدون آنكه هيچ ردي از خود بجاي بگذارند و يا در حالت عادي ديده شوند.

مثالي از كاربرد Data Stream، ذخيره اطلاعات دلخواه در تب Summary از قسمت Property يك فايل است. همانطور كه مي‌دانيد، اگر از يك فايل Property بگيريد، در تب Summary آن فايل، مي‌توانيد اطلاعاتي از قبيل Title ، Subject ، Category و ... را ذخيره كنيد. اين اطلاعات داخل خود فايل ذخيره نمي‌شوند، بلكه در بخش Stream مخصوص آن فايل ذخيره مي‌شوند.

اين در حاليست كه وقتي اطلاعات در بخش NTFS Stream ذخيره مي‌گردد، اساسا از ديد ويندوز اكسپلورر، جستجوهاي متني و اغلب روتين‌هاي عمل كننده با فايل ويندوز، مخفي مي‌گردد. بطور مثال، شما مي‌توانيد يك فايل zip با ظرفيت 5 مگابايت را در Stream يك فايل متني 1 كيلوبايتي ذخيره كنيد. ضمن اينكه وقتي شما اين كار را انجام دهيد، ويندوز اكسپلورر همچنان ظرفيت فايل متني را، 1 كيلوبايت نشان خواهد داد.

همچنين به دليل آنكه بخش Stream يك فايل، محل مناسبي براي ذخيره كردن اطلاعات است، بعضي از ويروس‌ها سعي مي‌كنند كه خود را در اين بخش از فايل‌ها پنهان كنند. خوشبختانه خبر خوب اين است كه بخش Stream يك فايل، هنگام دانلود از Http و يا FTP از بين رفته و نابود مي‌شود. اين بدين معني است كه ويروس‌ها براي انتشار خود نمي‌توانند از بخش Stream فايل‌ها استفاده كنند. ولي بعد از آلوده شدن كامپيوتر، به هر طريقي مي‌توانند خود را در بخش Stream فايل‌ها پنهان سازند.

بنابراين به دليل آنكه بخش Stream در فايل سيستم NTFS از ديد ويندوز مخفي مي‌باشد، بايد مطمئن شد كه نرم‌افزار آنتي ويروس مورد استفاده، قابليت شناسايي ويروس‌هاي مخفي شده در بخش ADS را داشته باشد. بطور مثال، آنتي ويروس McAfee، به خوبي مجهز به اين قابليت مي‌باشد.

با توجه به آنچه توضيح داده شد، حال اگر شما به هر دليلي نياز داريد كه فايلي را مخفي كنيد، مي‌توانيد آن فايل را به كمك دستوراتي كه در خود ويندوز موجود است، در بخش Stream يك فايل ذخيره كنيد. البته اين درست است كه اطلاعات حياتي و محرمانه را مي‌توان رمزگذاري كرد. مثلا به طوري كه بصورت يك فايل فشرده شده zip ، به همراه يك رمز نگهداري شود. ولي به هر حال، فايل رمز شده مي‌تواند توسط ديگران ديده شود. بطور مثال، اگر همكار شما، اين فايل را مشاهده كند، ممكن است كه از شما توضيح بخواهد و يا خود ترغيب شود كه آن را از رمز درآورد. و يا ممكن است توسط يك هكر در صورت مشاهده فايل، با روش‌هاي هك و قفل شكستن و حدس رمز فايل مورد نظر، فايل مربوطه باز شده و در دسترس قرار گيرد. اما اگر اين فايل رمز شده در بخش Stream يك فايل ديگر ذخيره گردد، اصولا هيچ كس از وجود آن مطلع نخواهد شد كه بخواهد به طريقي به محتواي آن دست يابد.

البته حذف كردن و يا كپي كردن فايل از بخش Stream، نيازمند نرم‌افزارهاي مخصوصي خواهد بود. معمولا اين نرم‌افزارها مجاني بوده و سهل‌الاستفاده و به راحتي مي‌توان آنها را دانلود كرد.

نحوه ذخيره سازي يك فايل نمونه در بخش Stream يك فايل

اين كار از طريق خط فرمان ويندوز انجام مي‌گيرد. نحوه اشاره به بخش Stream يك فايل به صورت زير مي‌باشد:

Filename:Streamfile

Filename نام فايلي است كه در بخش Stream آن فايل، اطلاعات مورد نظر قرار است ذخيره شود. Streamfile نيز نام فايلي است كه قرار است در بخش Stream فايل اصلي ذخيره شود.

گام اول:

ابتدا كادر RUN را باز كنيد (استفاده از تركيب كليد ويندوز و كليد R ، و يا منوي Start و سپس گزينه RUN). بعد دستور CMD را جهت باز شدن خط فرمان تايپ كرده و اينتر بزنيد.

گام دوم:

فرمان Type را به صورت زير در خط فرمان تايپ كنيد:

type file1 > file2:file1

كه در آن file1 فايلي است كه قرار است مخفي شود و file2 فايلي است كه قرار است file1 در آن مخفي گردد. همانطور كه مي‌دانيد در دستور Type، عملگر « > » باعث تغيير جهت دادن خروجي دستور مي‌گردد. در اين حالت باعث مي‌شود كه محتواي file1 در بخش Stream مربوط به file2 ذخيره گردد.

گام سوم:

پنجره خط فرمان را ببنديد.

مثال

فرض كنيد كه مي‌خواهيد برنامه ماشين حساب ويندوز را در يك فايل متني به نام text.txt كه در آدرس D:\doc قرار دارد، ذخيره كنيد. براي انجام اين كار كافي است فرمان زير را در خط فرمان اجرا كنيد.

type c:\Windows\System32\calc.exe > d:\doc\test.txt:calc.exe

همانطور كه مشاهده مي‌كنيد، در قسمت اول (مربوط به file1)، آدرس كامل برنامه ماشين حساب وارد شده است و در قسمت دوم نيز (مربوط به file2) آدرس كامل فايل متني test.txt وارد شده است.

ضمن اينكه اگر شما از طريق ويندوز اكسپلورر ظرفيت فايل test.txt و يا پوشه doc (كه فايل متني در آن قرار دارد) را چك كنيد، مشاهده مي‌كنيد كه به هيچ‌وجه مقدار آن تغيير نكرده است و صرفا اندازه فايل متني نشان داده مي‌شود. در اين ميان تنها خصوصيتي كه تغيير مي‌كند، خصوصيت تاريخ فايل متني test.txt است كه به زمان اجراي دستور type تغيير پيدا مي‌كند، كه البته در صورت نياز مي‌تواند با نرم‌افزارهاي بسياري كه موجود است، تاريخ فايل متني را نيز (كه تغيير كرده است) به مقدار قبلي خود برگردانيد، تا هيچ تغييري حس نشود.

ناگفته نماند شما مي‌توانيد برنامه ذخيره شده را به كمك دستور Start اجرا كنيد (و يا اگر فايل غير اجرايي بود باز كنيد).

start d:\doc\test.txt:calc.exe

متاسفانه ويندوز ويستا، اين طرز استفاده از دستور Start را پشتيباني نمي‌كند. يعني اينكه در ويندوز ويستا نمي‌توان به كمك دستور Start، برنامه‌هاي ذخيره شده در Stream يك فايل را اجرا كرد.

نكته ديگر اين است كه نام Stream با نام اصلي فايل نيازي نيست كه يكي باشد. در مثال فوق كه ما برنامه ماشين حساب را در Stream فايل متني ذخيره كرديم، مي‌توانستيم نام Stream آن را بجاي calc.exe ، هر چيز دلخواه ديگري انتخاب كنيم و نتيجه همان خواهد بود. مانند:

type c:\Windows\System32\calc.exe > d:\doc\test.txt:xyz.exe

فقط بايد توجه داشت كه براي دسترسي به Stream ، هر نامي را كه ذخيره كرده‌ايم، استفاده كنيم. يعني:

start d:\doc\test.txt:xyz.exe

كه مجددا باعث اجراي برنامه ماشين حساب ذخيره شده در بخش Stream فايل متني خواهد شد.

نكته بعدي اين است كه صرفا فايل‌ها داراي بخش Stream نيستند و پوشه‌ها نيز مي‌توانند بخش Stream داشته باشند و ما مي‌توانيم فايل‌هاي دلخواهمان را در بخش Stream يك پوشه ذخيره كنيم. بطور مثال، دستور زير يك عكس را در Stream يك پوشه ذخيره مي‌كند. دقت داشته باشيد كه در صورتي كه آدرس و يا نام فايل داراي Space (فاصله) است، حتما كل آدرس را در بين علامت كوتيشن بگذاريد:

type "c:\My Pictures\blue hills.jpg" > "c:\doc:blue hills.jpg"

و پس از آن با استفاده از دستور زير مي‌توانيم به فايل عكس دسترسي پيدا كرده و مثلا آن را در برنامه paint باز كنيم:

mspaint "c:\doc:blue hills.jpg"

بطور مثال فرض كنيد تعدادي رمز عبور را در يك فايل متني معمولي با فرمت txt به نام mypass.txt در Stream پوشه doc به آدرس d:\doc ذخيره كرده‌ايد. حال مي‌توانيد با دستور زير، فايل خود را از طريق برنامه Notpade باز كنيد:

notepad "d:\doc: mypass.txt"

متاسفانه همه نرم‌افزارهاي كاربردي امكان باز كردن فايل‌ها از بخش Stream را مانند Paint و يا Notepad ندارند. ضمنا اگر فايل‌هاي شما بسيار حياتي است، بهتر است كه ابتدا آنها را zip كرده و روي فايل zip خود رمز بگذاريد و سپس فايل zip رمز‌دار را در بخش Stream ذخيره كنيد.

براي خارج كردن فايل مخفي از بخش Stream نيز مي‌توانيد از روش‌هاي زير استفاده كنيد.

بيرون كشيدن اطلاعات ذخيره شده در بخش Stream به وسيله Cat

براي اين كار كافي است از برنامه‌اي بنام Cat استفاده كنيد. اين برنامه را از آدرس زير مي‌توانيد دانلود نماييد.

http://www.darksquall.com/tools/bin/cat.exe

برنامه Cat فقط 92 كيلو بايت ظرفيت دارد و نياز به هيچ گونه نصب كردن ندارد.

همچنين براي كپي كردن اطلاعات مخفي شده به بيرون از Stream، فرمان را به صورت زير در خط فرمان وارد نماييد.

cat filename:Streamfile > Streamfile

Streamfile نام فايلي است كه مخفي شده است و filename نيز نام فايلي است كه فايل مخفي در Stream آن ذخيره شده است.

به طور مثال، دستور زير، فايل diary.zip را از Stream فايل status.doc به بيرون كپي مي‌كند.

cat "c:\doc\status.doc:diary.zip" > "c:\my stuff\diary.zip"

دقت داشته باشيد كه اين دستور، فايل را از Stream كپي مي‌كند و آن را از Stream حذف نمي‌كند، و پس از اجراي اين دستور، فايل هنوز در Stream وجود دارد.

به روز رساني فايل مخفي شده در يك Stream

براي اين كار كافي است تغييرات دلخواه خود را در فايل مخفي نشده اعمال كنيد و مجددا آن فايل را با استفاده از دستور Type در Stream كپي كنيد. دقت داشته باشيد كه فايل كپي شده در Stream، اگر با فايل مخفي شده در Stream هم نام باشد، بر روي آن جايگزين (Overwrite) خواهد شد، بدون آنكه هشداري داده شود.

شناسايي و حذف كردن فايل‌ها در Stream

به وسيله ADS Spy

اگر شما در ويندوز ويستا باشيد، دستور Dir در ويندوز ويستا، اين امكان را دارد كه نشان دهد چه فايلي در Stream خود، اطلاعات مخفي دارد. كافي است در خط فرمان دستور را با سوئيچ /r بكار ببريد:     dir /r

علاوه بر اين، از نرم‌افزاري به نام ADS spy نيز جهت اسكن كردن هر آدرس دلخواه از هارد مي‌توان استفاده كرد. اين برنامه اين قابليت را دارد كه آدرس دلخواه را اسكن كرده و اطلاعات مخفي شده در Streamها را نمايش دهد و نيز امكان حذف كردن آنها را نيز فراهم مي‌كند. مي‌توانيد اين برنامه را از آدرس‌هاي زير دانلود كنيد.

http://www.spywareinfo.com/~merijn/files/adsspy.zip

http://downloads.subratam.org/adsspy.zip

http://www.merijn.org/files/adsspy.zip

همچنين ADSspy اين امكان را دارد كه از مواردي كه استفاده از Stream قانوني و بدون اشكال مي‌باشد، صرفنظر كند و در حين اسكن كردن يك آدرس، صرفا موارد مشكوك و غير منتظره را نمايش دهد.

مراقب حذف شدن ناگهاني اطلاعات ذخيره شده در Stream باشيد

اگر دستور Type را به همراه علامت « > » بدون معين كردن هيچ نام Stream ي استفاده كنيد، باعث مي‌شود كه كل اطلاعات ذخيره شده در Stream پاك شود.

مثال: فرض كنيد فايلي به نام Original.doc در بخش Stream خود، داراي اطلاعات مخفي شده است. دستور زير، يك كپي از همين فايل بدون هيچ اطلاعاتي در بخش Stream آن ايجاد مي‌كند.

type original.doc > backupcopy.doc

همچنين انتقال اطلاعات به هر درايوي كه NTFS نباشد، باعث از دست رفتن كل اطلاعات Stream مي‌شود. مثل فلش درايوها و نيز انتقال اطلاعات از طريق ايميل به صورت Attachment و يا Upload كردن آن به اينترنت و يا رايت كردن آن در سي‌دي و يا دي‌وي‌دي، باعث از بين رفتن اطلاعات Stream مي‌شود.

تذكرات نهايي

·    وقتي كه اطلاعاتي را در يك فايل يا پوشه مخفي مي‌كنيد، بايد مطمئن باشيد كه آن فايل يا پوشه، در هيچ صورتي پاك نخواهند شد. مثلا توسط ديگران و يا توسط خودتان بصورت تصادفي.

·      مي‌توان بيش از يك فايل را در بخش Stream ذخيره كرد. كافي است براي هر فايل، يكبار از دستور Type به ترتيبي كه توضيح داده شد، استفاده كنيد.

·      دقت داشته باشيد كه دستور Type اطلاعات را به بخش Stream كپي مي‌كند و Move (منتقل) نمي‌كند.

·    هيچ وقت اين روش مخفي كردن را روي فايلي كه تنها يك نسخه از آن را داريد و نسخه پشتيباني از آن نداريد و نمي‌خواهيد كه آن را به هيچ‌وجه از دست بدهيد، انجام ندهيد. در واقع بهتر است كه اين تكنيك را در مواردي كه امكان گم شدن و يا سرقت اطلاعات وجود دارد، انجام دهيد. بطور مثال در كامپيوترهاي Laptop .

همچنين قبل از اعمال اين روش بر روي فايل‌هاي حياتي، حتما آن را روي فايل‌هاي آزمايشي تست نماييد، تا به نكات آن مسلط شويد.

·      هرگز فايل يا پوشه‌اي را كه در بخش Stream آنها، اطلاعاتي را مخفي كرده‌ايد، ايميل نكنيد و يا در درايوي كه غير NTFS است، كپي نكنيد.

همچنين بسياري از برنامه‌هاي backup گيري، قادر به شناسايي اطلاعات موجود در بخش Stream نيستند، بنابراين در استفاده كردن از آنها دقت كنيد.

·    ابزارهاي معرفي شده در اين مقاله (Cat & ADS spy) را در جايي جداگانه نگهداري كنيد. چرا كه هر كسي كه به اين ابزار دسترسي داشته باشد، مي‌تواند به اطلاعات مخفي شده در بخش Stream نيز دسترسي داشته باشد.

·      در پايان بايد اشاره به اين نكته كرد كه مزاحمان در صورتي كه نتوانند اطلاعات خصوصي و حياتي شما را ببينند، قاعدتا نمي‌توانند هيچ مزاحمتي بوجود آورند.

اسداله اسدشير