Alternative Streams (ADS) in NTFS

#0
30.01.2004, 19:46
Member

Beiträge: 3306
#1 Wurde gerade in einem anderen Thread besprochen und ich hör ehrlich gesagt das erste Mal davon. Hab mir mal http://www.heysoft.de/nt/dntfs-ads.htm durchgelesen und war schon leicht schockiert.

Ein Virus der ADS ausnützt könnte für unbedarfte User geradezu unmöglich zu löschen sein. Besonders wenn sich der eigentliche Code in einem "harmlosen" File befindet das ein Virenscanner nicht scannt. Hat dazu jemand genauere Informationen auch was MS gedenkt zu tun?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
30.01.2004, 20:15
Member
Avatar Laserpointa

Beiträge: 2176
#2 unter dem Artikel wurde noch hierrauf verwiesen:
http://patriot.net/~carvdawg/docs/dark_side.html

die Sache insgesamt ist mir auch neu, ich habe davon noch nicht gehört;
hört sich aber wirklich interessant an, hoffe mal das hier jemand mehr weiß.

Greetz Lp
Seitenanfang Seitenende
30.01.2004, 21:00
Member

Beiträge: 1516
#3 Wenn ich mich nicht irre haben wir schonmal darüber gesprochen?

Soweit ich weiß ist Kaspersky der einzige Antivirus der diese Datenströme mitscannt.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Dieser Beitrag wurde am 30.01.2004 um 23:32 Uhr von spunki editiert.
Seitenanfang Seitenende
30.01.2004, 23:12
Member

Beiträge: 813
#4 Ich glaube nicht, dass KAV der einzige Scanner ist, der in diesen Streams scannen kann. Zumindest können es ein paar AT's (TDS-3, TrojanHunter).

Ein paar Links, z.B. über Malware, die NTFS-Streams nutzt:

http://www.heise.de/newsticker/meldung/11718

http://securityresponse.symantec.com/avcenter/venc/data/w2k.stream.html

http://www.f-secure.com/v-descs/afcore_q.shtml

http://board.protecus.de/t6561.htm

http://www.diamondcs.com.au/index.php?page=archive&id=ntfs-streams

http://www.rokop-security.de/board/index.php?showtopic=394
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
30.01.2004, 23:43
Member
Themenstarter

Beiträge: 3306
#5 Ich frag mich immer noch wozu das gut sein soll.
Das braucht man doch bloß wenn Windows Server für Mac-Clients spielt, aber ist wieder in jeder Windows-Version drin. Für mich hochgefährlicher und überflüssiger Schwachsinn, genauso wie DCOM.

Wenn Microsoft uns einen Gefallen tun will sollen sie Windows beibringen HFS-Medien zu lesen ;)
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: