創作內容

8 GP

【...】所謂免費的隱藏資料檔案軟體，跟本就...

作者：無痕之音│2010-07-28 09:44:49│巴幣：2│人氣：2144

這幾天因為看著 ADS(Alternate Data Streams) 的資訊，一時好奇去搜尋資料隱藏軟體，
關於這個軟體，我有很深的怨念，因為要找到一個免費又真材實料的軟體真是難上加難。
如 WinMend Folder Hidden 這個軟體來說好了，這個網路上有中文語系可以下載：
http://leftalan.pixnet.net/blog/post/24866660

這邊我就示範一下過程，由於這個 WinMend Folder Hidden 軟體隱藏的手法太粗糙了，
竟然還是挑我最厭惡的隱藏地點。
想知道原因可以看一下標籤處的相關文章：[隨筆心得] recycler 忘了分享的回收筒趣事

1)這是我要隱藏的檔案，從左至右、上至下皆為 RING0 核心層級殺毒軟體的畫面：
XueTr│Wsyscheck│冰劍

2.)先用 WinMend Folder Hidden 設定密碼將資料夾隱藏：

3)成功設定為隱藏：

4)看起來還讓我白高興了好一陣子 = = 因為的確從核心 KERNEL 看真的找不到檔案的影子了：
(在加殼工具跟WINDOWS 更新工具資料夾之間)

5)簡單用 DOS 命令行指令切換也是如此：

6)然後我直接重開機，進入 XPE 崁入式系統，直接挑回收筒資料夾 RECYCLER 去砍，無效，
檔案管理員回報無法刪除：(所以我差點鑄下大錯？)
由於 RECYCLER 被鎖定讀取及刪除動作，所以我可以非常肯定這其中必有蹊蹺，檔案肯定藏在裡面。

7)重新到 RECYCLER 資料夾以 XueTr 去查看，果不其然 = =：
(位置 C:＼RECYCLER 下)

之後我用複製功能，成功地把「wellss」資料夾整個copy出來放到桌面，不過若該檔案內容做過加密，
則得到的檔案內容則會毀損一去不回(順便告訴你，據我實測，連原始隱藏資料也被毀了)。

當然我想到如果沒有在 RECYCLER 下挖到檔案真身被隱藏的地方，我打算用 ProcessMonitor 直接監控它
的一舉一動，這麼一來把檔案移到哪個鬼地方、做了什麼動作都可以知道了。

※最後，送一張我先前在 K 板抓到的貓女圖：

註：關於 ADS 的資料，有興趣者可以到以下網站「就是資安」去查閱，有詳細說明過程及步驟：
簡單的說，它是 NTFS 檔案系統的秘技(其實就我所知其它檔案系統也具備此功能)，且少為人知，
可以在一個簡單的檔案中崁入另一個檔案或資訊，別說是一般的 EXPLORER 看不到，甚至是防毒軟
體也不會偵測出來。目前可以探知 ADS 的軟體就 Icesword、XueTr 等幾個核心層級工具，至於主流除
毒清理工具有 EFix、Combofix、HijackThis 等。
1) http://cyrilwang.blogspot.com/2009/06/alternate-data-streams.html
2) http://cyrilwang.blogspot.com/2009/06/alternate-data-streams_18.html

操作示範影片：

喜歡 8 收藏引用留言推上首頁檢舉

引用網址：https://home.gamer.com.tw/TrackBack.php?sn=728287
All rights reserved. 版權所有，保留一切權利

相關創作

同標籤作品搜尋：資料隱藏|WinMend Folder Hidden|XueTr|Wsyscheck|冰劍

Watermarking VS Data Hiding

UL日記之可惡想吃

留言共 13 篇留言

納蘭映雪：
頭香! ^^

07-28 09:54

無痕之音：
映雪好久不見，早安。07-28 10:05

電線怪：
好複雜的感覺...

07-28 10:32

無痕之音：
影片不好懂，看圖文說明的較直覺一點。07-28 10:40

雪原雪：
^_^

07-28 12:04

無痕之音：
雪妳的表情很好玩。07-28 12:33

俏皮小妖精：
無痕你想做什麼?

07-28 13:09

無痕之音：
單純有感而發，相信妳也有不想被人看的東西吧。07-30 01:04

夏美：
所以重點是在那張貓女圖? 其它看不懂呀~ ~

07-28 15:25

無痕之音：
嘿嘿，看不懂正好，因為這有關天機 (?)07-30 01:05

迪菲斯：
真危險阿= =

07-29 01:33

無痕之音：
這邊看的懂的大概就只有你一個了吧。我的文其實很簡單，請注意影片的操作過程。07-30 01:07

月君：
無痕放貓女,真新奇
這篇文我有看不太懂(掩面

07-29 17:32

無痕之音：
哪邊看不懂 = =? 好似我說的好深奧似的。07-30 01:07

迪菲斯：
意思應該是說

經過這個門以後
就再也回不到原來的樣子了...(?)

07-30 13:31

無痕之音：
誤解！
此門非彼門，一樣都可以回來。
這篇另一個暗示是說：只要有心，每個人都可以把檔案藏的莫測高深 (?)
但這是僅對於 ... 一般使用者而言啦。07-30 14:40

迪菲斯：
=口=
我覺得普通人是用這個以後
以為藏好了很開心
可是就再也找不到了

可是他幹嘛藏那邊阿...很危險耶
隱藏不是那樣隱的吧(?

07-30 14:51

無痕之音：
所以這是不傳之秘。
重要的東西跟垃圾一樣，多麼高明，但也多麼惡劣。
所以小迪你影片跟˙資安網站內容真有看懂嗎 = =?
不過我是覺得還好，保持秘密未嘗不好。
但是對於這種 '假隱藏軟體' 還是盡量避開為妙；
我寧可它藏到別的地方，且真的透過加密保護隱藏。

還有我要說一下，將檔案隱藏到哪是軟體設計者該關
心的事，就好比最近 autoit 跟某網友討論如何自動隔
一秒抓全螢幕存到指定目錄下(例：桌面＼EE或SYSTEM32＼EE)
，這不是使用者關心的事情，而是程式設計者的事。07-30 15:13

迪菲斯：
我承認這中間的確有誤解= =
不過我努力的把他看懂= =+
但影片上的東西有點不董

07-30 15:24

無痕之音：
你要照表操課阿。
不然光看影片怎麼會懂呢？

順便說一下，我把一個幾十MB的影片崁在 TXT 文字檔裡面
(ADS 內)，檔案大小還是幾十K，沒有改變。
但事實事該 TXT 純文字檔已經加入了影片，我試過 AVI 可以
用 Windows Media Player 微軟的播放軟體放，但 KMPlayer 不行。07-30 15:29

迪菲斯：
咦? 對了
那如果說把病毒放在TXT黨內..
然後散播...

顆顆..

07-30 15:43

無痕之音：
TXT 可以當 EXE 檔執行喔，例如小算盤... (欸)07-30 16:12

迪菲斯：
XD

07-30 16:15

無痕之音：
XD07-30 16:38