Dans ce cas, tout ce qui a été fait était de créer à l’intérieur du fichier image, une archive de winrar avec ce que vous voulez à l’intérieur.

Il est clair que la taille de ce fichier.jpg devient plus grande en fonction du nombre de fichiers qu’il contient et pour l’ouvrir, faites simplement « Ouvrir avec… » et choisissez Winrar.

Mais les virus ne se cachent pas comme ça, non seulement il serait facile de le trouver, mais une archive .rar de celui-ci est complètement inoffensive, il n’ouvre rien en mémoire et n’active aucun processus.

Ils sont appelés ADS (Alternate Data Stream) ces fichiers qui sont cachés dans un autre fichier, sans changer sa taille et restant complètement cachés de la vue de Windows .

Lorsque vous ouvrez et exécutez un fichier contenant un ADS, vous l’activez et lancez le programme ci-dessous.

Dans cet article nous voyons comment vous pouvez facilement créer, avec votre PC, un ADS et cacher n’importe quel fichier à l’intérieur d’un autre afin que, lorsque vous exécutez ce dernier, l’ADS soit activé à sa place.

1) Ouvrez l’Explorateur Windows, allez sur le disque C : et créez un nouveau dossier que nous pouvons appeler « Ads ».

2) A l’intérieur, pour essayer l’expérience, créez un nouveau fichier texte et appelez-le « test.txt » et copiez une photo ou une image qui est sur votre ordinateur et que vous pouvez renommer en image_test.jpg.

3) Ouvrez l’invite de commande dans Star — Programs — Accessories ou allez dans Start — Run — et écrivez « cmd ».

4) Maintenant écrivez cd ads pour entrer, via Dos, dans le dossier créé auparavant.

5) Pour créer un ADS élémentaire et commencer à comprendre ce qu’ils sont, vous pouvez écrire « echo Ciao bello test.txt:testonascosto.txt » ; vous pouvez voir qu’aucun fichier n’a été ajouté dans le dossier des annonces.

Voir aussi :  5 façons de capturer du texte à partir d'images PC

6) Ecrivez à l’invite « notepad test.txt:testonascosto.txt » et comme par magie vous ouvrez le bloc-notes avec le texte écrit avant ; en fait a été caché quelque chose écrit qui reste invisible sur l’ordinateur si pas exécuter ce type de commandes.

Si la curiosité commence à chatouiller l’esprit de pirate qui est en chacun de nous, allons de l’avant et voyons ce que nous pouvons faire d’autre.

7) Si cacher un texte ne peut être utile qu’aux espions de la CIA, un hacker peut penser à utiliser cette technique pour cacher un mauvais fichier dans un bon.

Dans le dossier Ads, pour faire une expérience pratique, vous pouvez copier le fichier calc.exe qui se trouve dans le dossier système Windows et qui sert à ouvrir la calculatrice normale.

Pour copier le fichier dans le dossier Ads, tapez simplement « copy C:windowssystem32calc.exe c:ads » à l’invite de commande.

8) Maintenant vous pouvez insérer le fichier image_test.jpg que nous avions pris avant et qui devrait toujours être dans le dossier Ads, dans le fichier calc.exe.

Pour faire cette infiltration il faut écrire sur la fenêtre noire du DOS que nous n’avons jamais fermé jusqu’à présent : « tapez image_test.jpg calc.exe:image_test.jpg ».

9) Résultat : si vous démarrez le fichier calc.exe, rien d’étrange ne se produit ; si vous démarrez à partir de dos le fichier calc.exe en écrivant ceci : start ./calc.exe:image_test.jpg ou start C:adscalc.exe:image_test.jpg (vous avez toujours besoin du chemin complet), vous ouvrez l’image choisie et non la calculatrice ; si vous supprimez le fichier image_test du répertoire Ads, le résultat ne change pas.

Voir aussi :  Extraire de l'audio de la vidéo rapidement et facilement

Cela signifie que le fichier jpg a été caché dans le fichier calc.exe, n’est plus visible, la taille de calc.exe n’a pas changé et rien n’indique la présence du Data Stream.

Contrairement à la méthode utilisée avec Winrar, cette fois, il n’y a pas d’archive et le fichier caché est activé et exécuté lorsque vous démarrez l’hôte en fait, en cliquant sur le fichier calc.exe du dossier ouvert, l’image n’apparaît pas.

Vous pouvez aussi cacher les fichiers dans un dossier qui apparaîtra vide par erreur.

10) Vous pouvez créer un nouveau dossier dans Ads et l’appeler Ads2 puis à partir de Dos, écrire cd Ads2 et taper la commande « type c:adscalc.exe :pippo.exe » ; le fichier calc.exe est dans le dossier Ads2 mais vous ne pouvez le voir, ni avec la commande « dir » qui affiche les fichiers dans les annuaires, ni en y allant explore les ressources par le graphique normal.

Ce sont des trucs assez anciens, mais pour beaucoup d’entre eux, ils sont inconnus aussi parce qu’en fait, ils n’ont pas d’utilité réelle, du moins pour les utilisateurs normaux ; ils sont les mauvais pirates qui les exploitent et, dans le passé, ont fait beaucoup de dégâts en utilisant le Data Stream.

Imaginez en fait que, dans notre exemple ci-dessus, au point 8, au lieu d’un fichier image normal et inoffensif, avait caché dans la calculatrice, un vrai virus, serait une douleur.

Si le vrai virus est appelé, par exemple svchost.exe qui est présent plusieurs fois dans le gestionnaire de tâches, alors il serait vraiment difficile à trouver.

Cela ne s’arrête pas là, parce qu’un expert hacker sait que des programmes comme la calculatrice ou le bloc-notes sont toujours dans le chemin C:WindowsSystem32 donc, potentiellement, il pourrait aller corrompre ce fichier, sans avoir à en créer de nouveau.

Voir aussi :  Logiciel de numérisation chargé depuis votre ordinateur au démarrage avec HiJackthis

Encore une fois, sans déranger les virus, vous pourriez cacher un fichier de 10 Go dans un fichier de 10 Ko et, sans comprendre pourquoi, vous pourriez vous retrouver avec votre PC verrouillé et sans espace supplémentaire.

Heureusement, ces problèmes de sécurité sont largement surmontés, le virus antivirus trouve des virus cachés à la volée et il est peu probable qu’il subisse une attaque de ce type si vous êtes protégé.

La seule recommandation que j’ai à faire est que, vu la facilité avec laquelle vous pouvez créer un fichier malveillant de cette façon, vous ne devriez accepter aucun fichier provenant d’étrangers, peut-être envoyé par MSN ou par e-mail, même s’il s’agit de photos, images, musique, fichiers texte ou autre chose.

Pour l’enregistrement, ADS ne fonctionne que sur les partitions de disque NTFS et non sur FAT32. Pour supprimer un fichier ADS, vous pouvez soit supprimer celui qui l’héberge en le supprimant, soit le déplacer sur une partition FAT32.

Il existe des outils qui parviennent à localiser les flux de données, et le meilleur est le fameux Hijackthis que nous avons déjà rencontré plusieurs fois dans ce blog.

Sur Hijackthis, en ouvrant « Misc Tools » il y a un utilitaire appelé « ADS Spy » qui scanne les flux et, si vous voulez les supprimer mais, honnêtement, ce serait juste un zèle excessif pour la sécurité car tant d’ADS sont utiles à Windows et vous risquez de faire du mal.