View Full Version: TOOLS :::> Alternative NTFS Datenströme erkennen löschen

freelancer >>SECURITY : Antivirus + Antitrojan + Antispyware >>TOOLS :::> Alternative NTFS Datenströme erkennen löschen


<< Prev | Next >>

^L^- 04-20-2008
TOOLS :::> Alternative NTFS Datenströme erkennen löschen
TOOLSAMMLUNG & SAMMELTHREAD :::> Alternative NTFS Datenströme (ADS) erkennen anzeigen exportieren editieren löschen etc. StreamFinder (Anbieter: Werner Rumpeltesz - AUSTRIA) DD: Jul 2007 - 230 KB - Deutsch - USB Portable Standalone (.rar) - Freeware OS: Windows NT 4 2000 XP 2003 Vista HP: http://www.gaijin.at/dlstreamfind.php DL: http://www.gaijin.at/download/streamfinder.rar SS: http://www.gaijin.at/zpicview.php?image=images/scr_streamfind.gif&title=StreamFinder StreamFinder durchsucht Partitionen und Ordner nach Dateien mit alternativen Datenströmen (ADS). - Die Streamliste kann als CSV-Datei exportiert werden. - Die Suchoptionen werden bei Beenden gespeichert und beim nächsten Programmstart wiederhergestellt. - Einzelne Streams können gelöscht werden - Streams können in eine Datei gespeichert (exportiert) werden. Alternative Datenströme (ADS) http://www.gaijin.at/manstreams.php Das Dateisystem NTFS ermöglicht das Speichern von Daten in alternativen Datenströmen (auch Data-Streams, Alternate Data Streams bzw. ADS). Mit solchen Data-Streams lassen sich Daten so in einer Datei verbergen, dass diese für den Windows Explorer nicht sichtbar sind. Allerdings gibt es bereits Programme, die solche Data-Streams anzeigen und löschen können. Darunter auch das Programm "Streams" von www.sysinternals.com. ________________________________________________________________________________________________ ADS-Aufspürer (Autor: Safer Networking Limited - GERMANY) OS: Windows NT 4 2000 XP 2003 Vista HP: http://www.safer-networking.org/de/tools/tools_ads.html Dieses kleine Werkzeug kann benutzt werden, um alternative Datenströme (ADS) aufzufinden. ADS ist eine Technologie die verwendet wird, um zusätzliche Informationen direkt bei den betroffenen Dateien zu speichern, und wird vom System selbst bereits zu legitim Zwecken benutzt. Deshalb sucht dieses Werkzeug nur nach benutzerdefinierten ADS-Einträgen, wie sie manchmal von Spyware, Malware und Viren verwendet werden. Wichtiger Hinweis: wenn sie mit diesem Werkzeug die komplette Festplatte durchsuchen lassen, kann dies einige Minuten dauern, in denen das Programm kaum zu reagieren scheint (es gibt für jede Datei auf ihrer NTFS-Partition üblicherweise mindestens 3 ADS-Einträge, die durchsucht werden müssen). Bitte haben sie ein wenig Geduld. ________________________________________________________________________________________________ LADS (List Alternate Data Streams) (Anbieter: Frank Heyne - GERMANY) DD: Jan 2007 - 35 KB - Deutsch - Standalone (.zip) - Personal Freeware OS: Windows NT 4 2000 XP 2003 Vista HP: http://www.heysoft.de/Frames/f_sw_la_de.htm DL: http://www.heysoft.de/nt/lads.zip FAQ: Alternative Datenströme in NTFS http://www.heysoft.de/Frames/f_faq_ads_de.htm Mit diesem Programm können Sie die alternativen Datenströme, die es im Dateisystem NTFS gibt, anzeigen lassen. Wahlweise werden die Unterverzeichnisse auch rekursiv aufgelistet sowie die Summe der Dateigrößen im Verzeichnis(baum) ausgegeben. Seit Version 2.10 kann LADS auch die ADS von verschlüsselten Dateien auflisten, selbst wenn diese mit einer anderen Installation von Windows 2000 verschlüsselt wurden! Seit Version 3.20 können Sie LADS anweisen, ADS mit beliebig vielen Namen nicht anzuzeigen. Das ist nützlich, wenn Sie eine bestimmte AV-Software verwenden, die an jede überprüfte Datei einen ADS anhängt. Mit Hilfe des Schalters /X können Sie in solchen Fällen verhindern, daß Sie die riesige Liste der gleichnamigen ADS angezeigt bekommen. Ebenfalls seit Version 3.20 können Sie die Programmparameter in eine Konfigurationsdatei auslagern, was beim wiederholten Aufruf des Programms Tipparbeit erspart. Seit Version 4.00 spuckt LADS nur noch lange Fehlerbeschreibungen bei fehlgeschlagenen Zugriffen auf gescannte Dateien aus, wenn Sie explizit die Option /V angeben. Das Scannen von Verzeichnissen im Netzwerk ist jetzt ebenfalls möglich, wenn Sie diese als UNC-Pfad angeben. Seit Version 4.10 kommt LADS auch mit den symbolischen Links von Windows Vista klar. Übrigens gibt es in Vista den Befehl dir /r ;-) Weitere Einzelheiten zum Programm finden Sie in der mitgelieferten Dokumentation. ________________________________________________________________________________________________ Welche Möglichkeiten stellt Microsoft bereit, um alternative Datenströme auf meinen NTFS-Medien aufzuspüren? Erwarten Sie das? Sie irren nicht ;-) Besuchen Sie http://msdn.microsoft.com/library/en-us/dnfiles/html/ntfs5.asp Neben Hintergrundinformationen und Beispielcode finden Sie dort auch einen Download NTFSext.exe, der unter anderem die Datei strmext.dl. enthält. Befördern Sie diese Datei in des Verzeichnis system32 und rufen Sie folgenden Befehl auf: regsvr32 StrmExt.dll Jetzt haben Sie in den Dateieigenschaften des Windows-Explorers einen zusätzlichen Tab Streams. Er hilft nicht viel bei der Suche nach Dateien mit ADS, aber wenn Sie bereits eine solche Datei kennen, ist er ganz hilfreich. Um den Tab auch für Verzeichnisse anzeigen zu lassen, müssen Sie den folgenden Registrierungsschlüssel anlegen: HKEY_CLASSES_ROOT\Directory\shellex\PropertySheetHandlers\{C3ED1679-814B-4DA9-AB00-1CAC71F5E337} Um den Tab auch für Root-Verzeichnisse anzeigen zu lassen, müssen Sie den folgenden Registrierungsschlüssel anlegen: HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{C3ED1679-814B-4DA9-AB00-1CAC71F5E337} Aber auf meinem NTFS-Laufwerk ist die angezeigte Summe von verfügbarem und belegtem Speicher viel geringer als die Festplattengröße. Ich benötige eine Möglichkeit festzustellen, ob hier ADS vorhanden sind! Ich habe das Freeware-Programm LADS (List Alternate Data Streams) geschrieben. Damit können Sie ein Laufwerk oder ein Verzeichnis nach alternativen Datenströmen durchsuchen. LADS listet die Namen und Größen aller ADS, die es findet. Sie können hier die aktuelle Version von LADS herunterladen. http://www.heysoft.de/nt/lads.zip Das Programm ist Freeware und ohne Garantie. Es wird aber seit Monaten von mehreren tausend Anwendern heruntergeladen und bisher wurden keine Fehler gemeldet. Die Verwendung des Programms geschieht trotzdem auf Ihr eigenes Risiko. Gefahr aus der Schattenwelt Alternate Data Streams als Versteck für Schädlinge Microsofts NTFS-Dateisystem speichert zusätzliche Informationen in Alternate Data Streams, die man mit Windows-Bordmitteln schwer sichtbar machen kann. Auch Schädlinge können sich in solchen Streams verstecken, denn nicht alle Virenscanner erkennen Malware in Streams zuverlässig. http://www.heise.de/security/artikel/52139 http://www.heise.de/security/artikel/52139/1 ________________________________________________________________________________________________


Forumer™ is Voted #1 Free Forum Hosting provider
Build your own community today with the largest message board hosting company.