Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji
Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Sprytne ukrywanie danych wewnątrz innych plików, czyli praktyczne wykorzystanie strumieni w NTFS

Z racji tego, że jest to mój debiut na blogu dobrychprogramów chciałbym na wstępie się z Wami przywitać i zaprosić do lektury mojego pierwszego wpisu.

Istnieją różne sposoby na ukrycie danych (np. zdjęć, filmów) przed niepowołanymi osobami. Niektórzy umieszczają je gdzieś głęboko na dysku gdzie nikt nie zagląda, inni umieszczają je w szyfrowanych kontenerach np. tworzonych w programie TrueCrypt, jeszcze inni umieszczają je w chmurach internetowych. W tym wpisie pokażę nieco inny sposób na ukrycie swoich danych. Jest on szybki oraz dość skuteczny. Dzięki wykorzystaniu obsługi strumieni w systemie plików NTFS sporządzimy plik, który będzie wyglądał jak dokument Worda tzn. będzie posiadał rozszerzenie .doc lub jak kto woli .docx. Po dwukrotnym kliknięciu zostanie otwarty w edytorze tekstu i będzie posiadał zawartość typową dla dokumentu Worda, ale gdy zostanie otwarty w programie graficznym, pojawi się... ukryty obrazek który nie będzie widoczny w edytorze tekstu. Oczywiście jest to tylko jeden z przykładów. Nic nie stoi na przeszkodzie aby stworzyć sobie plik JPG który zawiera w sobie film, a nawet plik HTML który zawiera archiwum skompresowane .zip. Możliwości są praktycznie nieograniczone, jedynym ograniczeniem jest to, że można ukrywać pliki wykonywalne .exe wewnątrz innych plików, ale tak ukrytych plików nie można uruchamiać.

Dlaczego mój pierwszy wpis jest właśnie o tym? Otóż w internecie niewiele się o tym mówi, niewiele jest artykułów na ten temat i myślę, że są tutaj osoby które o tym nie wiedzą, a może im się to przydać. Zatem kończymy wstęp i do dzieła!

Przygotowanie

Na poniższym zrzucie widzimy zawartość folderu "test" utworzonego na pulpicie. Znajduje się tam dokument Worda oraz obrazek zawierający domyślną tapetę Windowsa XP.

Ukryjemy teraz obrazek wewnątrz dokumentu Worda.W tym celu:

1. Otwieramy Wiersz Polecenia
2.Przechodzimy do katalogu gdzie są nasze pliki (w naszym przypadku folder "test"
3.Wklejamy komendę:

type xxx > yyy:zzz gdzie:

xxx - nazwa pliku który MA BYĆ UKRYTY, czyli w naszym wypadku nazwa pliku ze zdjęciem
yyy - nazwa pliku W KTÓRYM UKRYWAMY plik xxx
zzz - wymyślona przez nas nazwa. Za pomocą powyższej komendy w pliku yyy tworzymy strumień i przez zzz oznaczone jest miejsce gdzie wpisujemy nazwę tego strumienia

W sposób praktyczny zobrazowałem to poniżej:

W pliku "tekst.doc" utworzyłem strumień "ukryte.jpg" i do niego wrzuciłem zawartość pliku "idylla.jpg".

To wszystko! Plik idylla.jpg może już zostać usunięty, ponieważ jest ukryty wewnątrz dokumentu Worda.

Co dalej?

Zobaczmy, jak teraz wygląda nasz dokument:

Jak widać, dokument pozostał tak jak jest, lecz jest jeden ważny szczegół. Skoro w jednym pliku podobno ukryliśmy właśnie drugi, to czy nie powinien on mieć teraz większego rozmiaru? Zgadza się. Plik ma większy rozmiar ale Eksploator Windows nam tego nie pokaże. Pewnie chcielibyście wiedzieć co z tym obrazkiem, jak się do niego dostać? Otóż wystarczy jedna komenda w cmd:

Jak widać powyżej, oryginalny plik idylla.jpg został właśnie usunięty, jednak za pomocą jednej komendy wiersza poleceń można wydobyć go z pliku .doc i wyświetlić np. w programie Paint. Ogólnie komenda otwierająca ukrytą zawartość pliku ma postać:

nazwa_programu nazwa_pliku:nazwa_strumienia

Nic nie stoi na przeszkodzie aby stworzyć wiele strumieni w jednym pliku, czyli zrobić plik będący jednocześnie dokumentem, zdjęciem, filmem, piosenką, i czymś jeszcze.

Jak zdemaskować ukryte pliki?

Wiemy już, że pliki z ukrytą zawartością zwiększają swój rozmiar, ale Eksploator Windows tego nie pokazuje, to kryterium więc odpada. Jednakże są sposoby na zdemaskowanie takich plików. Najprościej wejść we właściwości podejrzanego pliku:

Pole "rozmiar" pokazuje nam wielkość danych jakie są dla nas widoczne po zwykłym dwukrotnym kliknięciu, natomiast pole "Rozmiar na dysku" pokazuje nam rozmiar całego pliku ŁĄCZNIE z ukrytą zawartością. Jeśli wskazania tych dwóch pól się niezbyt pokrywają, możemy podejrzewać że w pliku są dodatkowe strumienie. Co jednak zrobić jeśli chcemy być tego pewni, a nawet chcemy poznać nazwy strumieni w celu dotarcia do ukrytych danych? Jest to równie proste. Dodanie przełącznika /R do komendy dir w wierszu poleceń spowoduje że zdemaskujemy wszystkie pliki w danej lokalizacji.

Myślę, że po lekturze tego wpisu wiecie już dlaczego dwukropek jest znakiem zabronionym w nazwie pliku oraz jaka jest różnica pomiędzy "rozmiarem" a "rozmiarem na dysku" :)

Dziękuję za czas poświęcony na przeczytanie wpisu. 

windows porady

Komentarze

0 nowych
ygyfygy   5 #1 23.08.2015 11:26

Ciekawe dlaczego chowasz niektóre zdjęcia i filmy ;)

Ernest Magnus   8 #2 23.08.2015 11:53

Łaaa.... ale fajna sztuczka :) Dobry wpis - gratuluję!

wojtekadams   18 #3 23.08.2015 12:15

Muszę przyznać, że o tym nie słyszałem :)

  #4 23.08.2015 13:49

A co z innymi systemami plików, np. FAT, UDF czy ext4? Nie ma problemów z umieszczaniem na nich takich plików?

AntyHaker   20 #5 23.08.2015 13:59

Nie wydaje mi się, żeby było to jakoś szczególnie praktyczne rozwiązanie - niemniej może się kiedyś przydać ^^

snajper___   3 #6 23.08.2015 14:49

zrobiłem test pod XP. Plik 1: .txt (5 KB), plik 2: .jpg (603 KB). Wszystko ładnie pięknie, tyle że po całej operacji właściwości pliku txt pokazują:

Rozmiar: 4 534
Rozmiar na dysku: 8 192

A komenda type xxx.txt:blabla otwiera ukryty obrazek.
medżik? :P

kuba3351   10 #7 23.08.2015 14:57

@snajper___: Jeśli chodzi o Windowws XP, to wiem, że również obsługuje strumienie, bo ma NTFS, ale jak się tam zachowuje eksploator, czy właściwości pliku to się nie orientuję, bo ten system się bardzo różni od Windows 10 :) Ale na Windows 8 oraz Windows 7 powinno być tak jak u mnie :)

maciek03   9 #8 23.08.2015 20:28

nawet dobry i ciekawy wpis, oby więcej takich

kuba3351   10 #9 24.08.2015 13:31

@Anonim (niezalogowany): To jest bajerktóry działa tylko na ntfs

nintyfan   11 #10 24.08.2015 16:34

Stare sztuczki. Kiedyś wirusy to wykorzystywały. Nie wiem czy obecnie wszystkie antywirusy sobie z tym radzą.

nintyfan   11 #11 24.08.2015 16:42

Czym taki plik się różni od zwykłego pliku, poza tym,, że nie jest widziany przez eksplorator?

Nadmienię jeszcze, że NTFS rozróżnia wielkość znaków. Możemy spod Linuksa utworzyć plik o nazwie innego pliku, jednak z inną wielkością znaków, a np. próba usunięcia szkodnika spowoduje usunięcie oryginalny/normalny plik.

TadueusTaD   8 #12 25.08.2015 13:00

W temacie polecam stary już, ale ciekawy artykuł Grzegorza Niemirowskiego: https://technet.microsoft.com/pl-pl/library/ntfsologia-cz-3-ntfs-w-praktyce.aspx#1

SMDOBPRO   4 #13 09.09.2015 23:00

Wpis ciekawy.Ukrywanie plików w pliku to żadne novum,był nawet taki programik do robienia takich myków na win98 (chyba) Camuflage się toto nazywało mam gdzieś jeszcze w archiwach na dysku.
Zrzuty:
http://forum.dpcdn.pl/uploads/gallery/category_20/gallery_64819_20_62486.jpg
http://forum.dpcdn.pl/uploads/gallery/category_20/gallery_64819_20_30136.png

Jaro070   16 #14 19.09.2015 23:08

Fajny trick. Na pewno kiedyś go wykorzystam.

PS Witaj na blogach ??

Kotletor   7 #15 21.08.2017 14:52

@ygyfygyora bloga: dwukropek nie jest zabroniony w nazwie ze względu na wyodrębnianie strumienia, lecz z powodu użycia dwukropka do wyodrębnienia nazwy dysku, np. C: . a co do strumienia, nie widzę realnego zastosowania. zaś ukrywanie nawet dla niekumatego jest do wytropienia, choćby przez analizę powierzchni dysku sektor po sektorze. jedynym skutecznym sposobem jest szyfrowanie, albo ........ jak już ukrywamy, to ingerencja w firmware dysku aby ten zapisywał dane na rezerwowych sektorach, i zablokował przed zmapowaniem.

aha i jeszcze inna ciekawostka. w starym HP-UX, system plików pozwalał na nadanie katalogowi specjalnego trybutu "jestem plikiem wirtualnym". w środku musiał się znaleźć plik o nazwie default, ale też mogły być tam inne pliki. na zewnątrz katalog był pokazywany jak zwykły plik, to też taka forma "strumieni". po co to w windows? nie wiem. ale w tym HP-UX było to używane, aby zaprezentować dany plik konfiguracyjny o różnej treści dla różnych urządzeń. np. terminal X11 mógł mieć zamontowany ten sam system plików, ale np. konfiguracja hostname każdemu z nich była podawana inna, bo były używane owe "strumienie".

chciałbym wiedzieć po co coś takiego windowsowi.
teoretycznie w tych "strumieniach" można by trzymać poprzednie wersje plików :) ale czy taki windows update to robi? czy jakikolwiek inny soft to robi? zresztą to jest słabe rozwiązanie, bo kasując plik kasujemy go wraz ze strumieniami, czyli przepadają wszystkie wersje. w tej roli o wiele lepiej się sprawdzają snapshoty, a najlepiej takie zintegrowane z systemem plików, jak np. w BTRFS (niestety redhat oficjalnie zaprzestał rozwoju), lub ZFS który jest zdaje się najdojrzalszym tego typu rozwiązaniem.

Autor edytował komentarz w dniu: 21.08.2017 15:00

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.