Alternate Data Streams

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten auf deiner Diskussionsseite.

Alternate Data Streams (zu deutsch: Alternative Datenströme), kurz auch ADS, sind eine spezielle Funktion des NTFS-Dateisystems. Diese ermöglichen es, Daten vom Benutzer unsichtbar fest an eine Datei gebunden zu speichern.

[Bearbeiten] Verwendung

Windows 2000 und Windows XP verwenden ADS-Unterdatenströme zur Speicherung von Vorschaubildern, zur Speicherung der in der Eigenschaftseite jeder Datei verfügbaren Metadaten und je nach Anwendung noch deutlich mehr. Unter Windows XP (ab Service Pack 2) wird außerdem ein sogenannter Zone Identifier gespeichert, der es ermöglicht, auch im Nachhinein Dateien zu erkennen, die aus dem Internet heruntergeladen wurden. Beim Herunterladen fügt der Internet Explorer die entsprechenden Informationen hinzu.

[Bearbeiten] Konzept

Zu jeder Datei können beliebig viele Unter-Streams gespeichert werden. In der Praxis heißt das, dass man jeder Datei beliebig viele andere Dateien zuweisen kann, die nicht sichtbar sind, aber - solange der Vorgang innerhalb von NTFS-Laufwerken stattfindet - zusammen mit der Datei verschoben und kopiert werden. Der Zugriff auf die versteckten Dateifragmente findet mit einem Doppelpunkt statt: beispiel.txt:meinedatei.txt kennzeichnet einen zu der Datei beispiel.txt gehörigen Datenstream namens meinedatei.txt. Neben Dateien können auch Ordner zusätzliche Datenströme enthalten, was das Auffinden von ungewollten ADS erschwert.

Neben dem NTFS-Dateisystem enthält auch das HFS unter Mac OS ein Konzept, um zu einer Datei mehrere Datenströme zu speichern. Die dortigen Resource Forks sind aber anders als die Windows-ADS ein in der Mac-Welt allgemein bekanntes und (zumindest vor Mac OS X) vielgenutztes Konzept; sie sind auch leicht und problemlos aufzufinden.

[Bearbeiten] Sicherheit

Da die ADS-Ströme für den Benutzer unsichtbar sind und noch nicht alle Antivirenprogramme in der Lage sind, die ADS zu durchsuchen, können Viren diese Funktion ausnutzen.
Daten in ADS sind genau wie normale Dateien ausführbar. Im Autostart können solche ausführbaren Daten mit einem start-Kommando ausgeführt werden.
Beim sicheren Löschen von Dateien, also bei mehreren Überschreibvorgängen (Beispiel: Gutmannverfahren) müssen ADS-Ströme auch berücksichtigt werden.
Beim Übergang zum Betriebssystem Windows Vista hat Microsoft aus Sicherheitsgründen die Verwendung von ADS-Strömen stark eingeschränkt.

[Bearbeiten] Beispiel

[Bearbeiten] Erzeugung eines ADS

Im DOS-Kommandozeileninterpreter erzeugt folgende Kommandozeile eine Datei myfile.txt mit einem ADS mit dem Namen myads.txt und dem Inhalt "Wikipedia":

> echo "Wikipedia" > myfile.txt:myads.txt

Auch ausführbare Dateien (hier der Windows Taschenrechner) lassen sich in ein ADS schreiben (hier in den ADS des Dateiverzeichnisses Windows):

> type C:\Windows\system32\calc.exe > C:\Windows:bad.exe

[Bearbeiten] Anzeige eines ADS

Der Inhalt kann folgendermaßen angezeigt werden:

> notepad myfile.txt:myads.txt

[Bearbeiten] Ausführen eines ADS

Um die Datei zu starten, genügt die folgende Eingabe:

> start C:\Windows:bad.exe

[Bearbeiten] Entfernen eines ADS

Das Entfernen eines ADS ist umständlich, weil der delete-Befehl (del) für ADS nicht funktioniert. Daher können auf einfache Weise auch nicht einzelne, sondern nur alle ADS entfernt werden:

> type myfile.txt > myfile.bak

> del myfile.txt

> ren myfile.bak myfile.txt

Ansonsten kann eine Datei mit ADS zu einem anderen Dateisystem (zum Beispiel FAT32) und zurück kopiert werden, wenn das andere Dateisystem ADS nicht unterstützt.