Alternate Data Stream Detektor [Release neue Version]
 

Hallo zusammen!

Da ich mich gerade mit ADS beschäftige, hier ein kleines Tool, welches bei meiner Arbeit entstanden ist. Der "Alternate Data Stream Detektor".
Das Programm ist vielseitig einsetztbar. Es ermöglicht Euch z.B. die bequeme Auffindung und schnelle Entfernung unerwünschter bzw. "suspekter" ADS.

Das Programm ermöglicht folgende Datei-Operationen mit ADS:

• Suchen
• Lesen
• Entfernen
• Kopieren
• Umbenennen
• Extraktion
• Erzeugung
• Hashing (Identifizierung via MD5, SHA-1)

Über Fragen, Hinweise, Anregungen und geg. Bugreports würde ich mich sehr freuen.

Features:

• Durchsuchen der Festplatte oder einzelner Verzeichnisse nach Alternate Data Streams
• Möglichkeit zur bequemen Entfernung von unerwünschten ADS
• komfortables Extrahieren (Speichern als normale Datei) und Umbenennen von ADS
• Entfernt auch ADS die an Verzeichnisse (z.B 'C:\Windows') oder direkt an das Rootlaufwerk angehängt sind
• Möglichkeit zum Ausblenden von Standard ADS des Betriebssystem's
• farbliche Kennzeichnung der gefundenen ADS nach ihrer Kathegorie
• Erkennung von ausführbaren ADS via Signatur
• Hexansicht & Ascii-Ansicht des Streams mit MD5 und SHA-1 Hash
• Automatischer Virencheck via Virustotal (Multi-Engine)
• Archivierung bzw. Quarantäne von unkekannten/verdächtigen ADS
• alternativer Suchalgorithmus via NTFS-MFT (Scan von versteckten Filesystemobjecten oder speziellen Systemordnern, z.B. Ordner der System-Wiederherstellung)

Vorraussetztungen:

• Win2000, WindowsXP, Vista
• Dateisystem NTFS ;) (Fat32 unterstützt keine ADS)
• aktive Onlineverbindung (bei Nutzung des Virustotal Onlinechecks)

getestet mit: Windows XP SP2

Anmerkungen:
Bevor ihr die Suche startet, solltet Ihr euren OnAccess-Virenscanner deaktivieren, da sich sonst die Dauer des Scanvorgangs, wegen der
ganzen Dateizugriffe signifikant erhöht. Falls Ihr den Virenscanner nicht deaktiviren wollt, so ist das auch kein Problem. Der Suchvorgang dauert dann nur etwas länger.

Danksagungen:
Hagen Reddmann für sein DEC
Alexander Freudenberg für NTFSQuery

Gruß Richard

Re: Alternate Data Stream Detektor [Release]
 

wo ist der Link oder der Anhang?

Re: Alternate Data Stream Detektor [Release]
 

hm..., sollte eigentlich alles da sein.

Gruß Richard

Re: Alternate Data Stream Detektor [Release]
 

nun ist der Anhang da.

Re: Alternate Data Stream Detektor [Release]
 

und das Bild bitte auch anhängen :-)
danke

Re: Alternate Data Stream Detektor [Release]
 

Das Bild ist doch da, sogar sehr groß...

Re: Alternate Data Stream Detektor [Release]
 

Es ist aber ein externes bild, welches im Text eingelagert wurde. je nach Browsereinstellungen wird es dann nicht angezeigt. Außerdem könnte es auf dem externen server entfernt werden und es belastet die leitung von Benutzern mit schmaler bandbreite. deshalb besser als Anhang einfügen.

Re: Alternate Data Stream Detektor [Release]
 

Hallo Richard,

ich hatte zuvor noch nie von ADS bei NTFS gehört. Habe eben zwar mal ein bischen
recherschiert und weiß jetzt, dass es vor allem Spyware benutzt.

Aber für welchen sinnvollen Zweck existieren diese ADS bei NTFS?
Welche "guten" Programme machen Gebrauch davon und in welcher Situation?

Würde mich mal interessieren...


Gruß
Pfoto

Re: Alternate Data Stream Detektor [Release]
 

Der Internet Exploiter speichert afaik in einem ADS, ob die Datei aus dem Internet heruntergeladen wurde, und Windows zeigt dann eine zusätzliche Warnung beim Starten der Anwendung an.

Re: Alternate Data Stream Detektor [Release]
 

Ebenso kannst du in einem ADS, zB. ":config" die Konfigurationsdatei deines Programms vor der Auslieferung speichern, die es dann extrahiert... Oder so.

Re: Alternate Data Stream Detektor [Release]
 

Es sind noch einige Verbesserungen geplant. Zum einen wird es einen Auswahldialog zum Scannen von unterschiedlichen Laufwerken bzw. Ordnern geben. Das Anlegen von ADS, Umbenennen usw. sowie Ausführlichere Protokollinformationen.

Gruß Richard

Re: Alternate Data Stream Detektor [Release]
 

Sorry, das hatte ich dann nicht richtig verstanden :oops: Du hast natürlich absolut Recht, zumal das Bild auch den Thread ein wenig "sprengt"...

Re: Alternate Data Stream Detektor [Release]
 

Diese Pauschalisierung ist Unsinn. Ich hoffe, das ist dir bewußt.

Re: Alternate Data Stream Detektor [Release]
 

Moin!

Neue Version ist hochgeladen. Die wichtigsten Neuerungen sind.
1. Laufwerksauswahl/Verzeichnisbrowser-Dialog für gezielte Suche in anderen Laufwerken/Verzeichnissen.
2. Extraktion und Umbenennen von ADS sind nun möglich.
3. paar kleine Bugs wurden gefixt.

Gruß Richard

Re: Alternate Data Stream Detektor [Release]
 

Hallo allerseits!

Habe eine neue Version hochgeladen. Das Update beinhaltet folgende Verbesserungen.

1. Such-Engine neu geschrieben. (Es werden jetzt ALLE Dateien durchsucht)
2. Scanvorgang wurde beschleunigt
3. Es werden jetzt auch ADS gefunden, die an Verzeichnisse angehängt sind. Diese können nun ebenfalls entfernt werden.

mfG Richard

Re: Alternate Data Stream Detektor [Release]
 

Hallo,

interessantes Programm, aber es fehlt was, oder?

Meldung nach Angabe des zu durchsuchenden Ordners:
---------------------------
Project1
---------------------------
AVI kann nicht geöffnet werden.
---------------------------
OK
---------------------------

Re: Alternate Data Stream Detektor [Release]
 

Jo geht mir genauso..welchen Ordner ich auch nehme, "AVI" kann er nicht öffnen.

Re: Alternate Data Stream Detektor [Release]
 

@All,

tut mir sehr leid, hatte den falschen Projectordner erwischt. Habe jetzt nochmal das richtige Project hochgeladen.

mfG Richard

Re: Alternate Data Stream Detektor [Release]
 

Sehr schönes Programm, aber natürlich auch noch 1-2 Fragen dazu:

1. Warum hast du die Farbe der Programmberfläche auf so ein Mint gesetzt anstatt sie auf clBtnFace stehen zu lassen?
2. Im "Verzeichnis auswählen"-Dialog werden nicht nur Ordner angezeigt sondern auch Archive. Ist das Absicht?

Ansonsten :thumb:

Re: Alternate Data Stream Detektor [Release]
 

WOW Genial das ist genau das was ich gesucht habe =)Wirklich gute Arbeit.
Wirst du das Tool OpenSource machen? Mich würde wirklich mal sehr interessieren wie man mit delphi nach ADS Dateien sucht.

LG
suni

Re: Alternate Data Stream Detektor [Release]
 

Hallo,

jetzt funktioniert es :thumb:

Ab Windows XP SP2 werden Dateien, die mit dem IE aus dem Inet heruntergeladen wurden, mit dem ADS Zone Identifier gekennzeichnet. Auch wird an die Thumbs.db der ADS :encryptable angehängt.

Wäre schön wenn diese ADS optional nicht mit erfasst würden, alternativ könnte eine Sortierung in der Anzeige mehr Übersicht verschaffen.

Re: Alternate Data Stream Detektor [Release]
 

Moin!

Neue Version ist hochgeladen. Verbesserungen:

1. standard ADS (welche z.B. vom Betriebssystem WinXP-SP2 verwendet werden) sind optional ausblendbar.
2. einige kleine Bugfixes und optische Änderungen

Gruß Richard

Re: Alternate Data Stream Detektor [Release]
 

Hallo Richard,

gutes Program, aber ich hab noch ein paar Verbesserungsvorschläge:

Das Hauptfenster sollte auf OnResize reagieren und die Größe des Fensters der gef. Files anpassen.
Anzeige einer Versionsnummer bzw. Datum
Was ist mit der Frage von suni:

Wir warten auf Antwort!

Gruß Fuchtel

Re: Alternate Data Stream Detektor [Release]
 

@Fuchtel

Das Programm ist Freeware, jedoch habe ich nicht vor, den Sourcecode zur Verfügung zu stellen. Ich verweise da mal auf einen DP-Kollegen.
Luckie entwickelt zur Zeit ebenfalls ein ADS Werkzeug das er als Open Source veröffentlichen will.

mfG Richard

Re: Alternate Data Stream Detektor [Release]
 

@All

Ich habe eine neue Version hochgeladen. Einige Bugfixes sind eingeflossen.
ADS werden jetzt nach ihrer Kathegorie farblich gekennzeichnet. Desweiteren ist es jetzt auch möglich Streams zu erzeugen.

kleiner Ausblick auf die nächste Version -> Derzeit arbeite ich daran Ausfürbaren Code in ADS zu erkennen.

Gruß Richard

Re: Alternate Data Stream Detektor [Release]
 

Den erkennt man relativ leicht. Die ersten 2 Bytes eine EXE Datei enthalten die Kennzeichnung "MZ". Aber es wäre viel interessanter auch andere binäre Dateien erkennen zu können. So macht es keinen Sinn angehängte Bitmaps als Text auszugeben. Oder anders ausgedrückt: Wie stellt man fest, ob es sich um Text handelt, den man dan auch ausgeben kann.

Re: Alternate Data Stream Detektor [Release neue Version]
 

@All

Habe eine neue Version hochgeladen. Neu sind unter anderem die Hashwertermittlung sowie die Executable Identifizierung und der Virustotal Check.
Natürlich sind wie immer viele kleine Verbesserungen mit eingeflosssen.

mfG Richard

Re: Alternate Data Stream Detektor [Release neue Version]
 

Filtert dein Programm eigentlich die "Standard"-ADS raus,
also die welche z.B. Windows für inige Dinge (Security und Co.) erstellt?

Weil wenn nicht, dann geht dein Programm bei mir nicht (Win XP SP2), denn es wird rein garnichts gefunden.

Ja und für Klein-Monitorbesitzer ist dasProgramm auch etwas schwer benutzbar ... ich darf jedenfalls mächtig hinundher scrollen.

Re: Alternate Data Stream Detektor [Release neue Version]
 

Also gefunden werden erst einmal alle ADS. Du kannst durch anhaken der Checkbox "Standard ADS ausblenden"
die Zone Identifier und Thumbnail ADS ausblenden.

mfG Richard

Re: Alternate Data Stream Detektor [Release neue Version]
 

;)

btw: Da gehört kein Apostroph hin (siehe "Besonderheiten")!

Re: Alternate Data Stream Detektor [Release neue Version]
 

OK, die Box hab ich jetzt gefunden (is bei dem kleinen Monitor halt nich so einfach),

Aber es kann doch nicht sein, daß bei mir daheim auf einem mehrere Jahre alten Windows nicht ein einziger ADS zu finden ist? :shock:

Selbst hier wurden nur 2 Kleine gefunden und einen den ich mit deinem Programm erstellt hab.


[ot] warum fangen jetzt eigentlich plötzlich alle mit ADS an?

Re: Alternate Data Stream Detektor [Release neue Version]
 

@All

Hab eine neue Version hochgeladen. Ein Bug in der Umbenennen Funktion im Zusammenhang mit der GUI wurde gefixt. Programm ist
jetzt an die an unterschiedliche Bildschirm-Auflösungen anpassbar. Also himitsu, nochmal testen!!! ;)
Habe die GUI-Farben auch mal etwas augenfreundlicher gestaltet.

Gruß Richard

Re: Alternate Data Stream Detektor [Release neue Version]
 

Hab das auch mal gerade getestet und zwei Fragen:

• Wie kann es sein, dass auf einem Recht frisch aufgesetzten System (letzten Sonntag) ADS aus dem Mai diesen Jahres und sogar einer aus dem letzten Jahr existieren? (Eventuell versteh ich das Konzept der ADS auch nicht richtig ;-) )
• Ich hatte ursprünglich vier items in der Anzeige, dann habe ich auf die Checkbox geklickt und es waren noch dreil. So weit korrekt, nur nach dem ich den Haken wieder entfernt habe, wurde der vierte nicht wieder angezeigt

Ansonsten aber alles Ok, vor allem die Geschwindigkeit ist super :thumb:

Re: Alternate Data Stream Detektor [Release neue Version]
 

@Thanatos81

Es handelt sich dabei um den Zeitstempel der Datei an den der entsprechende ADS angehängt ist.

mfG Richard

Re: Alternate Data Stream Detektor [Release neue Version]
 

Ah! OK so macht das Sinn :D

Re: Alternate Data Stream Detektor [Release neue Version]
 

Jupp, ADS haben keine eigenen Zeitstempel und auch keine Attribute ... über sowas verfügen nur die Dateien, wo der ADS rangehängt ist.

Also laut jetzt geht überhaupt nichts mehr :shock:

siehe angehängte Bildchen

ich würd mal denken die Unit in dem ZIP könnte besser gehn (wenn alles gut geht, dann bräuchtest du eigentlich nur mal due DFM in deinem Projekt ersetzen)

Re: Alternate Data Stream Detektor [Release neue Version]
 

@All

Habe eine neue Version hochgeladen. Darstellung nach Vergrößern bzw. Verkleinern wurde verbessert. Anchors werden genutzt!
Die standard ADS werden jetzt bei Wunsch, nach dem Ausblenden, auch wieder korrekt eingeblendet. (über die entsprechende Checkbox)
Dank an Thanatos81 für den Hinweis.

in Entwicklung

1. Archivierung bzw. Quarantäne von ADS (Ausführbare ADS werden durch Verschlüsselung unbrauchbar gemacht und in Container-Objekten gespeichert)
2. Verschmelzen von ADS


mfG Richard

Re: Alternate Data Stream Detektor [Release neue Version]
 

Hallo - ich bin neu hier ! Eigentlich war ich auf der Suche nach einem neuen, funktionellen ALTERNATE-DATA-STREAM - Entferner. Seit Lavasoft den Support für sein "Ad-Aware Personal SE" am 31.12.2007 eingestellt hat, welches noch ADS suchen und eleminieren konnte (der neue Lavasoft-Jäger verfügt nicht mehr über den kompletten Sucher/Vernichter-Standard), wird es zunehmend schwerer Gleichwertiges (inkl. Such- und Löschfunktion) im Freeware-/LowBudget-Bereich zu finden.

Mein alter, australischer Parasitensucher "TDS-3 Trojan Defence Suite", leider eingestellt und nur noch bei einigen Portalen downloadbar, war schon bzgl. ADS-Erkennung nicht schlecht. Ähnlich funktioniert der noch heute erwerbbare "TrojanHunter 5.0", wenn man ihn mit allen Plugins scharf macht, jedoch für lau machte es eben noch das alte "Ad Aware SE"..Aus obigem Grunde nun dem Schöpfer des hier downloadbaren ADS-Jägers Anerkennung und Dank.

SITTING-BULL
Übrigens, wer´s noch nicht wußte, jeder Favoriten-Klick und zuweilen auch ein Download mit dem neuen Internet-Explorer 7 (IE7) wird mit einem angehefteten (ADS) Stream belohnt.

Welches ist nun die neuste Version ?

Re: Alternate Data Stream Detektor [Release neue Version]
 

Schnell noch eine Frage...Ist es Ihnen/Dir recht, wenn ich in anderen Foren über Ihren/Deinen ADS-Sucher/Zerstörer schreibe und den Link hierher weitergebe ?

SITTING-BULL

Re: Alternate Data Stream Detektor [Release neue Version]
 

Das ist nichts neues. Damit markiert der IE nur, wohr die Datei kam um bei einer Exe einen entsprechenden Hinwis anzeigen zu können, wenn man sie zum ersten mal ausführt.