+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الهندسة العكسية المتقدمة - Advanced RCE (https://www.at4re.net/f/forum-26.html)
+--- الموضوع : نظره علي Ntfs Alternate Data Stream (/thread-433.html)
نظره علي Ntfs Alternate Data Stream - MountLegacy - 09-12-2018
السلام عليكم ورحمة الله وبركاته
سنتكلم عن موضوع Ntfs Alternate Data Stream
بطريقه سهله مبسطه
الـNTFS هو نظام للملفات يقوم الويندوز لتخزين الملفات أو للتعامل معها بشكل عام
ما يهمنا هو كيفيه التعامل مع الملفات مثل التخزين والكتابه
فينقسم الي نوعين نوع التخزين المباشر وهو العادي الذي نقوم بالتعامل معه في كل مره نتعامل معها بشكل عادي
فمثلا اذا قمت بانشاء ملف نصي وفتحته بالمفكره وقمت بالكتابه والحفظ فيه فهذا يطلق عليه بطريقه مبسطه Stream
النوع الثاني Alternate Data Stream
داخل هيكل الـNTFS يخزن كل ملف علي هذه الهيئه
أي أسم الملف ومن ثم أسم الـStream الخاص به وأخيرا نوع الملف.
علي سبيل المثال أذا قمت بعمل ملف نصي وفرضا سميناه at4re.txt فشوف يخزن بهذا الشكل :
الفكره هنا انه يمكننا الكتابه داخل الاستريم وهو مهم جدا فهو
يستخدمه الهاكرز وصانعوا البرمجيات الخبيثه لأخفاء الباكدورز والـrootkits الخاصه بهم ويمكنك ايضا اخفاء ما تريد ولنجرب بمثال
حمل الملف المرفق
ستجد بداخله ملف نصي وصوره سنقوم باخفاء الصوره داخل الملف النصي كتطبيق بسيط
نقوم بتشغيل ملف
![[صورة مرفقة: ntffs2.png]](https://i.postimg.cc/85QXkZC8/ntffs2.png)
[img]img]https://i.postimg.cc/yJjyvX9n/ntffs2.png[/img]
1- استخدما امر type للكتابه داخل stream الملف
2 - الملف المراد كتابته داخل الاستريم
3 - الملف الذي تم الكتابه بداخله
4 - القطااع الخاص بالاستريم الذي خذنا به الصوره
الان سنلاحظ ان الملف بعد الكتابه به مازال حجمه الاساسي صفر بايت حتي انه غند فتحه بمحرر هيكس عادي
لا يظهر شئ لاحظ كما في الصوره
![[صورة مرفقة: ntffs3.png]](https://i.postimg.cc/sx3n71Sw/ntffs3.png)
الان سنتطرق الي الطرق المستخدمه في الكشف عن ال Stream
سنستخدم برنامج رائع ومجاني
Flex Hex
للتحميل من هنا
الان نفتح ملف at4re.txt به سنلاحظ كما في الصوره
![[صورة مرفقة: ntfs4.png]](https://i.postimg.cc/nz4RXqsX/ntfs4.png)
يمكن القراءه و التعديل والحذف وفعل ما تريد
الاداه الاخري
Stream Detector v1.2
![[صورة مرفقة: stream-detector-screenshot-1-800x360.png]](https://www.novirusthanks.org/wp-content/uploads/2017/08/stream-detector-screenshot-1-800x360.png)
للتحميل
الاداه تمكنك من القراءه وانشاء الستريم وغيره
الاداه الاخري
AlternateStreamView v1.55![[صورة مرفقة: alternatestreamview.gif]](https://www.nirsoft.net/utils/alternatestreamview.gif)
للتحميل
انه ايضا يمكنك الكتابه داخل الاستريم الخاص بالمجلد
ارجوا ان اكون قد اوضحته بطريقه سهله
لمن اراد التعمق
هذا فيديو يشرح بالتفصيل كيف يعمل الـNTFS
مقال مفيد باللغه العربيه
وفي النهايه اتوجه بالشكر والتقدير والاحترام للفارس الحاضر الغائب STRELiTZIA
![[صورة مرفقة: 13173623_1404922786200091_23561108546074...e=5CA68F33]](https://scontent-cai1-1.xx.fbcdn.net/v/t1.0-9/13173623_1404922786200091_2356110854607459354_n.jpg?_nc_cat=107&_nc_ht=scontent-cai1-1.xx&oh=27b7d74d5bcd975d38546d02b83ea855&oe=5CA68F33)
سنتكلم عن موضوع Ntfs Alternate Data Stream
بطريقه سهله مبسطه
الـNTFS هو نظام للملفات يقوم الويندوز لتخزين الملفات أو للتعامل معها بشكل عام
ما يهمنا هو كيفيه التعامل مع الملفات مثل التخزين والكتابه
فينقسم الي نوعين نوع التخزين المباشر وهو العادي الذي نقوم بالتعامل معه في كل مره نتعامل معها بشكل عادي
فمثلا اذا قمت بانشاء ملف نصي وفتحته بالمفكره وقمت بالكتابه والحفظ فيه فهذا يطلق عليه بطريقه مبسطه Stream
النوع الثاني Alternate Data Stream
داخل هيكل الـNTFS يخزن كل ملف علي هذه الهيئه
<filename>:<stream-name>:<type>أي أسم الملف ومن ثم أسم الـStream الخاص به وأخيرا نوع الملف.
علي سبيل المثال أذا قمت بعمل ملف نصي وفرضا سميناه at4re.txt فشوف يخزن بهذا الشكل :
at4re.txt::$DATAالفكره هنا انه يمكننا الكتابه داخل الاستريم وهو مهم جدا فهو
يستخدمه الهاكرز وصانعوا البرمجيات الخبيثه لأخفاء الباكدورز والـrootkits الخاصه بهم ويمكنك ايضا اخفاء ما تريد ولنجرب بمثال
حمل الملف المرفق
ستجد بداخله ملف نصي وصوره سنقوم باخفاء الصوره داخل الملف النصي كتطبيق بسيط
نقوم بتشغيل ملف
Ntfs Stream.cmd1- استخدما امر type للكتابه داخل stream الملف
2 - الملف المراد كتابته داخل الاستريم
3 - الملف الذي تم الكتابه بداخله
4 - القطااع الخاص بالاستريم الذي خذنا به الصوره
الان سنلاحظ ان الملف بعد الكتابه به مازال حجمه الاساسي صفر بايت حتي انه غند فتحه بمحرر هيكس عادي
لا يظهر شئ لاحظ كما في الصوره
الان سنتطرق الي الطرق المستخدمه في الكشف عن ال Stream
سنستخدم برنامج رائع ومجاني
Flex Hex
للتحميل من هنا
http://www.flexhex.com/download/الان نفتح ملف at4re.txt به سنلاحظ كما في الصوره
يمكن القراءه و التعديل والحذف وفعل ما تريد
الاداه الاخري
Stream Detector v1.2
للتحميل
https://www.novirusthanks.org/products/stream-detector/الاداه تمكنك من القراءه وانشاء الستريم وغيره
الاداه الاخري
AlternateStreamView v1.55
للتحميل
https://www.nirsoft.net/utils/alternate_data_streams.htmlانه ايضا يمكنك الكتابه داخل الاستريم الخاص بالمجلد
ارجوا ان اكون قد اوضحته بطريقه سهله
لمن اراد التعمق
هذا فيديو يشرح بالتفصيل كيف يعمل الـNTFS
https://www.youtube.com/watch?v=BG1gQ4Ta79Mمقال مفيد باللغه العربيه
https://www.isecur1ty.org/ads-in-hacking-and-ntfs/?fbclid=IwAR3mKzNatcLnliMIdZHUs5hSNDdcPCrRsGuhjBiexn9Br9PywtVOoENc4soوفي النهايه اتوجه بالشكر والتقدير والاحترام للفارس الحاضر الغائب STRELiTZIA
RE: نظره علي Ntfs Alternate Data Stream - offset - 10-12-2018
معلومات قيمة شكرا اخي
RE: نظره علي Ntfs Alternate Data Stream - x-member - 10-12-2018
هل يعد هذا طريقة من طرق ال Steganography ؟
RE: نظره علي Ntfs Alternate Data Stream - MountLegacy - 11-12-2018
(10-12-2018, 01:02 PM)Abdelhamid كتب : هل يعد هذا طريقة من طرق ال Steganography ؟
يمكن اعتبارها للمستخدم العادي هكذا لكن استتخداماتها اعمق من ذلك