# ray16

wasted blog

# ray16 RSS Feed
 

Archive for System Hacking

[CEH v7] System Hacking : ADS Spy

Alternate Data Streams telah digunakan sejak NTFS diperkenalkan di WIndows NT.

ADS digunakan untuk mendukung HFS (Hirariecal File System) pada windows, sebagaimana MAC Os juga menggunakan ADS, ADS secara default tidak ditampilkan oleh Explorer windows baik pada juga CMD windows, meskipun show hidden files sudah dicentang yang ditampilkan ialah ekstensi file sebelum titik dua (:).

Live Example :

analisa file .DS_Store pada komputer XP.

apabila melalui CMD Windows, file .DS_Store akan tertampil dengan ekstensi .DS_Store sebagaimana gambar berikut :

lain jika kita scan melalui ADS Spy, ekstensi asli pada file ADS .DS_Store akan tertampil yaitu .DS_Store:AFP_Afpinfo

pada gambar diatas, ADS Spy melakukan scanning pada Drive berektensi NTSF yang tersedia di PC, lalu akan menampilkan file ADS yang ada.

hal ini cukup berbahaya karena, attacker bisa meninggalkan backdoor dengan model ADS seperti ini, misal dalam kasus :

attacker melakukan sploit ke mesin korban, lalu mengupload backdoor ke mesin korban dengan metode ADS, sehingga file backdoor tidak dikenali secara umum oleh target, dan attacker mengeksekusi dengan shell

C:\>start .\<nama_berkas>.<ekstensi>:<nama_stream>.<ekstensi>

banyak virus maker dan trojan bahkan spyware menggunakan metode ADS untuk menyerang mesin windows target.

oleh karena itu ADS Spy di rekomendasikan oleh CEH sebagai tools forensik untuk mesin windows kategori system hacking yang cukup simple namun powerfull

Good Luck!