AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Projekte Alternate Data Stream Detektor [Release neue Version]
Thema durchsuchen
Ansicht
Themen-Optionen

Alternate Data Stream Detektor [Release neue Version]

Ein Thema von richard_boderich · begonnen am 1. Okt 2007 · letzter Beitrag vom 30. Dez 2009
Antwort Antwort
Seite 1 von 8  1 23     Letzte »    
Benutzerbild von richard_boderich
richard_boderich
Registriert seit: 21. Jun 2004
Hallo zusammen!

Da ich mich gerade mit ADS beschäftige, hier ein kleines Tool, welches bei meiner Arbeit entstanden ist. Der "Alternate Data Stream Detektor".
Das Programm ist vielseitig einsetztbar. Es ermöglicht Euch z.B. die bequeme Auffindung und schnelle Entfernung unerwünschter bzw. "suspekter" ADS.

Das Programm ermöglicht folgende Datei-Operationen mit ADS:
  • Suchen
  • Lesen
  • Entfernen
  • Kopieren
  • Umbenennen
  • Extraktion
  • Erzeugung
  • Hashing (Identifizierung via MD5, SHA-1)
Über Fragen, Hinweise, Anregungen und geg. Bugreports würde ich mich sehr freuen.

Features:
  • Durchsuchen der Festplatte oder einzelner Verzeichnisse nach Alternate Data Streams
  • Möglichkeit zur bequemen Entfernung von unerwünschten ADS
  • komfortables Extrahieren (Speichern als normale Datei) und Umbenennen von ADS
  • Entfernt auch ADS die an Verzeichnisse (z.B 'C:\Windows') oder direkt an das Rootlaufwerk angehängt sind
  • Möglichkeit zum Ausblenden von Standard ADS des Betriebssystem's
  • farbliche Kennzeichnung der gefundenen ADS nach ihrer Kathegorie
  • Erkennung von ausführbaren ADS via Signatur
  • Hexansicht & Ascii-Ansicht des Streams mit MD5 und SHA-1 Hash
  • Automatischer Virencheck via Virustotal (Multi-Engine)
  • Archivierung bzw. Quarantäne von unkekannten/verdächtigen ADS
  • alternativer Suchalgorithmus via NTFS-MFT (Scan von versteckten Filesystemobjecten oder speziellen Systemordnern, z.B. Ordner der System-Wiederherstellung)
Vorraussetztungen:
  • Win2000, WindowsXP, Vista
  • Dateisystem NTFS (Fat32 unterstützt keine ADS)
  • aktive Onlineverbindung (bei Nutzung des Virustotal Onlinechecks)
getestet mit: Windows XP SP2

Anmerkungen:
Bevor ihr die Suche startet, solltet Ihr euren OnAccess-Virenscanner deaktivieren, da sich sonst die Dauer des Scanvorgangs, wegen der
ganzen Dateizugriffe signifikant erhöht. Falls Ihr den Virenscanner nicht deaktiviren wollt, so ist das auch kein Problem. Der Suchvorgang dauert dann nur etwas länger.

Danksagungen:
Hagen Reddmann für sein DEC
Alexander Freudenberg für NTFSQuery

Gruß Richard


Miniaturansicht angehängter Grafiken
adsdetektor6_bearbeitet_943.png   adsdetektor2_bearbeitet_124.png  
Angehängte Dateien
Dateityp: exe adsdetektor_574.exe (1,86 MB, 406x aufgerufen)
Dateityp: exe adsdetektor_debug_202.exe (1,87 MB, 84x aufgerufen)
mfG Richard

Cimmams schrieb "das einzige was an ArmA gut ist, ist die Grafik bis 100m und der Rest ist so unreal wie unsere Demokratie."
 
Benutzerbild von MagicAndre1981
MagicAndre1981

 
Delphi 7 Enterprise
 
#2
  Alt 1. Okt 2007, 13:20
wo ist der Link oder der Anhang?
André
  Mit Zitat antworten Zitat
Benutzerbild von richard_boderich
richard_boderich

 
Delphi 7 Architect
 
#3
  Alt 1. Okt 2007, 13:23
hm..., sollte eigentlich alles da sein.

Gruß Richard
  Mit Zitat antworten Zitat
Benutzerbild von MagicAndre1981
MagicAndre1981

 
Delphi 7 Enterprise
 
#4
  Alt 1. Okt 2007, 13:52
nun ist der Anhang da.
André
  Mit Zitat antworten Zitat
Benutzerbild von f.siebler
f.siebler

 
Delphi 2006 Professional
 
#5
  Alt 1. Okt 2007, 14:09
und das Bild bitte auch anhängen
danke
  Mit Zitat antworten Zitat
BOH

 
Delphi 5 Professional
 
#6
  Alt 1. Okt 2007, 14:22
Das Bild ist doch da, sogar sehr groß...
  Mit Zitat antworten Zitat
mkinzler

 
Delphi 11 Alexandria
 
#7
  Alt 1. Okt 2007, 14:40
Zitat von BOH:
Das Bild ist doch da, sogar sehr groß...
Es ist aber ein externes bild, welches im Text eingelagert wurde. je nach Browsereinstellungen wird es dann nicht angezeigt. Außerdem könnte es auf dem externen server entfernt werden und es belastet die leitung von Benutzern mit schmaler bandbreite. deshalb besser als Anhang einfügen.
Markus Kinzler
  Mit Zitat antworten Zitat
Pfoto

 
Turbo Delphi für Win32
 
#8
  Alt 1. Okt 2007, 17:34
Hallo Richard,

ich hatte zuvor noch nie von ADS bei NTFS gehört. Habe eben zwar mal ein bischen
recherschiert und weiß jetzt, dass es vor allem Spyware benutzt.

Aber für welchen sinnvollen Zweck existieren diese ADS bei NTFS?
Welche "guten" Programme machen Gebrauch davon und in welcher Situation?

Würde mich mal interessieren...


Gruß
Pfoto
Jürgen Höfs
  Mit Zitat antworten Zitat
Benutzerbild von phXql
phXql
 
#9
  Alt 1. Okt 2007, 18:14
Der Internet Exploiter speichert afaik in einem ADS, ob die Datei aus dem Internet heruntergeladen wurde, und Windows zeigt dann eine zusätzliche Warnung beim Starten der Anwendung an.
  Mit Zitat antworten Zitat
Dax
 
#10
  Alt 1. Okt 2007, 19:47
Ebenso kannst du in einem ADS, zB. ":config" die Konfigurationsdatei deines Programms vor der Auslieferung speichern, die es dann extrahiert... Oder so.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 8  1 23     Letzte »    

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:08 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz