2015년 4월 23일 목요일

대체 데이터 스트림(ADS : Alternate Data Stream)

파일을 다른 파일에 내장하여 사용자가 Windows 시스템의 익스플로러를 통해 볼 수 없는 NT 파일 시스템(NTFS)의 기능이다.

공격자가 공격 파일을 다른 파일에 검출되지 않고 옮겨 놓기 위해 사용하지만, 안티바이러스 프로그램에서는 대체 데이터 스트림(ADS) 내에 검사 합(checksum) 값을 넣어 사용하기도 한다. 마이크로소프트사는 원래 NTFS의 ADS를 매킨토시의 계층적 파일 시스템(HFS)과 호환으로 사용하기 위해 썼다.


 http://www.heysoft.de/en/software/lads.php에서 ADS 탐지툴을 제공하고 있다.



d




이외에도 ADS Spy와 같은 탐지툴도 있다.
 

자료참조 : http://www.infosecwriters.com/texts.php?op=display&id=53

댓글 없음:

댓글 쓰기