ADS (Alternate Data Streams) Nedir?

Alternate Data Streams ya da Türkçesiyle alternatif veri akışı, NTFS dosya sisteminin bilinmeyen bir özelliğidir. Bu özellik sayesinde herhangi bir dosya içine ekstra bilgiler ya da başka bir dosya gömülebilir. Ancak işin tehlikeli tarafı, eklenen dosya asıl dosyanın boyutunu arttırmaz ve Windows’un dosya listelemelerinde bu ek görünmez.

Konuyu şu sitede anlatılan örnekle açalım: Bir tane .txt uzantılı metin dosyası oluşturup, .exe uzantılı başka bir dosyayı type komutu kullanarak bu dosyanın içine gömüyoruz. Bu işlem için : (iki nokta üstüste) işareti kullanıyoruz. Komutumuz şöyle oluyor. type c:\windows\system32\calc.exe>c:\deneme.txt:deneme.exe
Sonra orijinal deneme.exe dosyasını silip, start c:\deneme.txt:deneme.exe komutunu yazıyoruz. Hesap makinesi çalışıyor.

Aslında, şurada yazdığına göre Microsoft ADS özelliğini dosyaların güvenlik bilgilerini saklamak üzere kullanıyor. Hatta NTFS dosya sistemindeki tüm dosyalar kendileri ile ilgili ek bilgileri bu yöntemle saklıyor.

Peki bu özelliğin bize ne zararı var? Aslında masum gibi görünen ama içinde bir virüs barındıran böyle bir dosya bilgisayarımıza gelirse, dosyayı açtığımızda içindeki virüsü tetikleyip bilgisayara zarar verebilir. Nitekim, benzer bir olay yaşanmış. Aynı sayfada, detaylı açıklamalar ve ingilizce kaynaklara bağlantılar bulunuyor.

Antivirüs programları henüz bu tür bir virüsü tespit edemiyor ancak durumun farkındalar. Şimdiye kadar ADS’yi kullanan bir virüs çıkmadığı için ürünlerine gerekli tarama özelliğini eklemiş değiller.

Bilgisayarınızda ADS kullanan tehlikeli bir dosya olup olmadığını öğrenmek için bu programı, bu programı ya da bu programı indirebilirsiniz.

2 comments

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir