Ocultación avanzada de archivos: Lo que Microsoft no dice.

Si bien esto no es noticia y ya lleva muchos años de antigüedad, me parecio oportuno demostrar una vez mas el porque no debemos usar software privativo como windows, mac os x, etc. Con este metodo seremos capaces de ocultar cualquier tipo de archivo, de cualquier tamaño en un archivo o carpeta de… 0 bytes. Obviamente que como usuarios finales estaremos pensando: ¿Y para que quiero esto yo, usuario comun y silvestre, si nunca lo voy a usar? Seguro, es muy probable que vos no lo uses, pero un usuario malicioso no dudará en hacerlo, para muchisimos fines, la imaginacion es el unico limite y lo peor de todo es que es imposible de encontrar estos archivos ocultos, con ninguna solucion comercial como antivirus, detector de rootkits, etc(imaginate lo que podria hacer un virus con esto…). Asi que sin mas preambulos vamos allá! :-) Alternate Data Stream Los sistemas windows de la serie NT(NT, XP, VISTA, 2000, 2003, etc.) nos ofrece la posibilidad de usar como sistema de archivos el sistema NTFS. Para los que no saben, un sistema de archivos es la forma en que el sistema operativo(en este caso windows) maneja los archivos de tu disco duro. En el caso de la serie Windows 9x(95, 98 y Me) utilizan los archi conocidos “fat16″ o “fat32″. Ahora bien, como siempre nuestro querido microsoft nos brinda de software llamativo, “innovador”, “futurista”… asi como también cuelgues llamativos, errores innovadores y puertas traseras futuristas. Esta vez sigue alimentando nuestra capacidad de asombro con esta funcion NO DOCUMENTADA del sistema de archivos NTFS llamada Alternate Data Stream, que nos permite “asociar” datos a un archivo e incluso a un directorio y existe para mantener una compatibilidad con el HFS(Hierarchical File System) de Macintosh. Cuando asociamos un archivo1 a un archivo2, el archivo2 aparentemente no ha variado pero en realidad “contiene” al archivo1 en su “interior” y queda ocultado para nuestro querido windows pero sigue existiendo e incluso, si es un archivo ejecutable, puede seguir siendo ejecutado!… de manera oculta . Vamos a la practica! Para realizar esta practica necesitamos tener instalado cualquier windows de la rama NT(ya mencionamos al principio cuales eran) y tener como sistema de archivos el NTFS. Primera parte: 1)Abrimos la consola de windows: inicio->ejecutar-> ponemos “cmd” (sin las comillas) y enter. 2)Nos posicionamos en el disco C: (tan solo por comodidad) y creamos una carpeta llamada “prueba” con el comando “mkdir”(make directory): 3)Ahora creamos un archivo llamado archivo_visible.txt y en su contenido un texto que diga “Este es un archivo visible”. En la linea de comandos ponemos: echo este es un archivo visible > archivo_visible.txt y apretamos enter Ahora hacemos un “dir” y nos tira lo que hay dentro de la carpeta “prueba” y podremos observar que el archivo “archivo_visible.txt” pesa 28bytes, recuerden esto ;-) 4) Ahora crearemos el archivo que queremos ocultar: echo este es un archivo oculto y ni mandrake puede verlo > archivo_oculto.txt 5) Ahora se viene la parte interesante… agarrense los cinturones! Gracias a Alternate Data Stream(desde ahora ADS) procederemos a meter el archivo_oculto.txt dentro de archivo_visible.txt, borraremos el archivo_oculto.txt… y nos aseguramos que todo siga “normal” . Primero metemos el archivo oculto dentro del visible, escribiendo: type archivo_oculto.txt > archivo_visible.txt:oculto Borramos el archivo oculto: del archivo_oculto.txt Nos aseguramos que todo sigue en orden con “dir”: Como podemos observar, el archivo se borró, “archivo_visible.txt” sigue pesando 28 bytes y todo esta “normal”… o no? Abramos archivo_visible.txt en nuestro disco C: con el bloc de notas y veremos que esta todo en orden: Todo en orden!… o asi lo parece . Ahora vamos a ver la verdad de la milanesa, lo que microsoft trata de ocultarle al usuario para aprovecharse de nosotros, de nuestra información y violar nuestra privacidad. Cerramos la ventana del bloc de notas y ahora escribimos en la linea de comandos: more archivo_visible.txt Este es un archivo visible “More” es un comando para visualizar el contenido de archivos, en vez de haber usado el bloc de notas, podriamos haber usado este también y el resultado hubiese sido el mismo. Ahora ponemos: more