Hardware Upgrade Forum

Hardware Upgrade Forum (https://www.hwupgrade.it/forum/index.php)
-   Guida all'uso dei Programmi (https://www.hwupgrade.it/forum/forumdisplay.php?f=122)
-   -   ADS Revealer 1.0 (https://www.hwupgrade.it/forum/showthread.php?t=1294909)


pmonti 29-09-2006 12:29

ADS Revealer 1.0
 
Salve a tutti,

vi segnalo che ho appena rilasciato (in beta) un programma gratuito che, in modo simile a Streams e ADSSpy, è utile per individuare, cancellare ed esportare gli Alternate Data Streams (ADS) presenti su file system NTFS (New Technology File System). Come è noto, gli ADS non sono dannosi di per se, ma diversi malware cominciano a usarli per nascondere i propri file, quindi nella propria "scatola degli attrezzi" è opportuno includere strumenti in grado di esaminare questa caratteristica di NTFS.

http://www.nod32.it/getfile.php?tool=adsr

ciao,
Paolo.

eraser 29-09-2006 14:55

Ciao Paolo,

ti ringrazio per la segnalazione ;) Come al solito, ottimo lavoro :) Metto in rilievo per un pò :)

Io sono mezzo preso per quella storia che ti ho scritto via e-mail :D mi hanno contattato poi, hanno chiesto il numero di telefono :D

nV 25 29-09-2006 17:54

inserito nella "scatola degli attrezzi" :D

*Nexus* 30-09-2006 19:43

Molto bello come programma, una cosa, avendo installato vista su un'altra partizione e lanciando il programma da windows xp trova anche files sulla partizione di vista, ma andando a rimuoverli da questo errore: http://www.hostingimages.org/pub/8378/ads.jpg

Non ho provato a lanciare il programma su vista per mancanza di tempo al massimo prossimamente farò qualche altro test, ah vista è in versione RC1 ;)

sampei.nihira 01-10-2006 00:47

Paolo, ti segnalo che nel mio caso il software ha trovato vari ADS,ma non ha saputo eliminare dando l'errore inserito come immagine dall'utente NEXUS di:

1 immagine JPG
1 file MP3

che tra parentesi ho ricevuto da utenti o con allegati di posta elettronica oppure tramite MSN.
Naturalmente eliminando fisicamente i due file si eliminano anche gli ADS,quindi l'ho fatto subito.

Segnalo agli altri utenti che non avranno notato la cosa che scaricando alcuni software di installazione in download è possibile reperire immediatamente un ADS.
Uno tra i tanti è ad esempio il pacchetto di installazione di Opera 9.02.
Comunque un bel lavoro,complimenti !! ;) ;).

Vittorio_Bo 01-10-2006 09:52

grazie molte Paolo
 
grazie molte per il tool Paolo

juninho85 01-10-2006 13:17

al primo scan ha trovato un immagine(con SHA1 " ricevuta tramite msn e 4 file thumbs.db collocati nelle cartelle "musica" e "video" create da WMP....come devo valutare la cosa?:)

in allegato ho messo il risultato

juninho85 01-10-2006 13:21

link
..per chi non sapesse cosa sono gli ADS

sampei.nihira 01-10-2006 22:05

Segnalo che anche il software HiJackThis è capace di individuare e rimuovere gli ADS.
Io non l'ho mai usato per questo scopo quindi non sò dirvi come funziona.
Non posso nemmeno fare una prova perchè i miei pc sono liberi da ADS.

Chi volesse provare deve lanciare l'applicazione.
Selezionare:

Open the misc Tool section

poi

Open ADS spy

Lanciare lo scan e per rimuovere gli ADS selezionare:

Remove selected

A parte questa info,non mi chiedete nulla perchè altro non sò dirvi !! :D :D :D

Sarei curioso di sapere se H. trova ADS ESCLUSIVAMENTE pericolosi oppure come il software di Paolo Monti tutti quelli presenti nei nostri PC

Vi sarei grato se qualcuno soddisfa questa mia curiosità !!
Grazie.

raceman 02-10-2006 08:13

Anche Ewido 4.0. Controllare che in scanner/settings sia spuntato il flag a "scan in NTFS alternate data streams".

pmonti 02-10-2006 11:05

Quote:

Originariamente inviato da *Nexus*
Molto bello come programma, una cosa, avendo installato vista su un'altra partizione e lanciando il programma da windows xp trova anche files sulla partizione di vista, ma andando a rimuoverli da questo errore: http://www.hostingimages.org/pub/8378/ads.jpg
;)

Grazie per il report. L'unita' E: sul tuo PC è un hard disk esterno?

ciao,
Paolo.

*Nexus* 02-10-2006 14:37

No l'unità E:\ è una partizione da 40 gb in un hd sata da 200 gb dove è installata la RC1 di windows vista :stordita:

lucadue 02-10-2006 18:34

appena ho un attimo di tempo non mancherò di testarlo e darne una mi opinione ;)
Intanto t faccio i miei complimenti :cool:

federico_78 02-10-2006 21:36

Ho appena fatto uno scan con questo programma e mi ha trovato una valanga di questi ads! Come mi devo comportare? Li posso eliminare tranquillamente?

Ciao!

acyd 03-10-2006 12:33

Quote:

Originariamente inviato da pmonti
Salve a tutti,

vi segnalo che ho appena rilasciato (in beta) un programma gratuito che, in modo simile a Streams e ADSSpy, è utile per individuare, cancellare ed esportare gli Alternate Data Streams (ADS) presenti su file system NTFS (New Technology File System). Come è noto, gli ADS non sono dannosi di per se, ma diversi malware cominciano a usarli per nascondere i propri file, quindi nella propria "scatola degli attrezzi" è opportuno includere strumenti in grado di esaminare questa caratteristica di NTFS.

http://www.nod32.it/getfile.php?tool=adsr

ciao,
Paolo.

Sto facendo un articolo sia sugli Ads e su come lavorano su vari sistemi patchati e non con relative vulnerabilità sia sui tool disponibili.
Il tuo differisce in qualcosa di sostanziale rispetto ad altri?
O rispetto a Hijackthis.
Sia come struttura di applicazione sia come ricerca.

pmonti 03-10-2006 15:17

Quote:

Originariamente inviato da *Nexus*
No l'unità E:\ è una partizione da 40 gb in un hd sata da 200 gb dove è installata la RC1 di windows vista :stordita:

OK. Un'ultima cosa: i file hanno impostato l'attributo di sola lettura, system o hidden?

ciao,
Paolo.

pmonti 03-10-2006 15:21

Quote:

Originariamente inviato da acyd
Sto facendo un articolo sia sugli Ads e su come lavorano su vari sistemi patchati e non con relative vulnerabilità sia sui tool disponibili.
Il tuo differisce in qualcosa di sostanziale rispetto ad altri?
O rispetto a Hijackthis.
Sia come struttura di applicazione sia come ricerca.

Questa versione beta non differisce in modo sostanziale da ADSSpy, con l'eccezione che sul contenuto degli stream viene calcolato un hash SHA1, piu' sicuro rispetto a MD5.

La prossima versione, invece, conterra' un sistema per bypassare eventuali azioni di hijacking da parte di rootkit in user-mode.

ciao,
Paolo.

*Nexus* 03-10-2006 16:41

Quote:

Originariamente inviato da pmonti
OK. Un'ultima cosa: i file hanno impostato l'attributo di sola lettura, system o hidden?

ciao,
Paolo.

Read only ;)

pmonti 04-10-2006 13:11

Quote:

Originariamente inviato da *Nexus*
Read only ;)

Grazie mille. Ora ho capito dov'e' il problema :)

ciao,
Paolo.

*Nexus* 04-10-2006 18:01

Prego, è un piacere "collaborare" con te :p


Tutti gli orari sono GMT +1. Ora sono le: 23:27.

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.