ADS Revealer 1.0

pmonti · 29-09-2006, 11:29

Salve a tutti,

vi segnalo che ho appena rilasciato (in beta) un programma gratuito che, in modo simile a Streams e ADSSpy, è utile per individuare, cancellare ed esportare gli Alternate Data Streams (ADS) presenti su file system NTFS (New Technology File System). Come è noto, gli ADS non sono dannosi di per se, ma diversi malware cominciano a usarli per nascondere i propri file, quindi nella propria "scatola degli attrezzi" è opportuno includere strumenti in grado di esaminare questa caratteristica di NTFS.

http://www.nod32.it/getfile.php?tool=adsr

ciao,
Paolo.

eraser · 29-09-2006, 13:55

Ciao Paolo,

ti ringrazio per la segnalazione

Come al solito, ottimo lavoro

Metto in rilievo per un pò

Io sono mezzo preso per quella storia che ti ho scritto via e-mail

mi hanno contattato poi, hanno chiesto il numero di telefono

nV 25 · 29-09-2006, 16:54

inserito nella "scatola degli attrezzi"

*Nexus* · 30-09-2006, 18:43

Molto bello come programma, una cosa, avendo installato vista su un'altra partizione e lanciando il programma da windows xp trova anche files sulla partizione di vista, ma andando a rimuoverli da questo errore: http://www.hostingimages.org/pub/8378/ads.jpg

Non ho provato a lanciare il programma su vista per mancanza di tempo al massimo prossimamente farò qualche altro test, ah vista è in versione RC1

sampei.nihira · 30-09-2006, 23:47

Paolo, ti segnalo che nel mio caso il software ha trovato vari ADS,ma non ha saputo eliminare dando l'errore inserito come immagine dall'utente NEXUS di:

1 immagine JPG
1 file MP3

che tra parentesi ho ricevuto da utenti o con allegati di posta elettronica oppure tramite MSN.
Naturalmente eliminando fisicamente i due file si eliminano anche gli ADS,quindi l'ho fatto subito.

Segnalo agli altri utenti che non avranno notato la cosa che scaricando alcuni software di installazione in download è possibile reperire immediatamente un ADS.
Uno tra i tanti è ad esempio il pacchetto di installazione di Opera 9.02.
Comunque un bel lavoro,complimenti !!

.

Vittorio_Bo · 01-10-2006, 08:52

grazie molte per il tool Paolo

juninho85 · 01-10-2006, 12:17

al primo scan ha trovato un immagine(con SHA1 " ricevuta tramite msn e 4 file thumbs.db collocati nelle cartelle "musica" e "video" create da WMP....come devo valutare la cosa?

in allegato ho messo il risultato

juninho85 · 01-10-2006, 12:21

link
..per chi non sapesse cosa sono gli ADS

sampei.nihira · 01-10-2006, 21:05

Segnalo che anche il software HiJackThis è capace di individuare e rimuovere gli ADS.
Io non l'ho mai usato per questo scopo quindi non sò dirvi come funziona.
Non posso nemmeno fare una prova perchè i miei pc sono liberi da ADS.

Chi volesse provare deve lanciare l'applicazione.
Selezionare:

Open the misc Tool section

poi

Open ADS spy

Lanciare lo scan e per rimuovere gli ADS selezionare:

Remove selected

A parte questa info,non mi chiedete nulla perchè altro non sò dirvi !!

Sarei curioso di sapere se H. trova ADS ESCLUSIVAMENTE pericolosi oppure come il software di Paolo Monti tutti quelli presenti nei nostri PC

Vi sarei grato se qualcuno soddisfa questa mia curiosità !!
Grazie.

raceman · 02-10-2006, 07:13

Anche Ewido 4.0. Controllare che in scanner/settings sia spuntato il flag a "scan in NTFS alternate data streams".

pmonti · 02-10-2006, 10:05

Quote:

Originariamente inviato da *Nexus*

Molto bello come programma, una cosa, avendo installato vista su un'altra partizione e lanciando il programma da windows xp trova anche files sulla partizione di vista, ma andando a rimuoverli da questo errore: http://www.hostingimages.org/pub/8378/ads.jpg

Grazie per il report. L'unita' E: sul tuo PC è un hard disk esterno?

ciao,
Paolo.

*Nexus* · 02-10-2006, 13:37

No l'unità E:\ è una partizione da 40 gb in un hd sata da 200 gb dove è installata la RC1 di windows vista

lucadue · 02-10-2006, 17:34

appena ho un attimo di tempo non mancherò di testarlo e darne una mi opinione

Intanto t faccio i miei complimenti

federico_78 · 02-10-2006, 20:36

Ho appena fatto uno scan con questo programma e mi ha trovato una valanga di questi ads! Come mi devo comportare? Li posso eliminare tranquillamente?

Ciao!

acyd · 03-10-2006, 11:33

Quote:

Originariamente inviato da pmonti

Salve a tutti,

vi segnalo che ho appena rilasciato (in beta) un programma gratuito che, in modo simile a Streams e ADSSpy, è utile per individuare, cancellare ed esportare gli Alternate Data Streams (ADS) presenti su file system NTFS (New Technology File System). Come è noto, gli ADS non sono dannosi di per se, ma diversi malware cominciano a usarli per nascondere i propri file, quindi nella propria "scatola degli attrezzi" è opportuno includere strumenti in grado di esaminare questa caratteristica di NTFS.

http://www.nod32.it/getfile.php?tool=adsr

ciao,
Paolo.

Sto facendo un articolo sia sugli Ads e su come lavorano su vari sistemi patchati e non con relative vulnerabilità sia sui tool disponibili.
Il tuo differisce in qualcosa di sostanziale rispetto ad altri?
O rispetto a Hijackthis.
Sia come struttura di applicazione sia come ricerca.

pmonti · 03-10-2006, 14:17

Quote:

Originariamente inviato da *Nexus*

No l'unità E:\ è una partizione da 40 gb in un hd sata da 200 gb dove è installata la RC1 di windows vista

OK. Un'ultima cosa: i file hanno impostato l'attributo di sola lettura, system o hidden?

ciao,
Paolo.

pmonti · 03-10-2006, 14:21

Quote:

Originariamente inviato da acyd

Sto facendo un articolo sia sugli Ads e su come lavorano su vari sistemi patchati e non con relative vulnerabilità sia sui tool disponibili.
Il tuo differisce in qualcosa di sostanziale rispetto ad altri?
O rispetto a Hijackthis.
Sia come struttura di applicazione sia come ricerca.

Questa versione beta non differisce in modo sostanziale da ADSSpy, con l'eccezione che sul contenuto degli stream viene calcolato un hash SHA1, piu' sicuro rispetto a MD5.

La prossima versione, invece, conterra' un sistema per bypassare eventuali azioni di hijacking da parte di rootkit in user-mode.

ciao,
Paolo.

*Nexus* · 03-10-2006, 15:41

Quote:

Originariamente inviato da pmonti

OK. Un'ultima cosa: i file hanno impostato l'attributo di sola lettura, system o hidden?

ciao,
Paolo.

Read only

pmonti · 04-10-2006, 12:11

Quote:

Originariamente inviato da *Nexus*

Read only

Grazie mille. Ora ho capito dov'e' il problema

ciao,
Paolo.

*Nexus* · 04-10-2006, 17:01

Prego, è un piacere "collaborare" con te

29-09-2006, 11:29	#1
pmonti Member Iscritto dal: Aug 2006 Messaggi: 52	ADS Revealer 1.0 Salve a tutti, vi segnalo che ho appena rilasciato (in beta) un programma gratuito che, in modo simile a Streams e ADSSpy, è utile per individuare, cancellare ed esportare gli Alternate Data Streams (ADS) presenti su file system NTFS (New Technology File System). Come è noto, gli ADS non sono dannosi di per se, ma diversi malware cominciano a usarli per nascondere i propri file, quindi nella propria "scatola degli attrezzi" è opportuno includere strumenti in grado di esaminare questa caratteristica di NTFS. http://www.nod32.it/getfile.php?tool=adsr ciao, Paolo.

29-09-2006, 13:55	#2
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6375	Ciao Paolo, ti ringrazio per la segnalazione Come al solito, ottimo lavoro Metto in rilievo per un pò Io sono mezzo preso per quella storia che ti ho scritto via e-mail mi hanno contattato poi, hanno chiesto il numero di telefono __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

01-10-2006, 08:52	#6
Vittorio_Bo Member Iscritto dal: Mar 2006 Città: Bologna Messaggi: 178	grazie molte Paolo grazie molte per il tool Paolo __________________ ''Credo che ognuno di noi debba essere giudicato per ciò che ha fatto. Contano le azioni non le parole. Se dovessimo dar credito ai discorsi, saremmo tutti bravi e irreprensibili''. Parole di Giovanni Falcone assassinato dalla mafia

01-10-2006, 12:17	#7
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28661	al primo scan ha trovato un immagine(con SHA1 " ricevuta tramite msn e 4 file thumbs.db collocati nelle cartelle "musica" e "video" create da WMP....come devo valutare la cosa? in allegato ho messo il risultato Ultima modifica di juninho85 : 01-10-2006 alle 12:19.

02-10-2006, 07:13	#10
raceman Senior Member Iscritto dal: Nov 2002 Messaggi: 1567	Anche Ewido 4.0. Controllare che in scanner/settings sia spuntato il flag a "scan in NTFS alternate data streams". __________________ *Chi semina raccoglie, ma chi raccoglie si china e a quel punto è un attimo*

29-09-2006, 16:54	#3
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	inserito nella "scatola degli attrezzi"

30-09-2006, 18:43	#4
Nexus Senior Member Iscritto dal: May 2005 Città: Milano Messaggi: 365	Molto bello come programma, una cosa, avendo installato vista su un'altra partizione e lanciando il programma da windows xp trova anche files sulla partizione di vista, ma andando a rimuoverli da questo errore: http://www.hostingimages.org/pub/8378/ads.jpg Non ho provato a lanciare il programma su vista per mancanza di tempo al massimo prossimamente farò qualche altro test, ah vista è in versione RC1

30-09-2006, 23:47	#5
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Paolo, ti segnalo che nel mio caso il software ha trovato vari ADS,ma non ha saputo eliminare dando l'errore inserito come immagine dall'utente NEXUS di: 1 immagine JPG 1 file MP3 che tra parentesi ho ricevuto da utenti o con allegati di posta elettronica oppure tramite MSN. Naturalmente eliminando fisicamente i due file si eliminano anche gli ADS,quindi l'ho fatto subito. Segnalo agli altri utenti che non avranno notato la cosa che scaricando alcuni software di installazione in download è possibile reperire immediatamente un ADS. Uno tra i tanti è ad esempio il pacchetto di installazione di Opera 9.02. Comunque un bel lavoro,complimenti !! .

01-10-2006, 12:21	#8
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28661	link ..per chi non sapesse cosa sono gli ADS

01-10-2006, 21:05	#9
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Segnalo che anche il software HiJackThis è capace di individuare e rimuovere gli ADS. Io non l'ho mai usato per questo scopo quindi non sò dirvi come funziona. Non posso nemmeno fare una prova perchè i miei pc sono liberi da ADS. Chi volesse provare deve lanciare l'applicazione. Selezionare: Open the misc Tool section poi Open ADS spy Lanciare lo scan e per rimuovere gli ADS selezionare: Remove selected A parte questa info,non mi chiedete nulla perchè altro non sò dirvi !! Sarei curioso di sapere se H. trova ADS ESCLUSIVAMENTE pericolosi oppure come il software di Paolo Monti tutti quelli presenti nei nostri PC Vi sarei grato se qualcuno soddisfa questa mia curiosità !! Grazie.

02-10-2006, 13:37	#12
Nexus Senior Member Iscritto dal: May 2005 Città: Milano Messaggi: 365	No l'unità E:\ è una partizione da 40 gb in un hd sata da 200 gb dove è installata la RC1 di windows vista

02-10-2006, 17:34	#13
lucadue Senior Member Iscritto dal: Mar 2006 Città: Saluzzo (Cuneo) - Trattative ok: 51 Messaggi: 3653	appena ho un attimo di tempo non mancherò di testarlo e darne una mi opinione Intanto t faccio i miei complimenti

02-10-2006, 20:36	#14
federico_78 Senior Member Iscritto dal: Mar 2006 Città: Osimo Stazione (AN) Messaggi: 604	Ho appena fatto uno scan con questo programma e mi ha trovato una valanga di questi ads! Come mi devo comportare? Li posso eliminare tranquillamente? Ciao!

04-10-2006, 17:01	#20
Nexus Senior Member Iscritto dal: May 2005 Città: Milano Messaggi: 365	Prego, è un piacere "collaborare" con te

Strumenti
Mostra una versione stampabile Invia questa pagina per email