PDA

View Full Version : ADS Revealer 1.0


pmonti
29-09-2006, 11:29
Salve a tutti,

vi segnalo che ho appena rilasciato (in beta) un programma gratuito che, in modo simile a Streams e ADSSpy, è utile per individuare, cancellare ed esportare gli Alternate Data Streams (ADS) presenti su file system NTFS (New Technology File System). Come è noto, gli ADS non sono dannosi di per se, ma diversi malware cominciano a usarli per nascondere i propri file, quindi nella propria "scatola degli attrezzi" è opportuno includere strumenti in grado di esaminare questa caratteristica di NTFS.

http://www.nod32.it/getfile.php?tool=adsr

ciao,
Paolo.

eraser
29-09-2006, 13:55
Ciao Paolo,

ti ringrazio per la segnalazione ;) Come al solito, ottimo lavoro :) Metto in rilievo per un pò :)

Io sono mezzo preso per quella storia che ti ho scritto via e-mail :D mi hanno contattato poi, hanno chiesto il numero di telefono :D

nV 25
29-09-2006, 16:54
inserito nella "scatola degli attrezzi" :D

*Nexus*
30-09-2006, 18:43
Molto bello come programma, una cosa, avendo installato vista su un'altra partizione e lanciando il programma da windows xp trova anche files sulla partizione di vista, ma andando a rimuoverli da questo errore: http://www.hostingimages.org/pub/8378/ads.jpg

Non ho provato a lanciare il programma su vista per mancanza di tempo al massimo prossimamente farò qualche altro test, ah vista è in versione RC1 ;)

sampei.nihira
30-09-2006, 23:47
Paolo, ti segnalo che nel mio caso il software ha trovato vari ADS,ma non ha saputo eliminare dando l'errore inserito come immagine dall'utente NEXUS di:

1 immagine JPG
1 file MP3

che tra parentesi ho ricevuto da utenti o con allegati di posta elettronica oppure tramite MSN.
Naturalmente eliminando fisicamente i due file si eliminano anche gli ADS,quindi l'ho fatto subito.

Segnalo agli altri utenti che non avranno notato la cosa che scaricando alcuni software di installazione in download è possibile reperire immediatamente un ADS.
Uno tra i tanti è ad esempio il pacchetto di installazione di Opera 9.02.
Comunque un bel lavoro,complimenti !! ;) ;).

Vittorio_Bo
01-10-2006, 08:52
grazie molte per il tool Paolo

juninho85
01-10-2006, 12:17
al primo scan ha trovato un immagine(con SHA1 " ricevuta tramite msn e 4 file thumbs.db collocati nelle cartelle "musica" e "video" create da WMP....come devo valutare la cosa?:)

in allegato ho messo il risultato

juninho85
01-10-2006, 12:21
link (http://sicurezza.html.it/articoli/leggi/1046/alternate-data-streams-i-file-invisibili-di-window/)
..per chi non sapesse cosa sono gli ADS

sampei.nihira
01-10-2006, 21:05
Segnalo che anche il software HiJackThis è capace di individuare e rimuovere gli ADS.
Io non l'ho mai usato per questo scopo quindi non sò dirvi come funziona.
Non posso nemmeno fare una prova perchè i miei pc sono liberi da ADS.

Chi volesse provare deve lanciare l'applicazione.
Selezionare:

Open the misc Tool section

poi

Open ADS spy

Lanciare lo scan e per rimuovere gli ADS selezionare:

Remove selected

A parte questa info,non mi chiedete nulla perchè altro non sò dirvi !! :D :D :D

Sarei curioso di sapere se H. trova ADS ESCLUSIVAMENTE pericolosi oppure come il software di Paolo Monti tutti quelli presenti nei nostri PC

Vi sarei grato se qualcuno soddisfa questa mia curiosità !!
Grazie.

raceman
02-10-2006, 07:13
Anche Ewido 4.0. Controllare che in scanner/settings sia spuntato il flag a "scan in NTFS alternate data streams".

pmonti
02-10-2006, 10:05
Molto bello come programma, una cosa, avendo installato vista su un'altra partizione e lanciando il programma da windows xp trova anche files sulla partizione di vista, ma andando a rimuoverli da questo errore: http://www.hostingimages.org/pub/8378/ads.jpg
;)

Grazie per il report. L'unita' E: sul tuo PC è un hard disk esterno?

ciao,
Paolo.

*Nexus*
02-10-2006, 13:37
No l'unità E:\ è una partizione da 40 gb in un hd sata da 200 gb dove è installata la RC1 di windows vista :stordita:

lucadue
02-10-2006, 17:34
appena ho un attimo di tempo non mancherò di testarlo e darne una mi opinione ;)
Intanto t faccio i miei complimenti :cool:

federico_78
02-10-2006, 20:36
Ho appena fatto uno scan con questo programma e mi ha trovato una valanga di questi ads! Come mi devo comportare? Li posso eliminare tranquillamente?

Ciao!

acyd
03-10-2006, 11:33
Salve a tutti,

vi segnalo che ho appena rilasciato (in beta) un programma gratuito che, in modo simile a Streams e ADSSpy, è utile per individuare, cancellare ed esportare gli Alternate Data Streams (ADS) presenti su file system NTFS (New Technology File System). Come è noto, gli ADS non sono dannosi di per se, ma diversi malware cominciano a usarli per nascondere i propri file, quindi nella propria "scatola degli attrezzi" è opportuno includere strumenti in grado di esaminare questa caratteristica di NTFS.

http://www.nod32.it/getfile.php?tool=adsr

ciao,
Paolo.

Sto facendo un articolo sia sugli Ads e su come lavorano su vari sistemi patchati e non con relative vulnerabilità sia sui tool disponibili.
Il tuo differisce in qualcosa di sostanziale rispetto ad altri?
O rispetto a Hijackthis.
Sia come struttura di applicazione sia come ricerca.

pmonti
03-10-2006, 14:17
No l'unità E:\ è una partizione da 40 gb in un hd sata da 200 gb dove è installata la RC1 di windows vista :stordita:

OK. Un'ultima cosa: i file hanno impostato l'attributo di sola lettura, system o hidden?

ciao,
Paolo.

pmonti
03-10-2006, 14:21
Sto facendo un articolo sia sugli Ads e su come lavorano su vari sistemi patchati e non con relative vulnerabilità sia sui tool disponibili.
Il tuo differisce in qualcosa di sostanziale rispetto ad altri?
O rispetto a Hijackthis.
Sia come struttura di applicazione sia come ricerca.

Questa versione beta non differisce in modo sostanziale da ADSSpy, con l'eccezione che sul contenuto degli stream viene calcolato un hash SHA1, piu' sicuro rispetto a MD5.

La prossima versione, invece, conterra' un sistema per bypassare eventuali azioni di hijacking da parte di rootkit in user-mode.

ciao,
Paolo.

*Nexus*
03-10-2006, 15:41
OK. Un'ultima cosa: i file hanno impostato l'attributo di sola lettura, system o hidden?

ciao,
Paolo.
Read only ;)

pmonti
04-10-2006, 12:11
Read only ;)

Grazie mille. Ora ho capito dov'e' il problema :)

ciao,
Paolo.

*Nexus*
04-10-2006, 17:01
Prego, è un piacere "collaborare" con te :p

Gemma
05-10-2006, 09:25
vi prego di perdonare la niubbaggine, ma dopo aver letto l'articolo di HTML linkato mi è venuta una domanda, forse stupida, a cui spero qualcuno avrà la pazienza di rispondere:
leggo: "per ogni documento, è possibile memorizzare informazioni aggiuntive quali titolo, oggetto, autore, parole chiave ecc. attraverso la scheda Riepilogo presente nelle Proprietà del relativo file. Queste meta-informazioni vengono salvate in appositi ADS di sistema."
questo significa che se io elimino gli ads i files perderanno i dati inseriti nelle informazioni riepilogative?

juninho85
05-10-2006, 09:40
vi prego di perdonare la niubbaggine, ma dopo aver letto l'articolo di HTML linkato mi è venuta una domanda, forse stupida, a cui spero qualcuno avrà la pazienza di rispondere:
leggo: "per ogni documento, è possibile memorizzare informazioni aggiuntive quali titolo, oggetto, autore, parole chiave ecc. attraverso la scheda Riepilogo presente nelle Proprietà del relativo file. Queste meta-informazioni vengono salvate in appositi ADS di sistema."
questo significa che se io elimino gli ads i files perderanno i dati inseriti nelle informazioni riepilogative?
no,perdi solamente il file che riepiloga l'insieme di informazioni della tua collezione

.Kougaiji.
18-11-2006, 14:06
Non riesce ad eliminare file presenti in cartelle con kanji(ideogrammi) :/

simoTDI
23-12-2006, 14:39
cioè quindi il programma rileva tutti gli ADS e poi sta all utente decidere quali togliere seconda che siano sconosciuti o conosciuti? :)

juninho85
23-12-2006, 17:04
cioè quindi il programma rileva tutti gli ADS e poi sta all utente decidere quali togliere seconda che siano sconosciuti o conosciuti? :)
esatto.
comunque anche avg antispyware esegue la scansione sugli ADS,peccato che non me ne abbia trovato manco uno :D

simoTDI
25-12-2006, 00:39
esatto.
comunque anche avg antispyware esegue la scansione sugli ADS,peccato che non me ne abbia trovato manco uno :D
una volta lessi su Computer BIld che tra un confronto tra antispyware, ne risultava vincitore McAfee Antispyware, che puliva abbastanza a fondo... e spyboat invece bocciato, aveva trovato 1/3 delle minacce... oltre a rimuverne appena la metà :eek:
questo mi incuriosisce, lo proverò :) anche se devo dire, disporre di un software come ccleaner, che fa pulizia di tutto, è già un buon sostituto, visto che toglie molti risultati che trovano ad aware e spyboat .. :eek:

ps. la tua guida in sign sulla sicurezza pare ben fatta! :)

juninho85
25-12-2006, 00:49
ma ccleaner è in primis un pulitore di registro :confused:

simoTDI
25-12-2006, 01:14
ma ccleaner è in primis un pulitore di registro :confused:
pulisce però anche la cache , i cookie ... me ne sono accorto piu volte, facevo ccleaner e poi ad aware... risultato 0 per il secondo :eek: quindi toglie buona parte di cacca che hai nel pc...

certo, se gia hai installato un sex-poker che ti ha impestato il pc, poco gli fa... e poco di piu toglie ad aware...
ma nella navigazione accurata e ponderata su internet basta e avanza tenere solo quello ;) ormai sono su internet da 9 anni, so le insidie... :read:

juninho85
25-12-2006, 01:38
vabbeh cache e cookie non sono cacca,ma solo i residui che rimangano della tua navigazione sul webbe :p

simoTDI
25-12-2006, 02:18
vabbeh cache e cookie non sono cacca,ma solo i residui che rimangano della tua navigazione sul webbe :p
e perchè nn ti son mai capitati siti bastardi che attivano script nascosti?? pubblicità ,banner :O via nn esser pignolo, hai capito

juninho85
25-12-2006, 11:42
e perchè nn ti son mai capitati siti bastardi che attivano script nascosti?? pubblicità ,banner :O via nn esser pignolo, hai capito
eia,ma è un altro discorso questo :sofico:

simoTDI
25-12-2006, 12:28
eia,ma è un altro discorso questo :sofico:
sè vabbè ... :D buon natale :D

PrezerDj
27-12-2006, 20:28
premetto che fino a 30 minuti fa non sapevo neanche dell'esistenza di questa cosa... ho dei dubbi...

ma se uno quando lancia questo programma non sa neanche cosa dovrà cancellare poichè non sa cosa è dannoso o cosa addirittura serve al pc come fa ad usarlo?

non vorrei cancellare roba utile al pc o cmq utile a qualche programma...

come hanno detto prima avg antispyware non dovrebbe riconoscere quello che è davvero un codice maligno? almeno si toglie l'infezione senza cancellare dati che potrebbero essere utili...

questo programma mi sembra che cancelli tutti i contenitori a prescindere dalla loro utilità o dannosità.... è come se togliessi l'hd al pc per non farlo infettare

sampei.nihira
28-12-2006, 16:11
premetto che fino a 30 minuti fa non sapevo neanche dell'esistenza di questa cosa... ho dei dubbi...

ma se uno quando lancia questo programma non sa neanche cosa dovrà cancellare poichè non sa cosa è dannoso o cosa addirittura serve al pc come fa ad usarlo?

non vorrei cancellare roba utile al pc o cmq utile a qualche programma...

come hanno detto prima avg antispyware non dovrebbe riconoscere quello che è davvero un codice maligno? almeno si toglie l'infezione senza cancellare dati che potrebbero essere utili...

questo programma mi sembra che cancelli tutti i contenitori a prescindere dalla loro utilità o dannosità.... è come se togliessi l'hd al pc per non farlo infettare

Se userai il software inserito qui esso rimuoverà ogni ADS dai file che hai tu nel tuo HD.
Anche innoquo.
Che adesso sia innoquo non vuol dire che un domani lo rimanga per sempre.
Quindi tenuto presente ciò devi decidere tu.
Ci sono altri software che fanno lo scan degli ADS e rimuovono solo quelli che allo scan hanno "codice malevolo".
Uno di questi ad esempio è lo stesso HjackThis oppure lo stesso Gmer.

PrezerDj
28-12-2006, 17:17
capisco, il mio dubbio è che questi ads non malevoli possano servire qualcosa ai file... se ci sono un motivo ci sarà, se li cancello non rischio di compromettere i file?

juninho85
28-12-2006, 17:29
capisco, il mio dubbio è che questi ads non malevoli possano servire qualcosa ai file... se ci sono un motivo ci sarà, se li cancello non rischio di compromettere i file?
leggi qui (http://www.hwupgrade.it/forum/showpost.php?p=14062694&postcount=8) ;)

PrezerDj
28-12-2006, 17:37
leggi qui (http://www.hwupgrade.it/forum/showpost.php?p=14062694&postcount=8) ;)

l'avevo letto ma nn è che ci ho capito molto :P

simoTDI
29-12-2006, 15:22
Se userai il software inserito qui esso rimuoverà ogni ADS dai file che hai tu nel tuo HD.
Anche innoquo.
Che adesso sia innoquo non vuol dire che un domani lo rimanga per sempre.
Quindi tenuto presente ciò devi decidere tu.
Ci sono altri software che fanno lo scan degli ADS e rimuovono solo quelli che allo scan hanno "codice malevolo".
Uno di questi ad esempio è lo stesso HjackThis oppure lo stesso Gmer.

non è che sia un software per tutti eh ... anzi è uno di quelli da usare con le pinzette a quanto pare... e cmq ccleaner fa un eccellente lavoro :Prrr: lo preferisco magari vediam se mcafee antispyware riesco ad usarlo

sampei.nihira
02-01-2007, 16:33
Oggi per la prima volta ho eliminato degli ADS corposi.
Non come i soliti 0 e 26 che è possibile reperire quasi sempre.
Gli ADS erano inseriti nelle favicons dei preferiti....
Ho scelto come al solito la solita politica di "spazzare via tutto". ;)

simoTDI
03-01-2007, 19:01
bah... come ads è pure rilevato gamespy.. :O ma è un semplice portale di gioco online...

Faltux
20-01-2007, 13:13
Caro Paolo grazie per questo utile tool.
Lo sto usando già da qualche tempo ma all'ultima scansione mi ha rilevato alcuni file che non ha potuto rimuovere.
Sono tutti file (escluso 2 0 3) denominati "...\Thumbs.db (:encryptable:$DATA)" e che non appaiono visibili nelle cartelle che li ospitano. Vorrei eliminarli, come faccio?
Il fatto che siano criptati e con il simbolo del dollaro me li rende oltremodo antipatici... ;)

Grazie

Goet
05-02-2007, 21:26
Caro Paolo grazie per questo utile tool.
Lo sto usando già da qualche tempo ma all'ultima scansione mi ha rilevato alcuni file che non ha potuto rimuovere.
Sono tutti file (escluso 2 0 3) denominati "...\Thumbs.db (:encryptable:$DATA)" e che non appaiono visibili nelle cartelle che li ospitano. Vorrei eliminarli, come faccio?
Il fatto che siano criptati e con il simbolo del dollaro me li rende oltremodo antipatici... ;)

Grazie

mi sa che il simbolo del dollaro non significa che l'ads è "criptato"... vedi qua (http://sicurezza.html.it/articoli/leggi/1046/alternate-data-streams-i-file-invisibili-di-window/2/) .

ad ogni modo, i files thumbs.db sono dei "mini" files che windows si crea per visualizzare "più velocemente" le anteprime delle immagini contenute in una cartella. metto le virgolette perché è l'ennesima buffonata di windows... ^_^
sarebbe una specie di precaricamento nella cache... veramente inutile. almeno secondo me.
non vedi quei file perché windows li nasconde di default. per vederli da esplora risorse dovresti cambiare le proprietà di visualizzazione: apri una cartella qualsiasi --> menù strumenti --> opzioni cartella ---> visualizzazione ---> leva la spunta a "nascondi i file protetti di sistema"
così vedi proprio tutto...
ti conviene spuntare anche "non memorizzare le anteprime nella memoria cache", in modo tale che windows non crei più i thumbs.db, cancellarli ovunque, e poi rimettere la spunta a "nascondi i file protetti di sistema" :)

StarTac
06-02-2007, 16:30
Uno stream alternativo di tipo eseguibile deve essere caricato in memoria prima di essere lanciato. Questo consente al motore di scansione in tempo reale dell'antivirus di intervenire e bloccare l'infezione.

Un buon antivirus ci toglie da tante inutili paranoie ;)

KingOfTheDark
07-03-2007, 15:42
scusate l'ignoranza ma quando io rimuovo l'ads mi elimina anke il file a cui era associato?

juninho85
07-03-2007, 15:46
scusate l'ignoranza ma quando io rimuovo l'ads mi elimina anke il file a cui era associato?
no

KingOfTheDark
07-03-2007, 15:52
ok grazie

ElPipo
29-07-2007, 11:14
ho appena fatto la scansione con ADS e ho paura a controllare quanta robba ha trovato..tipo 200 file?
speriamo bene..

xcdegasp
18-12-2007, 14:24
Tolgo il thread dal rilievo perchè linkato dal "Thread Importanti" e dal thread "Guida alla Disinfezione per Infetti" presente nell'area "Aiuto sono ifetto! Cosa faccio?" :)


Una modifica che secondo me sarebbe utile è inserire come default la scansione a tutti i dischi locali ecsludendo unità ottiche... :)

adempius
17-01-2008, 20:21
raga io ho installato adsr ho fatto la scansione mi trova milioni di file ma non li elimina, mi fa un errore --error deleting the file stream impossibile trovare ilpercorso specificato.. perchè?

riazzituoi
03-02-2008, 20:32
.

lupin87
04-02-2008, 07:32
Non so se lo sapete,

comunque vi segnalo che l'ultima versione è la 1.0.0.1, uscita il 30/04/2007, (io usavo ancora quella vecchia :muro: ) in cui è stata aggiunta la possibilità di eliminare NTFS stream con attributo di sola lettura

Grazie Paolo Monti

potresti postare il link per il download?

riazzituoi
04-02-2008, 19:18
.

holsen1982
07-02-2008, 16:01
E' normale che un log di adsr sia cosi lungo?
http://www.fileup.itadib.com/download.php?id=CxCUiZz9wqMdHRP3jZhq

Cizzu
17-04-2008, 07:56
mi sa che il simbolo del dollaro non significa che l'ads è "criptato"... vedi qua (http://sicurezza.html.it/articoli/leggi/1046/alternate-data-streams-i-file-invisibili-di-window/2/) .

ad ogni modo, i files thumbs.db sono dei "mini" files che windows si crea per visualizzare "più velocemente" le anteprime delle immagini contenute in una cartella. metto le virgolette perché è l'ennesima buffonata di windows... ^_^
sarebbe una specie di precaricamento nella cache... veramente inutile. almeno secondo me.
non vedi quei file perché windows li nasconde di default. per vederli da esplora risorse dovresti cambiare le proprietà di visualizzazione: apri una cartella qualsiasi --> menù strumenti --> opzioni cartella ---> visualizzazione ---> leva la spunta a "nascondi i file protetti di sistema"
così vedi proprio tutto...
ti conviene spuntare anche "non memorizzare le anteprime nella memoria cache", in modo tale che windows non crei più i thumbs.db, cancellarli ovunque, e poi rimettere la spunta a "nascondi i file protetti di sistema" :)


C'è un modo per cancellare tutti i file thumbs.sb ? Perchè una volta che ho ripulito il sistema con ADSR, questi benedetti file brulicano dappertutto! Me li ritrovo ovunque, ed alcuni non sono nemmeno eliminabili...

Altra domanda... ma io con Ad-Aware, già facevo la scansione ADS ... è necessario fare la scansione anche con ADSR ?

riazzituoi
17-04-2008, 17:58
.

theBlooder
17-05-2009, 21:49
raga io ho installato adsr ho fatto la scansione mi trova milioni di file ma non li elimina, mi fa un errore --error deleting the file stream impossibile trovare ilpercorso specificato.. perchè?
Stesso errore con la 1.0.0.1