[ADS 資料流工具] StreamArmor 中文版&清除 ADS 教學

作者：無痕之音│2010-08-05 20:39:57│巴幣：0│人氣：1554

近期在這個網站找到了一個滿不錯的工具；
這幾天就是有空都在玩這軟體，發現還挺不錯用的，唯一缺點就是掃瞄速度不快，但它
可以幫您將於 ADS 內的檔案資料帶出來，說真的，要我用 DOS 指令去做這事情我還
不會，軟體工具還是最快最省力的方法。

以下是此軟體之官網：
http://securityxploded.com/streamarmor.php

關於 ADS 是什麼？在前篇我就有略過一提：
【...】所謂免費的隱藏資料檔案軟體，跟本就...
所以這個工具正好就是為了處理、應對 ADS 資料流而生的。
這軟體完全免費，我找來找去似乎就只有找到這一款視覺化又好看的 ADS 安全工具，此軟體之定位係以輔助防毒軟體及資料安全的角度而出發，所以對於 Alternate Data Streams 之觀念會分為三種：

1.危險│只要被分析出為 EXE、COM、DLL、MSI、CLASS 等都是
2.可疑│只要是影像、音效、圖片、媒體檔等或格式不明，但仍可從副檔名及內容判斷均為可疑項
3.待分析│這邊主要就是格式不明無法分析的檔案必須進一步分析

這是 StreamArmor v1.0.0.1 中文化後之介面：

StreamArmor v1.0.0.1 中文版檔案載點：
Dropbox載點：https://dl.dropboxusercontent.com/u/58595124/StreamArmor.rar
Google載點：https://drive.google.com/uc?export=download&id=0B7OOPCwmysOoNXlXNVNJd1RoREU
主程式 SHA-1：3995A2099AF00AA5DB92E69A5D5326AEFC5D740A
壓縮包 SHA-1：B99F22D56CFBB77BDA01880D49AF5499E076BDFA

圖中的檔案是我自己崁進 ADS 做出來的，內含 ADS 資料的檔案僅能在 NTFS 檔案系統內做搬移，也不能做壓縮、或上傳至免空之動作，否則解壓縮或下載回來後檔案內的 ADS 資料必定會遺失。如果你要將內含 ADS 的檔案搬移到一個 FAT/FAT32 等非 NTFS 檔案系統之格式儲存媒體，那就會跳出如下的對話框：

這邊就順帶一提介紹一下這軟體掃到 ADS 後的處理方式好了：
1) 這是我自己 DIY 了四份依序為 XueTr.exe (1.38 MB)、GOOGLE.FLV (11.3 MB)、MM.EXE (310 KB)、ADS.TXT (34 位元組)。

在將四份達 13.0 MB 崁進 "手機電話號碼算命.xls" 的 ADS 後，大小及外觀完全沒有任何改變，一樣還是 30.5 KB

2) 崁進後 StreamArmor 掃出資訊如下：

這邊直接利用此工具針對 XueTr、MM.EXE 線上掃瞄如下，點下後開啟網站，不用點按按鈕 (但它不穩定會當掉跳出)：這個動作就是直接到 https://www.virustotal.com/zh-tw/ 頁 > "搜尋" 以 MD5 碼直接搜尋得到的結果。

3) 在軟體右下方有個「選項」，您僅需要注意看要一次送三家還是一家做 Online 檢查就好：
1.最左(預設) 為推薦選項，一般這個即可
2.ThreatExpert 這個較適合進階者看
3.狀態不明，目前官網主機維護中？

這邊可得到結果，最右邊的網站可能是程式設計瑕疵，無法開啟：
XueTr：https://www.virustotal.com/zh-tw/file/edd274931524a609a0e9649d1a46061f3c345434f4ba8d09dd4f7f2f4a76f16e/analysis/
ThreatExpert：無報告
MM.EXE：https://www.virustotal.com/zh-tw/file/b978302a6e9162ec5203421551e7a97a88b8b24bb91cd34f2d0c5a0d07bd6f3c/analysis/
ThreatExpert：http://www.threatexpert.com/report.aspx?md5=b0eb391f4b212574ad4d0b7b7051c513

4) 然後我說明一下此軟體左下「儲存」之用途，掃瞄找到檔案後可點一下將它匯出：

5)如上圖，點選右邊的「刪除」不會把本體檔案砍除，而是僅移除 ADS 資料，SO 請放心按下吧！
6) 通用選項之說明：

7) 如果掃出的檔案很多很長，可以選擇將報告匯出，我極不建議 ADS 用此軟體處理，它不能批次處理檔
案，要一個個砍除，很累又沒效率，建議可以用 EFIX 或 COMBOFIX 的腳本指令一次清除比較快：
(BTW：此 HTML 報告不論是語系還是字型內容、報告名稱我都弄好了，直接以 UTF-8 顯示中文會有亂碼)
→ 預設之報告名稱為：資料串掃瞄結果報告.html

此程式開發之日期：27th Mar 2010 (2010年5月27日)
V1.0.0.1 中文化日期：2010年8月5日

8) 我簡單介紹一下用 COMBOFIX、EFIX 清除 ADS 資料的方法：
請注意，檔案路徑依掃瞄結果而定，請勿自行亂加亂試，否則把系統弄出問題恕本人不負責。
++++++++++++++++++++++++++++++++++++++++++++
Combofix(可點一下到EFIX作者官網下載)
1.不包括虛線 Copy 以下指令，然後將之貼上記事本存成「CFScript.txt」再拖到 combofix 圖示上：
-----------------------------------
ADS::
C:\WINDOWS\SYSTEM32\CMD.EXE
-----------------------------------

2.靜待 Combofix 完成掃瞄及清除動作。
++++++++++++++++++++++++++++++++++++++++++++
Efix:
1.不包括虛線 Copy 以下指令，然後選「自訂腳本」後貼上內容點「開始」：
-----------------------------------
CLEAN ADS::
C:\WINDOWS\SYSTEM32\CMD.EXE
-----------------------------------