توضيح ما هي ADS
هذه الطريقة في الأساس تدعي Alternate Data Streams وتُعرف اختصاراً باسم ADS. وبدون الخوض في مصطلحات تقنية وتفاصيل عمية، فهذه الطريقة ليست فقط تستطيع اخفاء الملفات من Windows Explorer، بل أن Windows Explorer أو مستعرض الملفات في نظام ويندوز لا يستطيع استعراض أو فتح الملفات التي تم اخفاؤها بتلك الطريقة من الأساس.
هذه الطريقة لها مميزات ولها عيوب أيضاً سنتطرق لها في هذا الموضوع أو في فيديو الشرح المُضمن في هذه الصفحة. حيث أنه يتم استغلال مميزات هذه الطريقة في عمل إخفاء كامل لنصٍ ما أو ملف داخل ملف آخر آمن وطبيعي بطريقة تستطيع بالكاد أفضل برامج مكافحة الفيروسات اكتشافها بطريقة مباشرة، وهذه الميزة الرئيسية لطريقة ADS، بينما عيوبها البارزة هي تسهيل عملية اخفاء الفيروسات داخل الملفات العادية بسهولة.
استزاده
Alternate Data Stream (ADS) أو بديل دفق البيانات، هو إمكانية متوفرة في نظام الملفات NTFS (نظام ملفات رئيسي لأنظمة Windows) لتخزين تدفقات مختلفة للبيانات، كان الغرض الأساسي منها هو توفير دعم لنظام الملفات الهرمي لنظام macOS المعروف باسم (HFS).
لأن نظام NTFS الملفات فيه تحتوي علي سمات "attributes"، السمة التي نركز عليها في إخفاء وإظهار الملفات تُدعي "$DATA attribute" والتي تستخدم في تخزين تدفقات البيانات لملفٍ ما.
في الماضي الغير بعيد، كان من الشائع تخزين حمولة ضارة (فايروس مثلا) داخل ADS لملف برئ وموثوق به. لكن اليوم، العديد من الحلول الأمنية - القليلة - يمكنها اكتشاف الملف وفحص ما يتحويه من ADS. ومع ذلك، في هذه الأيام نستطيع إخفاء ملف أو نص داخل ملف آخر باستخدام هذه الطريقة وتتجاوز بها برامج الحماية من الفيروسات بسهولة.
نقاط ضعف طريقة Alternate Data Streams
- تعمل فقط طريقة الإخفاء تلك علي الأقراص ذات نظام الملفات NTFS، حيث يتم فشل نقل هذه الملفات وإظهارها علي أنظمة الملفات الآخري مثل FAT32 و exFAT وغيرها.
- يتم تجريد الملف من خصائص Alternate Data Streams في حالة رفع الملف Online علي أحد المواقع أو إرفاقه في رسالة بريد إلكتروني، لكي يعد بذلك ملفاً تالفاً.
- يستلزم تطبيق الطريقة في إخفاء وإظهار الملفات، نفس نظام التشغيل.
فيديو الشرح
شرح طريقة إخفاء نص داخل ملف نصي بشكل سري
مستخدماً الأوامر الموضحة أدناه وفي فيديو الشرح أيضاً إخفاء نص داخل ملف نصي خالي من البيانات تماماً.
الأمر التالي لفتح ملف نصي خفي داخل ملف يسمي example.txt، لاحظ أن كلمة whatever التي تأتي بعد النقطتين : هما قيمة ADS التي سوف تحمل النص الخفي.
notepad example.txt:whatever
الآن سوف يتم فتح ملف نصي يمكنك كتابة فيه ما تود إخفاؤه، ولن يظهر هذا النص عِند فتح الملف بشكل طبيعي، بل لابد وأن يتم تنفيذ الأمر السابق الذي يحتوي علي قيمة ADS لكي يتم فتح الملف الخفي. علماً بأنه لا يمكن الوصول لهذا الملف الخفي إلا بواسطة الأمر التالي.
dir /r
شرح طريقة إخفاء ملف داخل ملف آخر
يمكنك إخفاء ملف، صورة مثلا باسم image.jpg داخل ملف نصي باسم imagetest.txt باستخدام الأمر التالي.
type image.jpg > imagetest.txt:picture.jpg
لاحظ أن picture.jpg هي قيمة ADS لأنها جائت بعد علامة : كما أنك تستطيع كتابة قيمة ADS بأي اسم، لكن انا اخترت تسميتها بهذا الاسم للسهولة فقط.
لاحظ في الصورة الآتية حجم الملف الفِعلي 0 ك.ب. وحجمه الحقيقي بعد إخفاء صورة حجمها 4.5 م.ب. تقريباً في Size On Disk.
ومن خلال الأمر التالي يمكنك استخراج الملف الخفي من داخل الملف المحتوي عليه.
expand imagetest.txt: picture.jpg extracted.jpg
لاحظ أن الملف بعد استخراجه بواسطة الأمر expand سيتم حفظه باسم extracted.jpg. يمكنك تسمية الملف المستخرج بأي اسم كما يحلو لك.
هذا الحديث ليس من صلب الموضوع بشكل كبير، لكن لماذا كان علينا توضيح ذلك؟ ذلك لإثبات أن تلك الطريقة من الصعب التعرف علي الملفات المخفية بواسطتها، ولابد أن تكون مُلِم بهذه الطريقة التي سوف نتعلمها في هذا الموضوع.
كيفية العثور علي الملفات المختفية بطريقة ADS
استخدام ADS لإخفاء الملفات علي نظام Windows ليست مقتصرة علي إخفاؤها فقط من Windows Explorer، في الوقع Windows Explorer لا يستطيع التعامل مع تلك الملفات - قراءة أو كتابة -. هذه الطريقة تُستخدم من قِبَل بعض فيروسات الحواسيب الإلكترونية التي تنشط علي نظام Windows وذلك بإخفاء نشاطها في صورة Alternate Data Streams داخل الملفات المُصابة بالفيروس.
مهووسو الكمبيوتر أو ما يعرفون بـ Computer Geeks منذ بضعة سنوات، بكل تأكيد سيتذكرون فيروس نظام الويندوز الذي كان يقوم بعمل ملف ذو حجمٍ كبير للغاية حتي يمتلئ قرص النظام "C:/" حتي يصل إلي 100% ويتم شلّ النظام بالكامل ولا يتبقي لك اختياراً سوي عمل تهيئة "Format" للقرص وإعادة تثبيت النظام، وكان المستخدم لا يستطيع الوصول لهذا الملف ذو الحجم الكبير سواء عبر Windows Explorer أو من خلال خاصية البحث في الويندوز "Windows Search"، حتي برامج تحليل البيانات "Data Analyser" كانت لا تستطيع هي كذلك الوصول لتلك الملفات.
يمكنك بسهولة التعرف علي الملفات التي تحتوي علي $DATA خفية بواسطة تقنية ADS من خلال تحميل البرنامج التالي.