آيا NTFS يك ريسك امنيتی است؟‌

 PC Welt
وهاب حاجي‌باقري

اطلاعات بر روي streamهاي مختلف NTFS مي‌توانند اطلاعات پنهاني را در برداشته باشند. بعضي از تروآهاي ديجيتالي از اين streamها و اطلاعات موجود در آنها استفاده مي‌كنند تا خود را پخش كنند. آيا streamهاي NTFS يك آشيانه ايده‌آل براي ويروس‌ها نيستند و بدينوسيله يك ريسك امنيتي بزرگ به حساب نمي‌آيند؟

از زمان ويروس W2K/Streams در سال 2000، يكسري از تروآهاي مثلا: VBS/PhotoK-A (2001) و W2K.Team (2002)، W32/Dumaru(2003) يا Trojaner Dloader-cs(2004) ازNTFS Stream  استفاده مي‌كنند.

متداولترين متدي كه از آن استفاده مي‌كنند اين است كه: در قسمت مربوط به يك داده سيستم بنشينند و كد اصلي را به Stream منتقل كنند.

سپس اگر داده سيستم مثلا: Rundll32.EXE خوانده شود، در حقيقت ويروس شروع به كار مي‌كند و سپس داده سيستم را از Stream مي‌آورد.

اين روش و تكنيك‌هاي مانند آن به همان اندازه خطرناك‌تر مي‌شوند چون طراحان اسكنرهاي ضدويروس Stream تاكنون همه چيز را دنبال هم در نظر نگرفته و به آن توجه نكرده‌اند.

اما در حقيقت خطر تهديد كننده توسط Stream آنقدر بزرگ نيست:

هنگامي كه ويروس Stream از تكنيك طرح شده استفاده مي‌كند، سپس كد مخرب در داده مركزي قابل پيدا كردن است و در نتيجه هر اسكنر ضد ويروس مي‌تواند آن را شناسايي كند.

اگر يك ويروس خود را به صورت كامل در يك Stream مخفي كند، درست است كه نرم‌افزار ضد ويروس آن را پيدا نمي‌كند اما توسط چنين كاري هرگز توانايي فعال شدن را نخواهد داشت.

با توجه به حدس ما، هيچ‌گونه تكنيك تقسيم جديدي براي ويروس‌ها از اين راه باز نمي‌شود. Streamها تنها مكان مخفي خوبي براي داده‌ها مي‌باشند. پس به هر حال اين امكان وجود خواهد داشت كه كد مضر قابل ديد را كمتر كنيم و باقي مانده را در Streams انبار كنيم.

Copyright 2005 IDG News Service.All right reserved.
Copyright 2005, PC World Iran, All rights reserved.