- Alternativer Datenstrom
-
Alternative Datenströme sind eine Datenstruktur zur Aufnahme zusätzlicher strukturierter Daten innerhalb einer Datei neben den Hauptdaten – ein Konzept, um zu einer Datei mehrere Datenströme zu speichern.
Obwohl auch jenseits verwendet und ursprünglich aus anderer Umgebung kommend, ist das Konzept heute besonders aus dem Bereich des Apple Macintosh mit den sogenannten Resource forks bekannt.
Im HPFS-Dateisystem von OS/2 heißen diese Daten erweiterte Attribute (EA).
Inhaltsverzeichnis
Apple Macintosh
Im Bereich des Apple Macintosh können Dateien neben dem sogenannten data fork mit den Hauptdaten einen sogenannten resource fork enthalten. Diese Datenstruktur wird in Apples Dateisystemen (MFS, HFS, HFS+) eingesetzt, um Metadaten von beliebigem Umfang aufnehmen zu können und hält zum Beispiel in Programmdateien Ressourcen wie Icons, Menüinhalte oder auch Programmcode vor oder die Nutzdaten einer Schriftartendatei.
Indem zu einem Programm gehörige Texte und Bilder im Resource Fork seiner Programmdatei vorgehalten werden, kann das Programm durch deren Bearbeitung mit einem sogenannten Resource Editor lokalisiert werden (Sprachanpassung).
Gebräuchliche Editor-Software für den Zugriff auf die Inhalte von Resource Forks und deren Bearbeitung sind:
- ResEdit: eine kostenlose Software von Apple mit graphischer Darstellung der Datenstruktur und ihrer Inhalte (veraltet),
- Resorcerer: eine beliebte, wenngleich teure, kommerzielle Anwendung, die mehr Datentypen kennt als ResEdit,
- ResKnife: eine Freie Software für Mac OS X
- Rezycle: ein Mac-OS-X-Werkzeug, das Resource-Fork-Inhalte in separate Dateien extrahieren und teils dabei in brauchbarere, modernere Formate wandeln kann.
Solaris
Wenn ein ZFS-basiertes Dateisystem unter Solaris mit dem Kernel-basierten SMB-Dienst exportiert wird, dann werden Alternate Data Streams auf Dateien gleichen Namens in der zugeordneten Extended Attribute Directory der jeweiligen Basis-Dateien abgebildet.
Windows
Das Windows-Dateisystem NTFS ermöglicht sogenannte Alternate Data Streams (ADS). Mit dieser Funktion können Daten vom Benutzer unsichtbar fest an eine Datei gebunden gespeichert werden. Dieses Merkmal ist weniger bekannt und die Datenströme sind problematischer aufzufinden als die Resource Forks des Apple Macintosh. Alternate Data Streams sind eine vereinfachte Implementierung des unter Solaris und NFSv4 verfügbaren Extended-Attribute-Namensraums, der auf den Dateisystemen UFS und ZFS implementiert ist.
Verwendung
Microsoft Windows 2000 und Windows XP verwenden ADS-Unterdatenströme zur Speicherung von Vorschaubildern, zur Speicherung der in der Eigenschaftseite jeder Datei verfügbaren Metadaten und je nach Anwendung noch deutlich mehr. Unter Windows XP (ab Service Pack 2) wird außerdem ein sogenannter Zone Identifier gespeichert, der es ermöglicht, auch im Nachhinein Dateien zu erkennen, die aus dem Internet heruntergeladen wurden. Beim Herunterladen fügt der Internet Explorer und seit Version 3 auch der Mozilla Firefox die entsprechenden Informationen hinzu.
Konzept
Zu jeder Datei können beliebig viele Unter-Streams gespeichert werden. In der Praxis heißt das, dass man jeder Datei beliebig viele andere Dateien zuweisen kann, die nicht sichtbar sind, aber – solange der Vorgang innerhalb von NTFS-Laufwerken stattfindet – zusammen mit der Datei verschoben und kopiert werden. Der Zugriff auf die versteckten Dateifragmente findet mit einem Doppelpunkt statt: beispiel.txt:meinedatei.txt kennzeichnet einen zu der Datei beispiel.txt gehörigen Datenstrom namens meinedatei.txt. Neben Dateien können auch Ordner zusätzliche Datenströme enthalten, was das Auffinden von ungewollten ADS erschwert.
Sicherheit
- Da die ADS-Ströme für den Benutzer unsichtbar sind und noch nicht alle Antivirenprogramme in der Lage sind, die ADS zu durchsuchen, können Viren diese Funktion ausnutzen.
- Daten in ADS sind genau wie normale Dateien ausführbar. Im Autostart können solche ausführbaren Daten mit einem start-Kommando ausgeführt werden.
- Sollen Dateien rückstandslos gelöscht werden, müssen ADS-Ströme auch berücksichtigt werden.
- Beim Berechnen von Ordnergrößen, z. B. in den Eigenschaften eines Ordners im Windows Explorer, geht der durch ADS-Ströme belegte Platz nicht in die Berechnung mit ein. Es können so große Datenmengen „versteckt“ werden, die nur schwer zu finden sind.
Beim Übergang zum Betriebssystem Windows Vista hat Microsoft aus Sicherheitsgründen die Verwendung von ADS-Strömen stark eingeschränkt.
Beispiel
Erzeugung eines ADS
Im Kommandozeileninterpreter erzeugt folgende Kommandozeile eine Datei myfile.txt mit einem ADS mit dem Namen myads.txt und dem Inhalt "Wikipedia":
echo "Wikipedia" > myfile.txt:myads.txt
Auch ausführbare Dateien (hier der Windows Taschenrechner) lassen sich in ein ADS schreiben (hier in den ADS des Dateiverzeichnisses Windows):
type C:\Windows\system32\calc.exe > C:\Windows:bad.exe
Anzeige eines ADS
Der Inhalt kann folgendermaßen angezeigt werden:
notepad myfile.txt:myads.txt
Auflisten eines ADS
Ab Windows Vista können die Namen von alternativen Datenströmen mit folgender Eingabe angezeigt werden:
dir /r
Ausführen eines ADS
Um die Datei zu starten, genügt die folgende Eingabe:
start C:\Windows:bad.exe
Entfernen eines ADS
Das Entfernen eines ADS ist umständlich, weil der delete-Befehl (del) für ADS nicht funktioniert. Daher können auf einfache Weise auch nicht einzelne, sondern nur alle ADS, die zu einer Datei gehören, entfernt werden:
type myfile.txt > myfile.bak del myfile.txt ren myfile.bak myfile.txt
Eine Datei mit ADS kann zu einem anderen Dateisystem, das ADS nicht unterstützt (zum Beispiel FAT32) kopiert und zurück kopiert werden. Dabei gehen allerdings jegliche ADS verloren.
Einfacher geht es mit dem streams-Kommando aus der Windows Sysinternals Suite:
streams -d -s *.*
entfernt rekursiv im Dateisystem alle ADS-Streams. Die Option -d steht für Delete, die Option -s für rekursiv. Ohne -d werden die Streams nur aufgelistet.
Weblinks
NTFS-ADS
- Special: Datensicherheit im Unternehmensumfeld Fachartikel inklusive Vorbereitungstipps und Tools
- Gefahr aus der Schattenwelt: Alternate Data Streams als Versteck für Schädlinge auf den Seiten von heise Security
- Schwachstellen der neuen SP2-Sicherheitsfunktionen - Artikel zum Zone Identifier auf heise Security
- Programm zur Suche und Ansicht von ADS Software zur Suche und Entfernung von Alternate Data Streams
- The Dark Side of NTFS (Microsoft's Scarlet Letter)
- FAQ zu ADS + ein Tool zum Suchen von ADS auf der Kommandozeile
- Streams, ein offizielles Microsoft-Tool zum Anzeigen und Entfernen von ADS auf der Kommandozeile
Mac resource forks
Siehe auch
- Erweiterte Dateiattribute
Kategorien:- Dateiverwaltung
- IT-Sicherheit
- Sicherheitslücke
Wikimedia Foundation.
