Problema Aumentare la sicurezza, controllando gli ADS e altri elementi, apparentemente secondari, del file system Soluzione StreamArmor cerca gli ADS associati ai file in NTFS per verificare la presenza di malware, visualizzarli e cancellar
Il file system NTFS (New Technology File System) utilizzato
dai sistemi operativi Microsoft fu introdotto per sostituire il precedente FAT32,
meno efficiente, meno affidabile e meno versatile.
Una delle sue caratteristiche prevede la possibilità di associare un
ADS (Alternate Data Stream: “flusso alternativo di dati”)
a un file o a una cartella. Un ADS può essere un file di qualsiasi dimensione
e tipologia (dati o programma).
Gli utenti, però, non possono verificarne la presenza con i normali
strumenti di Windows. Per esempio, visualizzando file e cartelle in (Risorse
del) Computer, gli eventuali ADS non appaiono. Chi ha maggiori
competenze tecniche può provare a gestirli aprendo i file nella finestra
a linea di comando di DOS (Start, Esegui, “cmd”,
Non riuscire a visualizzarli in modo semplice, non sapere cosa vi sia contenuto
e il fatto che possano essere file di dati o addirittura programmi sono elementi
che favoriscono la possibilità di associare malware ai file
in NTFS.
Intervento degli antivirus a parte, per difendersi dall’ennesimo tipo
di attacco informatico si può utilizzare StreamArmor. L’applicazione
legge il contenuto dei supporti di memoria alla ricerca di ADS e ne visualizza
il contenuto per verificare se dovessero contenere codice maligno. Può
anche cancellarli dai file a cui sono associati.
StreamArmor può controllare una cartella con le relative sottocartelle,
un disco o tutti i supporti di memoria del computer. Il risultato della scansione
è una tabella dei file corredati di ADS.
L’informazione più rilevante viene fornita dal colore di sfondo
di ogni riga:
• giallo pallido, se l’ADS è da controllare;
• arancione, se il suo contenuto è sospetto;
• rosa carico tendente al rosso, se il contenuto è considerato
pericoloso.
Per verificare il livello di pericolosità di un ADS, se ne sottopone
l’hash (impronta, firma) al controllo di un sito Internet. Nelle
opzioni, StreamArmor permette di selezionare fino a tre siti specializzati
in questo compito, ai quali inviare uno alla volta dati risultanti dalla scansione.
L’intera tabella può essere esportata in un file di formato HTML,
in modo da poterla visualizzare successivamente come pagina Web, in qualsiasi
momento con un browser.
Selezionando una riga della tabella, nella metà inferiore della finestra
appare un’istantanea (snapshot) del contenuto dell’ADS.
Sulla destra vengono visualizzate altre notizie relative alle proprietà
del file, tra cui le dimensioni e se il contenuto è eseguibile o meno.
L’ADS risultante di una scansione può essere salvato in un file
locale e visualizzato per intero. In quest’ultimo caso, viene aperto in
una finestra di WordPad o di un altro programma di gestione testi definito
dall’utente nelle opzioni.
Ben più importante è il fatto che può essere cancellato
con il pulsante Delete, eliminando con un solo clic il flusso alternativo
di dati dal file a cui è allegato.
StreamArmor prevede due gruppi di opzioni di funzionamento, di cui
uno (pulsante Options) per utenti esperti. Nel primo gruppo, invece
(pulsante accanto a Start scan), si sceglie se evitare di considerare
gli ADS di dimensioni zero, quelli associati alle cartelle e quelli noti come
quelli generati da Internet Explorer e da Windows.
|
Carta
d’identità |
|
| Software: | StreamArmor |
| Categoria: | Lavoro |
| Versione: | Freeware |
| Lingua: | Inglese |
| S.O. | Windows 7 (32 e 64 bit), Vista (32 e 64 bit), XP e 2000 |
