Gli ADS e il file system “alternativo”

Gli Alternate Data Stream permettono una gestione più robusta e versatile del file system associando un gruppo di dati alternativo a quello base. Eccone elencati vantaggi e pericoli.

In un sistema operativo il file system è la struttura in cui
vengono gestiti i programmi e gli archivi registrati nei supporti di memoria.
Quello di Windows è di tipo gerarchico ad albero inverso, nel senso che
parte da una radice in alto (il Desktop) ed è costituito da
una serie di cartelle, ognuna delle quali strettamente dipendente da quella
di livello superiore.

In Windows 98 il file system era FAT32 (File Allocation Table
32 bit
) che aveva una serie di limitazioni. Per superarle, con Windows
NT è stato rilasciato il file system NTFS (New Technology File System).

Alcuni dei vantaggi della nuova struttura di gestione dei file sono:

• file di maggiori dimensioni unitarie;
• cluster più piccoli per ogni file, sprecando meno spazio su disco;

• crittografia dei file.

Queste e altre caratteristiche hanno fatto sì che l’NTFS sia utilizzato
in tutte le versioni successive del sistema operativo Microsoft, compreso Windows
7.

Gli ADS e i relativi pericoli
Con una maggiore robustezza e versatilità, in NTFS è arrivata
anche la gestione degli ADS (Alternate Data Stream) la cui traduzione
sta per “flusso alternativo di dati”. In pratica significa che nel nuovo file system al gruppo di dati “di base”
di un file è possibile associarne uno “alternativo”.

Il gruppo di dati “di base” è il file stesso. I dati alternativi
sono contenuti in un altro file legato al primo, come ADS. L’utente, però,
non se ne accorge perché, aprendo il file system con (Risorse del)
Computer, non riesce a visualizzare nulla che si riferisce a essi.

Tra l’altro, gli ADS possono essere di qualsiasi dimensione e contenere
dati di qualsiasi genere o, addirittura, applicazioni. Dato che sono invisibili
con i normali strumenti del sistema operativo, possono diventare particolarmente
pericolosi. Chi ha antivirus che lavorano in tempo reale, però, deve
contare sul fatto che l’eventuale codice pericoloso viene intercettato
e bloccato nel momento in cui ne viene avviata l’esecuzione.

A che servono
In NTFS gli ADS sono stati introdotti per motivi di compatibilità con
computer Apple Mac che avevano un sistema di gestione simile. In seguito sono
stati utilizzati per registrare dati utili per la gestione di specifiche categorie
di file.

Per esempio, vengono sfruttati per registrare le proprietà dei file,
visualizzabili con:

• clic con il tasto destro sull‘icona;
Proprietà;
Dettagli.

Vengono utilizzati anche nei file di sistema Thumbs.db (contenenti
le miniature delle immagini memorizzate in una certa cartella) e per distinguere
i file prelevati da Internet da quelli preesistenti nel disco.

Come gestire gli ADS
Chiunque può sfruttare gli ADS per aggiungere contenuti di qualsiasi
genere a un normale file, purché ci sia spazio libero a sufficienza sul
supporto di memoria.
Dato che Windows non offre strumenti software specifici per gestire questi elementi,
un modo per lavorare con gli ADS è aprire la finestra DOS con:

• clic su Start di Windows;
Esegui;
• scrivere “cmd” e premere Invio>.

Per aggiungere il file secondo.exe come flusso alternativo di dati a primo.doc,
dopo essersi portati nella cartella dove è memorizzato, nella finestra
DOS si scrive:

• type secondo.exe > primo.doc:secondo.exe

Premendo Invio>, l’associazione viene confermata. Il
file secondo.exe può essere di qualsiasi tipo (eseguibile, immagine,
filmato audio e così via) e di qualsiasi dimensione.

Visualizzando primo.doc in (Risorse del) Computer
prima e dopo l’aggiunta, si può verificare che le sue dimensioni
non sono cambiate, mentre sono state variate l’ora e la data dell’ultima
modifica.

Per lanciare in esecuzione un file di tipo ADS dalla finestra DOS, ci si porta
nella cartella in cui è contenuto primo.doc e si scrive questo comando:

start primo.doc:secondo.exe Invio>

Verifica della presenza di ADS
Per gli utenti, si diceva, una delle difficoltà da affrontare è
che gli ADS normalmente non sono visualizzabili. Per cercare di difendersi dall’ennesimo
tipo di accesso indesiderato al proprio sistema operativo, allora, si può
utilizzare StreamArmor. Il programma esegue una scansione dei supporti
di memoria per verificare la presenza di ADS nei file e per segnalare l’eventuale
presenza di codice maligno. Gli si può chiedere di controllare un intero
disco o una cartella e relative sottocartelle.

Ci sono diversi altri programmi freeware di questo tipo, individuabili tramite
i motori di ricerca in Internet con parole chiave come “programmi freeware
gestione alternate data stream”

Come eliminare gli ADS
Per togliere un ADS da un file, si possono utilizzare diversi sistemi. Quelli
più veloci sono:
• cancellare il file;
• copiarlo in un altro drive in FAT32.

Nel primo caso il problema si estingue, ma lo si può fare solo se il
file di riferimento non contiene nulla di importante.

La copia di un file con ADS in una partizione FAT32, invece, risolve il problema
mantenendo integro il file di partenza perché questo file system non
gestisce i flussi alternativi. Per ottenere nuovamente un file “pulito”,
basta cancellare il file di partenza dal drive NTFS e incollarvi quello letto
dalla partizione FAT32.

I drive in FAT32 a volte sono già presenti in qualcuna delle partizioni
di un disco. Più spesso sono i supporti esterni come le penne e i dischi
rigidi USB a essere formattati in FAT32, per renderli compatibili con diversi
computer e sistemi operativi.

Per verificare quale file system c’è in un certo supporto di memoria,
si esegue:
• clic con il tasto destro sull’icona del drive;
• Proprietà.

Nella parte superiore della pagina Generale è riportato il
file system utilizzato.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome