StreamArmor is een handige tool die op zoek gaat naar verborgen datastromen. In bestanden en mappen kunnen namelijk data zitten waar je het bestaan niet van weet. ADS (Alternate Data Streams) is een niet zo bekende functie van het Windows NTFS-bestandssysteem. Daarmee kun je data in bestanden of mappen stoppen zonder dat hun functionaliteit of […]

Advertentie

StreamArmor is een handige tool die op zoek gaat naar verborgen datastromen. In bestanden en mappen kunnen namelijk data zitten waar je het bestaan niet van weet.

ADS (Alternate Data Streams) is een niet zo bekende functie van het Windows NTFS-bestandssysteem. Daarmee kun je data in bestanden of mappen stoppen zonder dat hun functionaliteit of grootte wordt beïnvloed. Als een gebruiker dat kan, kunnen malware en hackers dat ook, weet StreamArmor.

[download_file]

Zodra je het programma uitvoert – een installatie is niet nodig – scant het recursief je hele systeem, op zoek naar ADS-instanties. Dat gaat overigens behoorlijk snel, omdat de scanner multithreaded is. Het is zelfs mogelijk het maximale aantal threads via een schuifbalk zelf in te stellen.

[related_article id=”160534″]

Tegelijk analyseert de tool de gevonden datastromen en categoriseert die overeenkomstig het risiconiveau, zoals dangerous, suspicious of need analysis. Elk niveau wordt bovendien anders ingekleurd (rood, oranje, geel).

Nu kan je van elke gedetecteerde ADS wel een HEX- en ASCII-weergave opvragen, maar de kans is klein dat je hier veel wijzer van wordt.

Online controle
Precies daarom biedt StreamArmor de mogelijkheid een verdacht item meteen door te sluizen naar een online service. Standaard is dat die van Virus Total, maar je kunt het item ook nog laten onderzoeken door ThreatExpert en/of Malware Hash. StreamArmor berekent dan eerst de MD5-hash van de ADS en hoopt op die manier een zinvolle respons van een van de geselecteerde diensten te krijgen.

Tijdens enkele informele tests blijken de services de doorgestuurde hashes echter niet te herkennen en krijgen we dan ook geen verdere feedback. Het gaat telkens wel om ‘suspicious’ items. StreamArmor weet geen ‘dangerous’ datastromen op te diepen.