Home 01 - Conceitos 07 - Forense e Antiforense 03 - Sistemas de Arquivos e ADS

No contexto dos Sistemas de Arquivos, as fontes destacam o recurso de Alternate Data Streams (ADS), exclusivo do sistema NTFS, como uma das principais ferramentas para a ocultação de rootkits e executáveis maliciosos. Essa técnica é classificada como uma medida antiforense, pois visa ocultar evidências e dificultar o trabalho do investigador.

Abaixo, detalho como essa ocultação ocorre e seus impactos:

O Mecanismo de Ocultação no ADS

No NTFS, arquivos e pastas são formados por atributos, sendo o principal deles o $DATA.

  • Fluxo Padrão (Sem Nome): É onde reside o conteúdo visível de um arquivo comum, como o código de um .exe ou o texto de um .txt.
  • Fluxos Alternativos (Nomeados): O invasor pode criar fluxos adicionais vinculados ao mesmo arquivo. Isso permite “anexar” um arquivo inteiro (como um executável malicioso) a um arquivo hospedeiro inofensivo.

Ocultação de Rootkits e Ferramentas Hacker

A técnica é particularmente perigosa porque permite que códigos maliciosos sejam executados sem que o administrador do sistema perceba sua existência.

  • Exemplo Prático: Um invasor pode usar o comando type no terminal para ocultar um arquivo chamado malicioso.exe dentro da calculadora do Windows (calc.exe) usando a sintaxe: type malicioso.exe > calc.exe:malicioso.exe.
  • Execução Silenciosa: O rootkit ou backdoor escondido dessa forma pode ser executado a partir do arquivo hospedeiro inofensivo, subvertendo a segurança do sistema.

Desafios para a Detecção Forense

A eficácia dessa técnica reside na sua indetectabilidade por meios convencionais:

  • Invisibilidade nas Ferramentas Nativas: Arquivos ocultos via ADS são quase impossíveis de detectar usando o Windows Explorer ou o comando dir comum.
  • Preservação do Tamanho Aparente: Mesmo que o fluxo oculto tenha vários megabytes, o Windows continuará reportando apenas o tamanho do fluxo principal. O espaço total livre no disco também não parece sofrer alterações óbvias, pois os dados estão armazenados em fluxos separados dentro do mesmo arquivo.
  • Detecção Especializada: Para visualizar esses dados, o perito precisa utilizar comandos específicos como o dir /r ou softwares de terceiros que verifiquem a integridade da partição NTFS por meio de somas de verificação (checksum).

Em suma, o uso de ADS para esconder rootkits e executáveis transforma arquivos legítimos do sistema em “cobertores” para atividades criminosas, exigindo que a computação forense utilize ferramentas capazes de analisar as estruturas profundas dos atributos do sistema de arquivos para revelar o conteúdo oculto.