[Hack] Comment stocker plusieurs gigas de données dans un tout petit fichier d’ 1 ko

000_Hkg9235491

Bonjour mes amis,

 

La fin de semaine approche, et l'été n'est pas fini...
Avec les températures actuelles, le thermomètre n'est pas près d'être au chômage.

Aujourd'hui, je vais vous parler d'une manière de dissimuler plein de fichiers, de toutes tailles, dans un tout petit fichier (de la taille que vous voudrez)

La technique :

 

Une technique largement utilisée par de nombreux hackers ou pédophiles ...

Sur linux il existe ce que l'on appelle "Named Attribute" (wiki.linux-nfs.org), et sous Windows ça s'appelle "ADS" (Alternate Data Stream)

C'est une fonctionnalité liée à un "système de fichiers" :

Un système de fichiers, c'est simplement une manière de stocker vos fichiers
il en existe plusieurs (NTFS, FAT, FAT32, EXT4, ... ), chacun a ses avantages, et ses inconvénients.
Ex : Certains sont lents, mais permettent de gérer plus de fichiers par dossier, que d'autres sont plus rapides, mais gèrent moins de fichier par dossier ...

La plupart des ordinateurs récents qui tournent sont Windows, ont un système de fichiers qui s'appelle le NTFS.

Et cette fonctionnalité (ADS), dont je vous parle au début de cet article est justement lié au NTFS !

Cette fonctionnalité, permet de créer plusieurs flux de données pour un seul fichier.

 

La vulgarisation :

 

En fait, lorsque vous ouvrez un fichier sur votre ordinateur, vous ne le voyez que d'un seul angle (un seul flux).

Sans titre

Ici, un utilisateur regarde un fichier (texte, vidéo, bref n'importe quel fichier)
Avec l'ADS, nous pouvons de manière invisible, créer divers facettes à ce fichier (plusieurs flux).

 

Sans titre

Bien entendu, dans une utilisation normale, sous Windows, dans votre explorateur de fichier, vous ne verrez qu'un seul fichier ...
Mais avec une console, ou un logiciel adapté, vous pourrez trouver ces fichiers aux facettes multiples ...

 

La pratique :

 

Assurons-nous d'avoir déjà un disque dur formaté en NTFS.
Pour cela, il faut :

  • Vous rendre dans votre "poste de travail"
  • Sélectionner votre disque dur
  • Regarder en bas de la fenêtre, le système de fichiers.
  • Si c'est NTFS, Bingo, nous pouvons continuer !

 

Capture

 

Okey, nous allons donc ouvrir une console (cmd)

  1. Touche Windows + Touche R
  2. cmd
  3. Touche Entrée

 

Yeaaa vous êtes de véritables artistes !!!

Maintenant  nous allons créer un fichier texte dans lequel nous écrirons quelques choses :

echo "Je suis un fichier texte juste là pour vous occuper" >  MonFichierTexte.txt

Voilà ....
Si vous faites à présent un :

start .

Vous devriez alors, apercevoir votre fichier.

Capture

 

Maintenant nous allons cacher dans un autre flux de ce fichier, une image.

type MonImage.jpg  > MonFichierTexte.txt:test.jpg

Ici, je cache une image "MonImage.jpg", sous le nom de "test.jpg" dans MonFichierTexte.txt

Attention ... si je regarde mon dossier, je n'ai toujours qu'un fichier !
Mais si j'essaie d'ouvrir  le fichier texte, et l'image ... Surprise :

notepad MonFichierTexte.txt
mspaint MonFichierTexte.txt:test.jpg

 

Capture

 

Alors comme vous le constatez sur cette image, on ne voit qu'un seul fichier

"MonFichierText.txt", on voit qu'il ne fait que 1 kilo octet, mais que l'on arrive via ce fichier à accéder à une image, et à du texte !

Comment savoir ou comment retrouver ces fichiers contenant d'autres fichiers (plusieurs flux) !

Très simplement ...

Ms-Dos (votre console Windows), fourni une fonction "dir", cette fonction permet de lister les fichiers d'un répertoire. Couplé au paramètre "/r" on voit tout !

dir /r

 

Capture

 

 

Petit bonus ...
Cette technique ne modifie pas le hash md5 du fichier d'origine !

Attention :

Bien entendu, même si vous voyez dans votre explorateur de fichier que la taille du fichier est de 1ko ... les fichiers que vous cacherez de cette manière-là prendront de la place sur votre disque dur ... seulement ça sera de manière invisible !

Il n'est pas non plus possible de supprimer des facettes ... soit vous supprimez le fichier et tout ce qui est lié avec, soit vous ne supprimez rien du tout :/

 

Conclusion :

Cette méthode est fun pour dissimuler des fichiers, cependant attention à ne pas oublier que ces fichiers prennent de la place ... une place qui n'est pas visible.

Elle peut servir à des pirates pour lier des fichiers importants de Windows à tout type de saloperies, rendant ainsi impossible la suppression de leurs virus.

 

9 comments

  • salut a vous , merci avant tt pour ce tuto , j’aimerai savoir s’il vous plaît comment cacher un dossier ? encore merci :) .

    • impossible avec cette commande en tout cas.

    • La seule façon que j’ai trouvé de cacher un dossier est en fait de le zipper d’abord!

      En fait, j’ai remarqué que le nom donné au flux n’est pas obligé d’avoir d’extension. De plus, lorsque l’on extrait le flux du fichier d’origine, on est obligé de connaître le nom correct du flux (à moins d’utiliser DIR pour faire afficher la liste des fichiers et leurs flux). Bref, j’ai l’impression que le nom du flux ça fait un peu comme un mot de passe pour ouvrir le fichier caché.

      Ex pour cacher:
      type MonDossierSecret.zip > imageClassique.jpg:password

      Ex pour extraire il faut savoir « password »:
      expand imageClassique.jpg:password MonDossierSecret.extensionBizarre

      Ensuite, il faut savoir quelle extension remplacer pour le fichier à la place de « extensionBizarre »

  • C’est la base de la stéganographie en fait ? :)

  • C pas mal, merci pour l’astuce.

    Y a moyen de re séparer les deux fichiers par la suite ?

    • non c cool mais une fois que c fat c fait

      continue comme ca t le best

    • non, il le dit dans l’article. j’ai moi-même essayé puis après relecture je me suis rendu à l’évidence…

      • En fait c’est tout a fait possible de séparer les 2 éléments (fichier visible et celui caché)

        Il manque un élément dans cet article, qui cependant est très instructif  :)

        [pastacode lang="bash" manual="expand%20MonFichierTexte.txt%3Atest.jpg%20MonImageExtraite.jp" message="" highlight="" provider="manual"/]

        Ça permet d’extraire l’image et de la rendre visible sous le nom « MonImageExtraite.jpg »

        Ensuite, il est aussi possible de voir de façon assez claire qu’un fichier normal possède un flux caché lorsque vous regardez aux propriétés du fichier. Comparez la taille du fichier avec la taille du fichier sur le disque dur.

        Pour supprimer le flux caché d’un fichier, il est possible de le déplacer vers un disque formaté en Fat32 puis de le re-déplacer vers le disque en NTFS. Autre façon est en uploadant le fichier sur un site Web via un formulaire Web.

         

  • En tout cas,, merci pour ce très bon tuto….

Laisser une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site est protégé par reCAPTCHA et Google Politique de confidentialité et Conditions d'utilisation appliquer.