본문 바로가기
악성코드 정보

NTFS 파일 시스템의 숨겨진 영역

by 알 수 없는 사용자 2009. 8. 11.

NTFS파일 시스템에는 숨겨진 영역이 있습니다.

우선, 맥킨토시 파일 시스템에 관하여 언급해야 할 것 같습니다.

맥킨토시 파일은 아래와 같이 두 가지 영역이 있습니다.

DATA

RESOURCE

위와 같은 파일구조를 가진 맥킨토시와의 호환성을 고려하여 ADS라는

영역이 필요하게 된 것입니다..

다시 말해서, 리소스영역에 파일의 아이콘 등의 정보를 저장하기 위해

리소스 영역을 사용하는 맥킨토시 HFS(Hierarchical FileSystem)

지원하기 위함입니다.

 

이제 본론으로 들어가겠습니다.

ADS(Alternate Data Stream)를 한국식 영어로 무식하게번역을 해보겠습니다.


대체 데이터 스트림  ... (한국식영어 참~ 쉽죠잉? )


리소스영역을 사용하면 참 용이하게 사용할 것인데
..

보안적인 측면에서 봤을 때이슈가 될만한 부분이 발생하게 됩니다.

바로 이 리소스 영역에 바이너리 코드를 삽입하여 악성파일을 실행시킬 수

있다는 것입니다. ( 별표 백개!!)

 

ADSSpy 라는 툴은 이 ADS영역을 검사해주는 툴입니다.
아래 그림을 보시면 C:\Work 폴더 안에는 Hidden.txt 파일과 NotHidden.txt 파일 두 개가 있습니다.



ADSSpy툴로C:\Work 폴더를 스캔해 보면 아래와 같이 Hidden.txt:Msg.exe 파일을 검사한 것을 볼 수가 있습니다.


참고로, 이와 같은 기능을 커맨드 창에서 할 수가 있습니다. 아래 그림과같이 /r옵션을 (ADS영역을 표시) 사용하여 확인할 수가 있습니다.

위 그림을 보시면 Hidden.txt:Msg.exe 파일이 2,048바이트 크기임을알 수가 있습니다. Hidden.txt 텍스트 문서를 열게 되면 Msg.exe가 실행되게 됩니다.

Hidden.txt:Msg.exe파일을 수집하는 방법은 아래 그림과 같이 우클릭 후 [View Stream contents]를 선택을 합니다.


그 다음 [Save to disk]를 선택하여 수집을 합니다.




리소스 영역을 삭제를 하는 방법은 [Remove selected streams]를 클릭하게 되면 리소스 영역이 삭제되게 됩니다.


이 글을 마치며

ADS영역이 컴퓨터 사용의 편의를 위하여 만들어진 영역인데, 악의적인 목적으로 사용되어져서는 안되겠지요? ^^


댓글