recent
أخبار ساخنة

أقوي طريقة لإخفاء الملفات في Windows عبر خاصية ADS [شرح نادر]

محمد غراب
الصفحة الرئيسية

طريقة حصرية لإخفاء الملفات في نظام Windows اراهن أن معظمكم لم يكن يعرفها ليست Hidden files أو Hidden system files بل من خلال طريقة تدعي ADS.

توضيح ما هي ADS

هذه الطريقة في الأساس تدعي Alternate Data Streams وتُعرف اختصاراً باسم ADS. وبدون الخوض في مصطلحات تقنية وتفاصيل عمية، فهذه الطريقة ليست فقط تستطيع اخفاء الملفات من Windows Explorer، بل أن Windows Explorer أو مستعرض الملفات في نظام ويندوز لا يستطيع استعراض أو فتح الملفات التي تم اخفاؤها بتلك الطريقة من الأساس.

هذه الطريقة لها مميزات ولها عيوب أيضاً سنتطرق لها في هذا الموضوع أو في فيديو الشرح المُضمن في هذه الصفحة. حيث أنه يتم استغلال مميزات هذه الطريقة في عمل إخفاء كامل لنصٍ ما أو ملف داخل ملف آخر آمن وطبيعي بطريقة تستطيع بالكاد أفضل برامج مكافحة الفيروسات اكتشافها بطريقة مباشرة، وهذه الميزة الرئيسية لطريقة ADS، بينما عيوبها البارزة هي تسهيل عملية اخفاء الفيروسات داخل الملفات العادية بسهولة.

استزاده

Alternate Data Stream (ADS) أو بديل دفق البيانات، هو إمكانية متوفرة في نظام الملفات NTFS (نظام ملفات رئيسي لأنظمة Windows) لتخزين تدفقات مختلفة للبيانات، كان الغرض الأساسي منها هو توفير دعم لنظام الملفات الهرمي لنظام macOS المعروف باسم (HFS).

لأن نظام NTFS الملفات فيه تحتوي علي سمات "attributes"، السمة التي نركز عليها في إخفاء وإظهار الملفات تُدعي "$DATA attribute" والتي تستخدم في تخزين تدفقات البيانات لملفٍ ما.

في الماضي الغير بعيد، كان من الشائع تخزين حمولة ضارة (فايروس مثلا) داخل ADS لملف برئ وموثوق به. لكن اليوم، العديد من الحلول الأمنية - القليلة - يمكنها اكتشاف الملف وفحص ما يتحويه من ADS. ومع ذلك، في هذه الأيام نستطيع إخفاء ملف أو نص داخل ملف آخر باستخدام هذه الطريقة وتتجاوز بها برامج الحماية من الفيروسات بسهولة.

لتبسيط المفاهيم الواردة في هذا الموضوع، يرجي مشاهدة فيديو الشرح نظراً لأن التطبيق يقوم بتوضيح وتبسيط ADS بعيداً عن التعقيد والمصطلحات التقنية.

نقاط ضعف طريقة Alternate Data Streams

  1. تعمل فقط طريقة الإخفاء تلك علي الأقراص ذات نظام الملفات NTFS، حيث يتم فشل نقل هذه الملفات وإظهارها علي أنظمة الملفات الآخري مثل FAT32 و exFAT وغيرها.
  2. يتم تجريد الملف من خصائص Alternate Data Streams في حالة رفع الملف Online علي أحد المواقع أو إرفاقه في رسالة بريد إلكتروني، لكي يعد بذلك ملفاً تالفاً.
  3. يستلزم تطبيق الطريقة في إخفاء وإظهار الملفات، نفس نظام التشغيل. 
نفس نظام التشغيل بمعني أنه لا يجوز تطبيق طريقة ADS لإخفاء ملف علي Windows 8.1 ومحاولة إظهاره علي Windows 11 مثلاً. ما تم اخفاؤه علي Windows 10 يتم إظهاره علي Windows 10 وما تم اخفاؤه علي Windows 11 يتم إظهاره علي Windows 11 أيضاً.

فيديو الشرح

شرح طريقة إخفاء نص داخل ملف نصي بشكل سري

ADS Data

مستخدماً الأوامر الموضحة أدناه وفي فيديو الشرح أيضاً إخفاء نص داخل ملف نصي خالي من البيانات تماماً.

الأمر التالي لفتح ملف نصي خفي داخل ملف يسمي example.txt، لاحظ أن كلمة whatever التي تأتي بعد النقطتين : هما قيمة ADS التي سوف تحمل النص الخفي.

notepad example.txt:whatever

الآن سوف يتم فتح ملف نصي يمكنك كتابة فيه ما تود إخفاؤه، ولن يظهر هذا النص عِند فتح الملف بشكل طبيعي، بل لابد وأن يتم تنفيذ الأمر السابق الذي يحتوي علي قيمة ADS لكي يتم فتح الملف الخفي. علماً بأنه لا يمكن الوصول لهذا الملف الخفي إلا بواسطة الأمر التالي.

dir /r

شرح طريقة إخفاء ملف داخل ملف آخر

Super Hidden Files

يمكنك إخفاء ملف، صورة مثلا باسم image.jpg داخل ملف نصي باسم imagetest.txt باستخدام الأمر التالي.

type image.jpg > imagetest.txt:picture.jpg

لاحظ أن picture.jpg هي قيمة ADS لأنها جائت بعد علامة : كما أنك تستطيع كتابة قيمة ADS بأي اسم، لكن انا اخترت تسميتها بهذا الاسم للسهولة فقط.

لاحظ في الصورة الآتية حجم الملف الفِعلي 0 ك.ب. وحجمه الحقيقي بعد إخفاء صورة حجمها 4.5 م.ب. تقريباً في Size On Disk.

Size On Disk

ومن خلال الأمر التالي يمكنك استخراج الملف الخفي من داخل الملف المحتوي عليه.

expand imagetest.txt: picture.jpg extracted.jpg

لاحظ أن الملف بعد استخراجه بواسطة الأمر expand سيتم حفظه باسم extracted.jpg. يمكنك تسمية الملف المستخرج بأي اسم كما يحلو لك.

كيفية العثور علي الملفات المختفية بطريقة ADS

استخدام ADS لإخفاء الملفات علي نظام Windows ليست مقتصرة علي إخفاؤها فقط من Windows Explorer، في الوقع Windows Explorer لا يستطيع التعامل مع تلك الملفات - قراءة أو كتابة -. هذه الطريقة تُستخدم من قِبَل بعض فيروسات الحواسيب الإلكترونية التي تنشط علي نظام Windows وذلك بإخفاء نشاطها في صورة Alternate Data Streams داخل الملفات المُصابة بالفيروس.

مهووسو الكمبيوتر أو ما يعرفون بـ Computer Geeks منذ بضعة سنوات، بكل تأكيد سيتذكرون فيروس نظام الويندوز الذي كان يقوم بعمل ملف ذو حجمٍ كبير للغاية حتي يمتلئ قرص النظام "C:/" حتي يصل إلي 100% ويتم شلّ النظام بالكامل ولا يتبقي لك اختياراً سوي عمل تهيئة "Format" للقرص وإعادة تثبيت النظام، وكان المستخدم لا يستطيع الوصول لهذا الملف ذو الحجم الكبير سواء عبر Windows Explorer أو من خلال خاصية البحث في الويندوز "Windows Search"، حتي برامج تحليل البيانات "Data Analyser" كانت لا تستطيع هي كذلك الوصول لتلك الملفات.

هذا الحديث ليس من صلب الموضوع بشكل كبير، لكن لماذا كان علينا توضيح ذلك؟ ذلك لإثبات أن تلك الطريقة من الصعب التعرف علي الملفات المخفية بواسطتها، ولابد أن تكون مُلِم بهذه الطريقة التي سوف نتعلمها في هذا الموضوع.

يمكنك بسهولة التعرف علي الملفات التي تحتوي علي $DATA خفية بواسطة تقنية ADS من خلال تحميل البرنامج التالي.

author-img
محمد غراب

قد تُعجبك هذه المشاركات

تعليقات

ليست هناك تعليقات
إرسال تعليق

    إرسال تعليق

    يمكنك نشر رابط صورة أو فيديو ليتم عرضها في التعليق.
    تذكر، ما يلفظ من قول إلا لديه رقيب عتيد.

    google-playkhamsatmostaqltradent