Détecter et supprimer les Alternate Data Stream

Publié le 13 avril 2010 par Abara
Comme nous avons pu le voir dans l’article Le danger des flux additionnels - ADS : Alternate Data Stream les Alternate Data Streams permettent de cacher des fichiers aux yeux de l’utilisateur et du système.
Mais comment les détecter et les supprimer.
Outre l’utilisation classique d’antivirus, pare-feu, anti-spyware et la mises à jour de votre système, il existe quelques utilitaires tierces gratuits.

Utilitaires gratuits pour détecter les ADS

StrmExt
Outils mis à disposition par microsoft
Une fois ntfsext.exe télécharger, extraire le contenu puis rentrer dans le dossier ntfsex, extraire le contenu de StrmExt.zip, se déplacer dans le dossier StrmExt et dans ReleaseMinDependency.
Puis copier le fichier StrmExt.dll dans “c:\windows\system32”.
Finalement faire démarrer > exécuter > taper "regsvr32 StrmExt.dll"
Une fenêtre s’ouvre indiquant la réussite de votre commande.
Il vous suffit de faire un clic droit propriété sur un fichier pour voir un onglet stream supplémentaire.
HijackThis
Outil graphique, un tutoriel d’utilisation est disponible sur malekal.com
Streams
Fonctionne en ligne de commande, il permet d’examiner les fichiers et dossiers spécifiés et indique le nom et la taille des flux trouvés dans ces fichiers. Il peut aussi supprimer des flux.
LADS - List Alternate Data Streams
Fonctionne en ligne de commande, il permet de lister les ADS existant.
ADS Locator
Outil graphique permettant de recherche des flux ADS sur vos disques.
Les outils de JC Bellamy
JC Bellamy propose des outils en ligne de commande ou graphique pour énumérer les ADS.
LNS - List NTFS Streams
Fonctionne en ligne de commande et permet de rechercher les Alternate Data Streams.
StreamArmor
Fonctionne en mode graphique et sans installation. Il permet de scanner l'ordinateur à la recherche de flux ADS et de supprimer les flux.

Supprimer les flux alternatifs de données

Il est possible de supprimer un flux ADS en utilisant les méthodes suivantes :
1. Utiliser un utilitaire tel que Hijackthis, StreamArmor, streams ou StrmExt.
2. Copier les fichiers sur un système de fichier non NTFS (clé USB en FAT32 par exemple).
3. Copier le contenu du fichier légitime dans un autre fichier en utilisant cette commande (ne fonctionne pas avec un dossier) :
rename fichier_original.exe copie_originale.exe
type copie_originale.exe > fichier_original.exe
del copie_originale.exe
4. Cette méthode ne permet pas de supprimer le flux mais de limiter l'espace disque utilisé par un flux en l'écrasant (modifier le nom ads.txt par celui du flux que vous souhaitez écraser).
echo "" > fichier.txt:ads.txt