Merhaba İmhaTeam, bu konuda sizlere NTFS dosya sistemi üzerinde yapılan bir yöntem göstereceğim, Bir nevi UAC Bypass denebilir... Windows 10'da çalışır.
Öncelikle "Alternate Data Streams" nedir buna bakalım;
NTFS dosya sistemi, dosyaları birden çok akış (stream) veya öznitelikte saklar. Dosya adı, zaman damgaları ve güvenlik tanımlayıcıları gibi meta veriler ayrı akışlarda kaydedilir. Dosyanın içeriği ise varsayılan $DATA akışı olarak bilinen bir akışta saklanır. Ancak, bir dosyanın birden fazla $DATA akışı olabilir. Bu ek akışlar, Alternate Data Streams (ADS) olarak adlandırılır. Alternatif Veri Akışları normal dosyalara eklenebilir ve grafik kullanıcı arayüzü aracılığıyla dosya sistemine göz atıldığında görünmez. Ayrıca, bir dizinin içerikleri
dir veya
dir /A ile listelenirken bu tür akışlar listelenmez.
[Hidden content]
Alternatif Veri Akışları, birçok kişi varlıklarının farkında olmadığından kötü amaçlı yazılımlar için uygun bir saklanma noktasıdır ve olmaya devam edecektir. Ancak savunma tarafında, olası kötü amaçlı yazılım etkinliği konusunda bizi uyarmak için kullanılabilecek bazı davranışlar vardır. Örneğin, Alternatif Veri Akışlarında bulunan yürütülebilir kod, gizlenmeye çalışan kötü amaçlı bir yazılımın işareti olabilir. Kendi yürütülebilir dosyasına bağlı Zone.Identifier'ı silen veya ona erişen bir işlem, adli verileri kaldırma veya dinamik analizden kaçınma girişimlerini gösterebilir. Son olarak, ISO ve Sanal HD Görüntülerden kod yürütme söz konusu olduğunda, bu dosya türleri için tüm uç noktalardaki Windows Gezgini dosya ilişkilendirmelerini devre dışı bırakmak gibi basit eylemler, burada önerildiği gibi riski azaltmaya yardımcı olabilir.
