StreamarmorがPCをスキャンして代替データストリームを探す
代替データストリーム(ADS)は、既存のファイルにデータを追加するために使用できるMicrosoftのWindows NTFSファイルシステムの機能です。たとえば、元のファイルをテキストエディターで開いた場合に表示されないテキストファイルにテキストを追加できます。
代替データストリームの隠された性質は、とりわけ悪意のある使用にとって魅力的です。
攻撃は、代替データストリームに悪意のあるコードを隠し、オペレーティングシステムとセキュリティソフトウェアのユーザーによる検出を困難にする可能性があります。
Streamarmor
Streamarmorは、Windowsオペレーティングシステム用の使いやすいソフトウェアプログラムで、ハードドライブのコンテンツをスキャンして代替データストリームを探します。
スキャンするルートディレクトリを選択して、Streamarmorにディレクトリとサブディレクトリ内のすべてのファイルを自動的にスキャンさせることができます。
プログラムは、各ファイルの代替データストリームをチェックし、そのインターフェースでヒットを報告します。このプログラムは、さまざまな重要なファイルタイプのファイル拡張子ではなく、実際のファイルタイプを検出するように設計されています。これにより、これらのファイルに対して正しいファイルタイプが検出されます。
さらに、既知のストリームとサイズがゼロのストリームを無視するようにプログラムを設定して、スキャンと分析にかかる時間を短縮できます。
それ自体は便利ですが、各ファイルに適用される評価により、さらに評価が高くなります。ストリームは、たとえば危険、疑わしい、または分析が必要であると評価されているため、最初に集中するのは簡単です。
データストリームのスナップショットと追加情報もインターフェイスに表示されます。名前、脅威レベル、コンテンツタイプなどのさまざまなパラメータに基づいてリストをソートできます。
Streamarmorは、Virus Total、Threat Expert、Malware Hashの3つのオンラインサービスを使用して、プログラムで見つかったストリームをスキャンします。プログラムインターフェースで検出されたストリームの1つを選択し、[オンラインで確認]ボタンをクリックするだけです。 Virustotalがデフォルトで選択されていますが、プログラムオプションで他の2つのサービスをアクティブにすることができます。
StreamArmorが提供するもう1つの便利なオプションは、プログラム環境から直接仮想環境でストリームを実行する機能です。
代替データストリームを完全に表示したり、ローカルシステム上のファイルに保存したりすることもできます。エクスポートオプションを使用すると、検出されたストリームのレポートをhtmlファイルとして保存できます。
おわりに
Streamarmorは、コンピューターシステムをスキャンして代替データストリームを探す優れたソフトウェアです。オンライン脅威スキャナーの統合により、プログラムの操作が容易になります。このツールは、Windowsオペレーティングシステムの32ビット版と64ビット版で利用できます。