{"id":209631,"date":"2018-09-22T14:55:54","date_gmt":"2018-09-22T12:55:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=209631"},"modified":"2021-07-28T10:12:49","modified_gmt":"2021-07-28T08:12:49","slug":"infos-zu-windows-ntfs-alternative-data-streams","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/09\/22\/infos-zu-windows-ntfs-alternative-data-streams\/","title":{"rendered":"Infos zu Windows NTFS Alternative Data Streams"},"content":{"rendered":"

[English<\/a>]Im Artikel Windows: Merkw\u00fcrdige ZIP-Handhabung im Explorer<\/a> kam das Thema NTFS Alternative Data Streams in Verbindung mit Windows auf. Da ich dieses Thema bisher nicht im Blog behandelt habe, und die Informationen nicht allgemein bekannt sind, werfe ich in diesem Artikel einige Blicke auf NTFS ADS.<\/p>\n

<\/p>\n

Technische Hintergr\u00fcnde zu NTFS ADS<\/h2>\n

\"\"Alternative Data Streams (ADS) wurden im New Technology File System (NTFS) wohl schon in Windows NT 3.x\u00a0eingef\u00fchrt und in Windows 2000 und Windows XP benutzt (habe mich seinerzeit nie damit befasst). Laut dieser Quelle<\/a>, um bestimmte Ressourcen wie Icons des Macintosh Macintosh Hierarchical File System (HFS) zu unterst\u00fctzen.<\/p>\n

NTFS ADS: Weitere Informationen in Dateien speichern<\/h3>\n

Alternative Data Streams erm\u00f6glichen es, in einer Datei unter NTFS weitere Informationen zu speichern. Der englischsprachige Artikel hier<\/a> zeigt Beispiele, wie sich Texte per Windows-Editor Notepad in ADS von anderen Dateien ablegen lassen. Man auf diese Weise aber auch .exe-Dateien in den $DATA-Streams ablegen. Daher m\u00fcssen Virenscanner auch diese Streams durchsuchen, um Malware aufzusp\u00fcren.<\/p>\n

Microsoft verwendet die NTFS ADS (m.W. ab) Windows Vista\/Windows Server 2008 auch, um Zoneninformationen f\u00fcr Dateien mit abzulegen. Wird eine Datei aus dem Internet heruntergeladen, erh\u00e4lt diese eine Zoneninformation zugeordnet. Gem\u00e4\u00df den den Beitr\u00e4gen von Microsoft<\/a>, sowie zum IE<\/a>, und diesem Blog-Eintrag<\/a> gibt es ein ZoneID<\/em>-Flag, welches folgende Werte:<\/p>\n

0: Local machine;
\n1: Local intranet;
\n2: Trusted sites,
\n3: Internet
\n4: Restricted sites<\/p>\n

aufweisen darf.<\/p>\n

Integrity Level (IL) ab Windows Vista<\/h3>\n

Ab Windows Vista hat Microsoft dann eine zus\u00e4tzliche Sicherheitsebene in Form der Verbindlichkeitsstufen (Integrity Level) eingef\u00fchrt. Die Wikipedia h\u00e4lt diesen englischsprachigen Artikel<\/a> zum Thema vor und Microsoft arbeitet sich hier<\/a> und hier<\/a> am Thema ab. Ein deutschsprachiger Beitrag<\/a> findet sich beispielsweise in der WinFAQ.<\/p>\n

In kurz: Mit dem neuen Sicherheitslevel behandelt Windows (ausf\u00fchrbare) Dateien in Abh\u00e4ngigkeit von deren Herkunft mit verschiedenen Vertrauensstufen. Eine Datei aus dem Internet wird als unsicher eingestuft.<\/p>\n

Mir war im Hinterkopf die Information bekannt, dass der Zone-Identifier vom Internet Explorer gesetzt werde (habe hier<\/a> die gleiche Info gefunden). Aber die Zoneninformation wird wohl inzwischen unabh\u00e4ngig vom Browser beim Download in den ADS gesetzt (ich verwende den Google Chrome und man erh\u00e4lt auch mit dem Firefox dieses Verhalten).<\/p><\/blockquote>\n

Programme mit niedriger Verbindlichkeitsstufe werden an der Ausf\u00fchrung (z.B. unter dem IE) gehindert. In der PowerShell oder beim Aufruf von Programmen, die aus dem Internet heruntergeladen wurden, erscheint dann eine Sicherheitswarnung.<\/p>\n

\"Sicherheitswarnung<\/p>\n

Das obige Dialogfeld zeigt eine solche Warnung, die mir unter Windows 7 beim Starten einer aus dem Internet heruntergeladenen Programmdatei angezeigt wird. Passt man beim Download von ZIP-Archiven mit Programmen nicht auf, kann dies zu allerlei Konflikten f\u00fchren. Im Artikel Windows: Merkw\u00fcrdige ZIP-Handhabung im Explorer<\/a> hatte ich so etwas skizziert und beispielsweise erw\u00e4hnt, dass dies der Grund sei, warum aus dem Internet geladene (und ggf. aus einem ZIP-Archiv entpackte) CHM-<\/em>Hilfedateien dann keinen Inhalt anzeigen.<\/p>\n

So l\u00f6scht man die Sicherheitsinformation<\/h2>\n

Ist das aus dem Internet geladene Programm oder die Datei als 'sicher' einzustufen, nervt die st\u00e4ndige Sicherheitsabfrage. Zudem kann es ja zu Fehlfunktionen kommen, weil Funktionen wegen der \u00fcber die Zoneninformation 'Internet' wegen des Integrit\u00e4ts-Level Low zur Ausf\u00fchrung gesperrt werden.<\/p>\n

Um dies zu beheben, kann man das Sicherheitsattribut, welches aus den Zoneninformationen der aus dem Internet geladenen Dateien abgeleitet wird, sehr einfach l\u00f6schen. Ein Rechtsklick auf die Datei und im Kontextmen\u00fc Eigenschaften<\/em> w\u00e4hlen. Dann l\u00e4sst sich auf der Registerkarte Allgemein <\/em>kontrollieren, ob die aus der Zoneninformation abgeleitete Sicherheitsinformation zum Blocken gesetzt ist.<\/p>\n

\"<\/p>\n

Die betreffende Eigenschaftenseite sieht unter Windows 7 wie in obigem Bild aus \u2013 man braucht nur auf die Schaltfl\u00e4che Zulassen <\/em>zu klicken, um die Zoneninformationen zu l\u00f6schen. Bei Windows 10 ist statt der Schaltfl\u00e4che das Kontrollk\u00e4stchen Zulassen <\/em>zu markieren (siehe folgendes Bild).<\/p>\n

\"Eigenschaften<\/p>\n

Dann sollte die Sicherheitsnachfrage k\u00fcnftig unterbleiben, da man die Datei als 'sicher' eingestuft hat.<\/p>\n

Hinweis: Man kann in Windows auch bestimmten Anwendungen mittels icacls.exe die Berechtigung erteilen, dass diese mit einem Integrity Level Low ausgef\u00fchrt werden k\u00f6nnen. Das Ganze ist zum Beispiel in diesem MSDN-Beitrag<\/a> (Englisch) von Microsoft beschrieben.<\/p><\/blockquote>\n

NTFS ADS-Informationen abrufen<\/h2>\n

Um sich anzuschauen, ob eine Datei zus\u00e4tzliche NTFS ADS-Inhalte enth\u00e4lt, l\u00e4sst sich entweder die PowerShell oder das Tool streams.exe aus den Sysinternals-Tools<\/a> oder der dir-Befehl<\/em> verwenden.<\/p>\n

\"NTFS-Alternative<\/p>\n

In obigem Bild habe ich mit streams.exe <\/em>die betreffenden ADS-Eintr\u00e4ge anzeigen lassen. Beide Dateien weisen einen Zone.Identifier:$DATA<\/em>-Wert von 26 auf. Wenn meine Interpretation richtig ist, gibt dieser Wert aber nur die L\u00e4nge von ADS $DATA an (26 Byte). Es wird aber nicht gesagt, ob die Datei aus der Zone Internet heruntergeladen wurde.<\/p>\n

Der ADS-Eintrag wird gel\u00f6scht geht auch nicht verloren<\/span>, wenn die Option Zulassen in den Dateieigenschaften gesetzt wird. Das habe ich bei UpdateGenerator.exe gemacht. Der ADS wurde nicht<\/span> entfernt (sofern mir beim kurzen Test kein Fehler unterlaufen ist \u2013 Erg\u00e4nzung: Scheint ein Fehler gewesen zu sein, beim zweiten Test war der Zone.Identifier samt ADS nicht mehr zu finden).<\/p><\/blockquote>\n

Aber man braucht eigentlich das Tool streams.exe <\/em>nicht. Es reicht, beim normalen dir<\/em>-Befehl den Schalter \u2013r anzugeben, um die ADS-Informationen aufzulisten (siehe folgendes Bild).<\/p>\n

\"NTFS-Alternative<\/p>\n

In der PowerShell l\u00e4sst sich Get-Item -Stream<\/em> zur Anzeige von ADS-Inhalten verwenden (siehe auch hier<\/a>). Mit der PowerShell l\u00e4sst sich \u00fcbrigens auch herausfinden, ob ein Download aus dem Internet erfolgt ist. Der Befehl:<\/p>\n

get-content \u2013Path c:\\\u2026\\name \u2013Stream Zone.Identifier<\/p>\n

sollte die betreffende Information liefern (siehe<\/a> und nachfolgenden Screenshot).<\/p>\n

\"NTFS<\/a><\/p>\n

Ein Programm mit grafischer Oberfl\u00e4che (GUI), welches die ADS eines Ordners auflistet (siehe obiges Bild) ist der Nirsoft AlternateStreamView, der sich hier kostenlos herunterladen l\u00e4sst<\/a>. W\u00e4hlt man eine Datei per Doppelklick an, werden zus\u00e4tzliche Informationen (z.B. die L\u00e4nge des Streams, oft 26 Byte) angezeigt. Das Programm erm\u00f6glicht (per Kontextmen\u00fc oder die Men\u00fcbefehle) auch den Inhalt bestimmter Alternative Data Streams in eigene Ordner zu extrahieren.<\/p>\n

\"AlternateStreamView<\/p>\n

NTFS Alternative Data Streams entfernen<\/h2>\n

Um die NTFS Alternative Data Streams mit den Zoneninformationen zu entfernen, k\u00f6nnte man, wie in den Kommentaren hier<\/a> vorgeschlagen, die Dateien von einem NTFS-Datentr\u00e4ger auf ein FAT32-Medium kopieren. FAT32 unterst\u00fctzt keine Alternative Data Streams, d.h. wird die Datei auf einen NTFS-Datentr\u00e4ger zur\u00fcckkopiert, ist der ADS mit der Zoneninformation weg.<\/p>\n

Der einfachere Weg ist aber den Schalter \u2013d <\/em>(delete Streams) des Tools streams.exe<\/em> f\u00fcr diesen Zweck zu verwenden (siehe hier<\/a>).<\/p>\n

Aber das ist m. E. in den meisten F\u00e4llen nicht erforderlich, das das Zulassen der Datei \u00fcber die Eigenschaften reicht, um diese in Umgebungen mit niedriger Vertrauensstufe ausf\u00fchrbar zu machen.<\/p>\n

In diesem Artikel<\/a>\u00a0geht man \u00fcbrigens auf Tricks ein, um sogenannte Stealth Data Streams mit versteckten Daten anzulegen.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nProbleme mit der Anzeige von CHM-Dateien<\/a>
\nWindows Mai 2018-Update blockt CHM-Dateianzeige<\/a>
\nWindows: Merkw\u00fcrdige ZIP-Handhabung im Explorer<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Im Artikel Windows: Merkw\u00fcrdige ZIP-Handhabung im Explorer kam das Thema NTFS Alternative Data Streams in Verbindung mit Windows auf. Da ich dieses Thema bisher nicht im Blog behandelt habe, und die Informationen nicht allgemein bekannt sind, werfe ich in diesem … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[301],"tags":[4302,4325],"class_list":["post-209631","post","type-post","status-publish","format-standard","hentry","category-windows","tag-datentrager","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/209631","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=209631"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/209631\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=209631"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=209631"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=209631"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}