ADS Zone.Identifier ua

Alle anderen Themen ...

Moderator: ModerationP

ADS Zone.Identifier ua

Beitragvon Fennek » 07. Nov 2020, 11:32

Hallo,

Teil der malware Analyse ist es, sich Gedanken über Gegenmaßnahmen zu machen. Denn jede Meldung über einen Ransomeware-Vorfall bedeutet, dass die bestehenden Sicherungen von Microsoft und AV versagt haben.

Seit XP SP2 wird bei vielen Downloads aus dem Netz der Server mit-gespeichert. Mit CMD:>dir /r kann man erkennen, ob zusätzliche ADS (Alternative Data Streams) vorhanden sind, aber den Inhalt zu lesen ist etwas "unhandlich": more < MyXLSM.xlsx:Zone.Identifier.

Für meine Test habe ich ein kleines Powershell-Script geschrieben:

Code: Alles auswählen
function ADS($file){
    $ret = get-item $file -Stream *
    if ($ret.stream.Count -gt 1) {
        for ($i=1; $i -lt $ret.stream.count; $i++) {
            get-content $file -Stream $ret.stream.GetValue($i)
        }
    }
}

$ord = $env:USERPROFILE + '\desktop\'

$files = Get-childitem $ord -Filter *.xlsx

foreach ($file in $files) {
    $file.Name
    ads -file $file.FullName
    '---------------------------------'
}


Vielleicht hilft es jemanden.

mfg
Benutzeravatar
Fennek
Im Profil kannst Du frei den Rang ändern
 
Beiträge: 830
Registriert: 12. Feb 2016, 18:56

Zurück zu Offtopic (provisorisch)

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste