Come copiare i file senza copiare flussi di dati alternativi

1

Voglio eseguire il backup dei file del sistema Windows infetto prima di formattarlo e reinstallare il sistema. Lo farei da un Linux Live USB. Ho sentito che si dovrebbe fare attenzione nel copiare solo i file e non i flussi di dati alternativi o potrebbero aiutare il malware a persistere durante la reinstallazione del sistema.

Da Linux, come faccio a copiare i file in modo sicuro senza portare con loro flussi di dati alternativi?

    
posta Eärendil Baggins 05.11.2018 - 22:32
fonte

2 risposte

3

Copia su qualsiasi file system non NTFS.

I flussi di dati alternativi (ADS) sono una funzionalità esclusiva di NTFS. È simile a, ma distinto da, attributi estesi (xattr) su molti filesystem Linux come ext4. La differenza principale è che i flussi di ADS possono essere nascosti, richiedendo la conoscenza dell'handle ADS per accedervi, mentre gli xattr possono essere enumerati.

Poiché solo NTFS supporta ADS, la copia su un filesystem come ext4 la ripulisce efficacemente. È per lo stesso motivo per cui gli xattr non vengono conservati quando un file viene copiato da ext4 a NTFS.

Su una nota a margine, mentre il codice dannoso potrebbe teoricamente nascondersi nell'ADS di un file, non sarebbe attivo lì. Il malware memorizzato in un annuncio sarebbe completamente neutralizzato fino a quando qualcos'altro l'ha attivato intenzionalmente. Non è più una fonte di infezioni di altri luoghi che i dati possono essere nascosti.

    
risposta data 06.11.2018 - 05:23
fonte
2

how do I copy the files safely without carrying the alternate data streams with them

Questo dipende da come si sta montando il (presumibilmente) file system NTFS su Linux. Se si sta utilizzando il driver del file system ntfs-3g per linux, quindi (in base alla pagina man ) puoi montare il file system con l'opzione "streams_interface = none" che esporrà solo il flusso senza nome (il flusso di dati non alternativi principale).

In questo caso (secondo la documentazione), sembra che tu possa semplicemente copiare il file come al solito e solo lo stream senza nome verrà copiato.

Aggiornamento:

L'ho provato su Kali Linux. Lascio il sistema montare un'unità / partizione NTFS USB esterna con la sua procedura predefinita. Ho quindi copiato un file con un flusso di dati alternativo dal filesystem NTFS al filesystem ext4 sulla macchina Kali Linux. Il flusso di dati alternativo non è stato conservato; se copio il file su un volume NTFS, l'ADS non è più presente.

    
risposta data 05.11.2018 - 22:43
fonte

Leggi altre domande sui tag