Ever heard about this ? I’m sure some of the network admins have gone haywire on this one!

Well, windows NTFS has a feature called Alternate Data Stream. In simple words, if I have

a file that I want to hide, how would I do it?

Well, hackers do it pretty well :-)

Scenario:

1. Hacker wants to use somebody else’s machine for storing his huge files. Now if he access it

and store it in there, the owner at some point would delete it for sure. Without Owner even

noticing that, how do they do it? -> You have alternate data stream as your answer :-)

So say there is a text file (Owner’s file) called Personal.txt of size 32 kb and the huge file that needs to be hidden is Movie.mov, then this is how you do it on an NTFS partition;

type Movie.mov > Personal.txt:Movie.mov

Then delete the file Movie.mov; Done

If the owner/administrator looks at that file, it will show the file size as 32kb itself.

Now, how does the hacker take it when he wants? Say he wants to play that file, then;

start Personal.txt:Movie.mov

Done, his movie file will be launched.

How is this done? Well, the data is stored in streams and you basically redirect the ’wrong’

stream to the ’Personal.txt’….

There were pandamonium created by this some time back on ISP’s servers or so I heard.

How do you detect it as a Network administrator ? Because you have 1 file of 32kb size and

your whole disk of 10 GB is full :-(

Even the ’dir’ command will show only the parent file’s size.

There is a command line tool called ’LADS‘ which will list it!

Not just that, Microsoft realized it and now has a provision to do it; { Read }