1. ADS란 무엇인가?
- 정의: NTFS에서 파일이 하나 이상의 데이터 스트림을 가질 수 있게 해주는 기능.
- 기본 데이터 스트림: 모든 파일에는 최소한 하나의
$DATA스트림이 존재. - 대체 스트림: 파일 안에 추가로 생성할 수 있는 데이터 저장 공간. 일반적으로 Windows 탐색기에서는 보이지 않음.
2. 특징
-
투명성
- 기본 파일처럼 보이지만, 실제로는 여러 스트림으로 나뉘어 저장됨.
- 사용자가 특별히 접근하지 않으면 존재를 확인할 수 없음.
-
보안 관점
- 악용 가능성: 악성코드나 스텔스 데이터를 숨길 때 활용.
- 정상 활용 예시: 인터넷에서 다운로드한 파일에는 출처 정보를 ADS에 저장하여 보안/식별 목적 사용.
-
접근 방법
-
일반 탐색기에서는 볼 수 없음.
-
Powershell이나 일부 3rd party 도구를 사용하면 확인 가능.
-
예시(Powershell):
Get-Item -Path example.txt -Stream *
-
3. 활용 사례
-
보안 위협: 악성코드가 ADS를 이용해 시스템에 숨어있다가 실행될 수 있음.
-
정상 기능:
- 파일 출처 기록(Zone.Identifier 스트림)
- 소프트웨어가 메타데이터를 숨겨야 할 때 사용
4. 정리
- NTFS의 ADS는 파일 하나에 여러 데이터를 저장할 수 있는 기능.
- 탐색기에서는 표시되지 않지만, Powershell 등으로 확인 가능.
- 보안 측면에서는 숨김 데이터/악성코드에 악용될 수 있으므로 모니터링 필요.
- 정상적인 활용도 존재하며, Microsoft Windows에서 파일 출처 식별 등에 활용됨.
DevSecOps ⚙️ + CTF🚩