Versteckte Daten finden, einsehen und entfernen
Auf Laufwerken, die mit dem Dateisystem NTFS formatiert wurden, kann man Dateien und Verzeichnissen so genannte Alternative Datenströme (Alternate Data Stream; kurz ADS) anhängen.
Den Dateien, denen Alternative Datenströme angehängt sind, kann man dies nicht ansehen. Die Dateigröße ist nach dem Anhängen unverändert. Dennoch belegen diese unsichtbaren Daten Platz.
Aufgrund dieser Eigenschaften werden Alternate Data Streams häufig missbraucht, um Schadprogramme wie Viren und Trojaner auf Ihrem System einzuschleusen und zu verbergen.
Mit den Windows Bordmitteln, ist es nahezu unmöglich, festzustellen, ob einer Datei ein solcher alternativer Datenstrom angehängt wurde.
ArchiCrypt Shredder
•findet solche versteckte Daten,
•kann die versteckten Daten anzeigen
•kann die versteckten Daten löschen
•gibt einen Hinweis auf potenzielle Gefahr
•bietet an, im Internet eine Recherche nach Merkmalen des gefundenen Alternativen Datenstroms für Sie durchzuführen.
So finden Sie versteckte Daten
Auswahl der zu analysierenden Verzeichnisse
Wählen Sie links das zu analysierende Laufwerk oder Verzeichnis aus, indem Sie ein Häkchen setzen (Sie können auch mehrere Laufwerke und Verzeichnisse wählen). Die Analyse dauert bei großen Dateimengen entsprechend lange! Starten Sie die Analyse anschließend mit der Schaltfläche Analyse starten. Alle Dateien in den gewählten Verzeichnissen und Unterverzeichnissen werden jetzt analysiert.
Die 2 Phasen der Analyse
Im ersten Schritt ermittelt ArchiCrypt Shredder, welche Dateien zu untersuchen sind. Im zweiten Schritt werden die Daten dann genauer untersucht.
Das Ergebnis der Analyse erhalten Sie in einer Tabelle. ArchiCrypt Shredder versucht abzuschätzen, ob von den versteckten Daten eine Gefahr ausgeht und zeigt ein entsprechendes Symbol.
Das Ergebnis der Analyse einschätzen
Symbol
Von dieser Datei geht vermutlich keine Gefahr aus. Um wirklich sicherzugehen, wählen Sie den entsprechenden Eintrag in der Tabelle aus und betätigen die rechte Maustaste.
Eine Datei mit einem verdächtigen Alternativen Datenstrom
Wählen Sie jetzt im Kontextmenü die Eintrag "Information über Stream ...". ArchiCrypt Shredder zeigt Ihnen jetzt das Ergebnis einer Suche mit Google an. Sie können meist bereits anhand der ersten Suchergebnisse beurteilen, ob es sich um gefährliche Daten handelt.
Symbol
Von diesen Daten geht eine große Gefahr aus. Sie sollten diesen Datenstrom nur dann nicht löschen, wenn Sie genau wissen, um welche Daten es sich handelt und welchen Zweck diese Daten haben.
Auch hier hilft die Funktion "Information über Stream ..." des Kontextmenüs.
So betrachten Sie die Inhalte versteckter Daten
Um sich den Inhalt eines "Streams" anzusehen, klicken Sie bitte doppelt auf den entsprechenden Eintrag in der Tabelle.
Alternative Data Stream öffnen und betrachten
Wenn Sie ein Computerexperte sind, können Sie hier schnell feststellen, um welche Art von Datei es sich handelt und was der mutmaßliche Zweck ist. Aber auch als Laie kann man hier bestimmte Rückschlüsse über das Gefahrenpotenzial ziehen. Handelt es sich zum Beispiel um reinen Text, ist der Datenstrom eher unkritisch. Wenn Sie nicht einschätzen können, wie der Datenstrom zu bewerten ist, halten Sie sich an die automatische Einschätzung durch ArchiCrypt Shredder.