last modified
04.03.2019
Ihr Browser unterstützt kein CSS. Das für die Darstellung dieser Webseiten intendierte Seitenlayout wird deshalb nicht angewandt / angezeigt. Ist dies nicht Ihre Absicht, so haben Sie wahrscheinlich in Ihrem Browser den Autorenmodus deaktiviert. Dennoch sind diese Seiten les- und navigierbar.
Texte der Infoboxen werden inline ausgegeben.
Bitte erlauben Sie den Autorenmodus oder verwenden Sie einen CSS-fähigen Browser, wenn Sie diese Seiten so anschauen möchten, wie sie vom Autor gestaltet wurden.
von Michael Luthardt
Alternate Data Streams (ADS) sind im Dateisystem NTFS an Dateien und Ordner angehängte Daten mit Dateiinformationen, wie sie z. B. unter Datei > Eigenschaften > Dateiinfo eigetragen werden können. Windows bringt von sich aus keinen Directory-Befehl mit, um das Vorhandensein von ADS anzuzeigen; ihre Größe geht nicht in die Dateigröße ein. Ausführliches findet sich hierzu bei Frank Heyne.
Hier geht es ausschließlich darum, ob und wie die AntiVir Personal Edition vor Viren in solchen ADS schützt.
Laut Heise Security schützt AntiVir nicht on demand (bei einer Virenprüfung), jedoch on access (beim Zugriff).
Dies stimmt so nicht! Gerade on demand schützt AntiVir nicht nur vor Viren in normalen ADS, sondern auch in sogenannten Directory Listings (DL); dies sind an Ordnern hängende ADS.
On access reagiert unterschiedlich: ADS ja, DL nur, wenn der Stream wie ein ADS aufgerufen wird. Beim Kopieren von Dateien und Ordnern greift der Guard, nicht jedoch beim Verschieben innerhalb desselben Dateisystems. Letzteres kann er auch gar nicht, weil dabei nicht die Datei selbst, sondern nur das Directory angefasst wird.
Hier ist die kommentierte Ausgabe des Konsolenfensters meiner Experimente. Das AV Kontrollprogramm ist die 6.28.00.02, der Guard 6.29.00.03 und die Such-Engine 6.29.08.
Die Dateien eicar.cmd und eicar_stream.cmd gibt es im Downloadbereich im Archiv av.zip. Das Programm lads zur Anzeige der Streams ist von Frank Heyne.
Die Tatsache, dass AntiVir doch Viren in ADS und DL on demand erkennt, kann man auf die gezeigte Weise nutzen, um DL zu löschen. Es gibt sonst keine Methode, dies zu tun, ohne den Ordner zu löschen. (Zum Löschen von ADS siehe Frank Heyne.)
5.12.2005/12.12.2013