Como ya se ha explicado, la razón más común para la diferencia de tamaño es el espacio utilizado frente al espacio asignado. Pero no es la única posible, NTFS tiene una función para añadir datos ocultos a los archivos. Esta posibilidad fue la que explotó el ransomware del sector sanitario a finales de 2019.
Bifurcación de archivos y flujo de datos alternativo
" Horquilla de recursos " ha sido utilizado por Apple desde 1984 (Macintosh) para almacenar el contenido principal de un programa (instrucciones) y los recursos asociados (como iconos y menús) en el mismo archivo. Incrustar recursos en archivos ejecutables es una técnica común, pero hacerlo con forks no lo es.
Apple diseñó sistemáticamente los sistemas de archivos de Macintosh para admitir la bifurcación de archivos, y cuando Microsoft diseñó NTFS para sustituir a FAT, también se introdujo la bifurcación con el nombre de " flujo de datos alternativo " (ADS).
En NTFS, un archivo contiene:
- El flujo de datos obligatorio sin nombre (UDS)
- Uno o más flujos de datos alternativos (ADS) opcionales.
Oculto a la vista de todos
La bifurcación de archivos no es mala, excepto que los ADS de NTFS no son compatibles con las herramientas comunes, incluido el Explorador de Windows, los ADS son de facto una característica oculta, un regalo inesperado para los hackers. En Wikipedia :
Los flujos alternativos no aparecen en el Explorador de Windows, y su tamaño no se incluye en el tamaño del archivo.
Mientras que el tamaño del archivo, que sólo informa del tamaño UDS, no se modifica por la existencia de ADS, el tamaño asignado (grupos asignados al archivo por el sistema de archivos) informa del tamaño real del archivo, con todos los flujos incluidos.
El explorador de Windows no reporta ADS, ni el comando CMD dir
. Sin embargo los ADS son visibles con:
Tenga en cuenta que todavía es posible ocultar ADS de algunas de estas herramientas mediante el uso de palabras clave reservadas del sistema de archivos (véase el documento de Pierce vinculado a continuación).
Descripción exhaustiva de la ADS que merece la pena leer:
Uso de ADS por parte del malware
Las herramientas antimalware serias buscan ADS, pero el malware sigue utilizando ADS, a gran escala, porque:
- Algunas suites de seguridad ni siquiera son conscientes de ADS, o no pueden identificar los usos maliciosos de ADS.
- Es fácil redirigir la ejecución de un archivo legítimo a un ADS (por ejemplo, utilizando un acceso directo).
BitPaymer
El ransomware BitPaymer entra en el ordenador como un archivo normal y visible, pero cuando se ejecuta se copia en un archivo legítimo como un ADS y luego eliminar el archivo inicial. Como esto no cambia el tamaño del archivo legítimo, y los ADS no aparecen en las herramientas comunes, el malware está ahora prácticamente oculto.
Operación Cobalt Kitty
También se esconde usando ADS .
Lo que quiero decir es que En caso de que se observe una gran diferencia de tamaño de archivo (más de un tamaño del grupo : 4KB), no pases por alto la posibilidad de ADS, y el malware oculto.
Experimente usted mismo el ADS
Para experimentar con seguridad con ADS, pruebe esto a nivel de DOS/CMD...
Crear y luego mostrar el contenido de un archivo en root de C:
C:\> echo The main data stream> test.txt
C:\> type test.txt
Resultado:
C:\> The main data stream
Ahora añada un ADS con el mismo método, sólo especifique el nombre del ADS además del nombre del archivo:
C:\> echo The secret message> test.txt:secret
Acabas de ocultar el mensaje secreto en el archivo. Observe que el tamaño del archivo en el Explorador no ha cambiado a pesar de que hemos añadido bytes en el ADS "secreto".
Intenta mostrar el contenido de ADS:
C:\> type test.txt:secret
Resultado:
The filename, directory name, or volume label syntax is incorrect.
CMD type
no es capaz de mostrar el contenido del ADS. En su lugar, utilizaremos el Bloc de notas:
notepad test.txt:secret
En el Bloc de notas podemos ver el contenido de los ADS:
The secret message
También puede ocultar un ejecutable completo en un ADS de un inocente archivo de texto, y ejecutarlo en cualquier momento. La riqueza no hace daño a los hackers :-)
0 votos
He encontrado algo : Pregunta . ¿Podría ser este también mi problema?
10 votos
Hola thelastblack, y bienvenido a SuperUser. He editado tu pregunta para eliminar la parte sobre la desfragmentación, ya que las dos respuestas existentes se centran en la discrepancia de tamaño/tamaño en el disco y el formato de Stack Exchange funciona mejor cuando cada pregunta publicada es sobre una sola cosa. Sin embargo, puedes volver a plantear esa pregunta por separado, aunque creo que las respuestas que has recibido hasta ahora sobre esta cuestión muestran que la desfragmentación no te ayudará. (En general, tampoco sirve de nada en los soportes de estado sólido). editar su pregunta si cree que he cambiado su intención de alguna manera.
1 votos
@MichaelKjörling Je, acabo de editar una pequeña discusión sobre la fragmentación (me distraje un poco antes)
21 votos
@MichaelKjörling No lo hagas editar las preguntas con carácter retroactivo para adaptarlas a las respuestas. Una de las respuestas aborda la parte de la fragmentación de la pregunta del OP. Su edición debe ser revertida para evitar confusiones.
5 votos
@DanteTheEgregore Si te refieres a la respuesta de Bob, que de hecho ha sido editada para discutir también los efectos de la fragmentación, entonces antes de saltar el arma, por favor revisa los historiales de edición y las marcas de tiempo en esa respuesta y la pregunta. En el momento de mi edición, la respuesta de Bob no cubría el tema de la fragmentación en absoluto. Si el usuario quiere hacerlo, editar de nuevo en "¿desfragmentar los medios me ayudará con esto?" debería resolver cualquier confusión pendiente, aunque todavía siento que es mejor plantear como una pregunta separada; En mi opinión, la cuestión de la diferencia entre los dos valores no tiene nada que ver.
0 votos
@Braiam Sí, está formateado en FAT32. Tengo que volver a formatear el disco.
11 votos
Me parece que esta aplicación está seriamente mal programada - considera presentar un informe de errores. No soy de ninguna manera un programador profesional, pero una vez hackeé algo similar en JavaME, y por supuesto uno de los problemas que tuve que resolver fue cómo almacenar todos esos pequeños mosaicos de mapas de manera eficiente (almacenamiento y acceso) en un contenedor. Terminé usando archivos zip sin comprimir.
1 votos
Relacionado: ¿Cuál es la diferencia entre tamaño y tamaño en disco?