StreamArmor - Versteckte Datenströme analysieren

Funktionalität: Die Alternativen Datenströme (Alternate Data Streams, ADS) sind ein wenig bekanntes Feature des NTFS-Dateisystems. Sie erlauben es, vorhandenen Dateien und Ordnern zusätzliche Informationen hinzuzufügen, ohne dadurch deren Funktionsfähigkeit und Größe zu beeinflussen. Windows und Anwendungen nutzen diese Möglichkeit beispielsweise, um Vorschaubilder abzulegen. Da die Streams Bordmitteln wie dem Windows-Explorer verborgen bleiben, eignen sie sich aber ebenfalls hervorragend, um ungebetene Gäste wie Viren und Spyware zu verstecken.

Mit StreamArmor lassen sich die ADS auf einem Rechner aufspüren und analysieren. Das Tool kann das gesamte System oder nur ausgewählte Laufwerke, Ordner und Dateien untersuchen. Bekannte harmlose Streams wie Zone.Identifier oder solche mit null Byte lassen sich von der Überprüfung ausnehmen, was die Scan-Dauer reduziert und die Ergebnisübersicht verbessert. Schafft das Programm es anhand seiner heuristischen und Mustererkennung nicht, einen Stream eindeutig zu identifizieren, stuft es ihn als verdächtig ein oder mahnt eine genauere Überprüfung an. Diese Vorgehensweise empfiehlt sich ohnehin, bevor man einen Stream löscht.

Fortgeschrittene können die fragliche Datei in der Snapshot-Ansicht selbst unter die Lupe nehmen oder sie in einer virtuellen Umgebung ausführen. Wer zusätzlich andere Meinungen einholen möchte, hat die Möglichkeit, den Stream zur weiteren Analyse an die drei zur Auswahl stehenden Online-Dienste VirusTotal, ThreatExpert oder MalwareHash zu senden. Darüber hinaus lässt sich der Stream-Inhalt auf einem Speichermedium, etwa einem USB-Stick, ablegen und ein Bericht über die Untersuchungsergebnisse im HTML-Format anfertigen.

Mit der Version 2.5 hat die Unterstützung für Windows 8 Einzug gehalten.

Installation: Das heruntergeladene ZIP-Datei (4,2 MByte) enthält sowohl einen konventionellen Installer, der mit einem Assistenten arbeitet, als auch die portable Version des Tools. Wenn man das Archiv entpackt, enthält der Ordner StreamArmor die Setup-Datei, während das Unterverzeichnis Portable Version die installationsfreie Variante beherbergt.

Bedienung: Das Programm liegt zwar lediglich in englischer Fassung vor, ist aber übersichtlich aufgebaut, sodass man sich mühelos zurechtfindet. Links oben lassen sich über eine Schaltfläche die zu untersuchenden Laufwerke oder Ordner auswählen. Alternativ bewirkt die Checkbox Perform complete computer scan eine Analyse des gesamten Rechners. Die Vorbelegungen in den Einstellungen sind sinnvoll gewählt, bis auf Scan Settings. Hier sollte man besser die Option Ignore all known data streams aktivieren, damit bekannte harmlose Streams nicht mit in den Ergebnissen aufgeführt werden.

Das Tool präsentiert die erfassten Alternativen Datenströme mit einer farbigen Markierung: Grün bedeutet unbedenklich, gelb erfordert eine genauere Analyse, orange steht für verdächtig und rot für gefährlich. Ein Klick auf einen Eintrag blendet im unteren Bereich eine Hex-Editor-Ansicht (Snapshot View) ein sowie weitere Informationen wie den Stream-Namen, die Größe und den Dateityp. Mittels Kontextmenü lassen sich die Streams öffnen, speichern, löschen oder bei Bedarf an einen Online-Anbieter wie VirusTotal zur weiteren Untersuchung übermitteln.

Fazit: Mit StreamArmor verfügt der Anwender über ein portabel nutzbares Werkzeug, um Alternative Datenströme zu untersuchen. Die einfache Bedienung sollte nicht darüber hinwegtäuschen, dass die Software sich an Profis und versierte Benutzer richtet, die über genügend Hintergrundwissen verfügen, um die Ergebnisse richtig einzuordnen. (cvi/mje)