Alternate Data Stream ADS Ordner oder Dateien unsichtbar verstecken

Manchmal ist es angebracht, Dateien oder Ordner vor anderen zu verstecken und unsichtbar zu machen. Dafür gibt es verschiedene Methoden für Windows 7, Windows 8.1 oder Windows 10.

Einmal lassen sich Daten mit einem Tool verstecken. Siehe hier mit WinMend oder mit Disguise Folders. Das geht einfach, aber hat den Nachteil, dass die Datei weiterhin über die Datei-Grösse auf dem Datenträger erscheinen. Will man sie quasi unaufspürbar machen, dann kann man eine andere Methode anwenden, die sich Alternate Data Streams nennt.

Und so funktioniert es:

Alternate Data Stream (ADS)

In diesem Tutorial werden wir Dateien sicher und quasi „Unsichtbar“ zu verstecken. Allerdings ist die Gefahr hoch, dass man ohne ein extra Programm die Dateien nicht wiederfindet relativ hoch.

Alternate Data Streams (ADS) sind nicht sichtbare Dateiergänzungen welche man nutzen kann, um Dateien zu Verstecken. Das Gute/schlechte: Sie sind quasi Unaufspürbar. Man merkt der „Träger-Datei“ nicht an, dass man dort eine andere Datei versteckt hat. Weder die Datei-Größe noch Entpackprogramme verrät etwas über die versteckte Datei.

Es wird erst Sichtbar sobald Windows meldet, dass kein Freier Speicherplatz mehr verfügbar ist, obwohl der Windows-Explorer anzeigt, dass noch Speicherplatz vorhanden ist.

Der Nachteil: Sobald du die Trägerdatei mit der versteckten Datei auf ein anderes Dateisystem überträgst, wird die „Versteckte Datei“ spurlos gelöscht. Das Gleiche gilt auch beim Brennen auf eine CD/DVD. Der ADS wird nicht mitgebrannt.

Lange Rede kurzer Sinn: Alternate Data Streams sind so gut wie nicht aufspürbar. Allerdings kann man damit auch sehr schnell haufenweise Daten verlieren. Man kann sogar Ordner als Speicherplatz verwenden.

Wie verstecke ich Daten im ADS?

Zuerst benötigst du eine beliebige Datei, die du im ADS verstecken möchtest, und dann benötigst du noch die sogenannte Trägerdatei, die Optimalerweise im selben Verzeichnis liegen.

In meinem Beispiel nehme ich als versteckte Datei eine .txt Datei und als Träger eine .mp4 Datei.

Nun öffnest du über Windows -Taste + R die cmd.exe und navigierst in dein Verzeichnis, wo die Datei, die Versteckt werden soll und die Trägerdatei liegen und machst folgendes:

type DateiDieVerstecktWerdenSoll > TrägerDatei:geheim in meinem Beispiel würde das ganze so aussehen:

• type Test1.txt > Film.mp4:geheim.mp4

Der Parameter „geheim.mp4“ kann natürlich auch anders genannt werden, wichtig ist nur, dass man den Namen sowie die Endung nicht vergisst, da es sonst schwierig bis unmöglich wird, die Datei wiederherzustellen.

Achtung: Wenn der Dateiname ein Leerzeichen enthält, muss diese in Anführungszeichen (“) gesetzt werden.

Wie öffne ich Dateien aus dem ADS

Fast jedes Programm ist in der Lage, dateien aus dem ADS zu öffnen. Ich zeige unten nun ein paar Beispiele, wie man die Dateien öffnen kann:

Für die Textdatei (.txt)

• C:\notepad TrägerDatei:Test1.txt

Für eine Anwendung (.exe)

• start c:\test.txt:test2.exe

Allerdings muss man bei der .exe immer die Pfade mit angeben, da sonst eine Fehlermeldung erscheint.

Wie extrahiere ich Dateien aus dem ADS

Um Dateien aus dem ADS „herauszuholen“ gibt es folgende Methoden: (Diese sind aber nicht so einfach)

Für Textdateien aber auch nur für diese geht folgender Befehl:

• more < Trägerdatei:geheim.txt > Ausgangsdatei.txt

Für andere Dateien muss ein extra Programm namens „Cat“ herangezogen werden, da Windows nur die Möglichkeit bietet, Dateien im ADS zu „Packen“ aber nicht zu „Entpacken“.

Das Programm könnt ihr euch hier herunterladen. (Unten im Artikel)

Um z. B. eine .zip aus einer .jpg zu entpacken, macht man folgendes:

• cat IMG12.jpg:Test1.zip > Test3.zip

Damit wurde nun die Test1.zip aus dem ADS kopiert und als Test3.zip im Verzeichnis, wo der Command ausgeführt wurde, gespeichert.

Wie lösche ich den ADS einer Datei

Es reicht wenn man die Datei, welche den ADS enthält, einfach löscht. Alternativ kann man auch die Datei, die im ADS ist, durch eine „leere“ Datei ersetzen. Angenommen du hast eine Textdatei mit dem Namen „Rechnung.txt“ welche in „Wichtig.txt“ eingehängt wurde, du benötigst „Rechnung.txt“ aber nicht mehr aber möchtest die Information in der „Wichtig.txt“ behalten, machst du folgendes:

• echo . > Wichtig.txt:Rechnung.txt

Damit wurde der Inhalt der „Rechnung.txt“ im ADS der „Wichtig.txt“ mit einem „.“ ersetzt. Ganz rauslöschen lässt sich die Datei nur, wenn man die ganze Datei löscht.

Wenn du eine Datei aus dem ADS eines Ordners löschen möchtest, kann dies schon schwieriger werden, da du dafür den Ordner löschen musst. Und dies kann zu Problemen führen, sobald es Systemordner sind, welche nicht löschbar sind.

Die Alternative ist das gleiche wie eben genannt, dass man die Datei, die sich im ADS befindet, einfach überschreibt.

Warnung: Rootkits können ebenfalls über die ADS Methode verteilt werden. Weshalb es sein kann, dass deine Antivirensoftware darauf anspringt, sobald du mit dem ADS hantierst.

Vielen Dank an Lem0th für dieses Tutorial

Dateien mit AlternateStreamView sichtbar machen

Hat man Daten versteckt, dann kann man diese mit der AlternateStreamView.exe sichtbar machen.

Dieses kleine portable Tool gibt es bei NirSoft und braucht nur entpackt und gestartet werden.

Es scannt dann die NTFS-Platte und zeigt die Daten an, die man auch als Textdatei abspeichern kann.

Info und Download: nirsoft.net/alternate_data_streams

Fragen zu Windows 10?