ADS(Alternate Data Streams)

익스플로러를 통해 다운로드 받은 실행 파일을 ShellExecute(Ex) API 를 통해 실행했을 때 실패 발생.

GetLastError의 값이 1223으로 나옴.

//
// MessageId: ERROR_CANCELLED
//
// MessageText:
//
// The operation was canceled by the user.
//
#define ERROR_CANCELLED                  1223L

탐색기에서 파일을 실행하면 다음과 같이 경고창이 뜬다.

파일 속성을 보면 다음과 같이 보안 항목이 표된다.

뭔지 찾아보니 NTFS의 ADS(Alternate Data Streams)와 관련이 있다고 한다.

다음은 ADS에 대한 정리가 잘 되어있는 링크니 참고해서 보자.

파일 열기 보안 경고

http://snoopybox.co.kr/1552

Hidden Threat: Alternate Data Streams

http://coinz.tistory.com/115

Data Hiding 기법 - ADS 생성/실행/탐지

http://blog.naver.com/ifkiller/70156536987

Fork(file system)

http://en.wikipedia.org/wiki/Fork_(file_system)

Enumerating Alternate Data Streams

http://www.codeproject.com/Articles/13667/Enumerating-Alternate-Data-Streams

Manipulate Alternate Data Streams

http://www.codeproject.com/Articles/9387/Manipulate-Alternate-Data-Streams