NTFS備用數據流 - 隱藏其他文件中的文件 - 💡 Fix My Ideas

NTFS備用數據流 - 隱藏其他文件中的文件

NTFS備用數據流 - 隱藏其他文件中的文件


作者: Ethan Holmes, 2019

NTFS文件系統支持附加數據,稱為備用數據流(ADS),可附加到任何文件。通常,操作系統和文件瀏覽器使用它將額外數據綁定到文件,例如文件的訪問控制信息,可搜索的文件元數據,如關鍵字,註釋和修訂歷史,甚至可以將文件標記為具有的信息已從互聯網上下載。由於此額外信息綁定到文件系統級別的文件,因此您可以將文件從一個文件夾移動到另一個文件夾,並且所有各種元信息和權限數據都保留在文件中。

有趣的是,一個文件可以有0到多個附加到任何文件或目錄的ADS分支。雖然操作系統使用了一些ADS標識符,但沒有什麼可以阻止您將其他ADS分支添加到文件中。您可以使用簡單的冒號“:”表示法直接從命令行執行此操作。

假設您有一個名為test.txt的文件。您可以在文件中存儲一條秘密消息,如下所示: echo“這是秘密”> test.txt:secretdata

如果您查看文件的內容,您將看不到任何特殊的內容。但是,如果您知道secrettdata ADS條目的存在,則可以使用以下命令輕鬆提取隱藏信息: 更多<test.txt:secretdata> output.txt

當你現在打開output.txt時,你會在裡面找到你的秘密數據。

因為它是較低級別的操作系統功能,所以您甚至可以欺騙大多數程序加載數據。在上面的場景中,你可以通過運行“實際上加載和編輯記事本內的secretdata流”記事本test.txt:secretdata“。你甚至可以在ADS前綴中存儲和執行任何特定大小的二進制數據。例如,也許你想在你的一個文本文件的ADS條目中推送紙牌:

鍵入c:winntsystem32sol.exe> test.txt:timewaster.exe

運行該文件就像“開始。 est.txt:timewaster.exe“。狂野,不是嗎?

所以奇怪的是,所有這些隱藏的流都在你的文件系統上浮動,直到DIR命令上的Vista / R標誌,沒有一個非常好的內置方式來檢測它們。為了解決這個問題,Frank Heyne創建了一個名為LADS的應用程序,它是一個出色的命令行實用程序,它將掃描目錄並打印出其中文件的流名稱和大小。

在MSDN文章中還發布了一個關於文件流的工具,它將在Windows資源管理器中的文件屬性的附加選項卡中顯示。我已經鏈接到Frank維護的有關ADS的常見問題解答,該常見問題解答指導您設置dll和註冊表項以使其工作。激活後,屬性面板中的Streams選項卡將允許您在資源管理器中創建,查看,編輯或刪除附加到任何文件的流數據。

我可以看到這個文件系統功能如何有用,但它有點奇怪,它是如此隱藏的用戶,似乎有一些問題的概念。顯然,由於ADS的隱藏性質,有許多惡意用途可以被jerk-o用來編寫virii等等。即使忽略這一點,也存在數據交換問題 - 在NTFS和另一個文件系統之間移動文件會導致丟失所有這些附加信息。叫我老式,但我喜歡我以前的方式,有一個開頭,一個結尾,還有一些字節。

Frank Heyne - NTFS中的備用數據流常見問題解答LADS - NTFS備用數據流列表實用程序NTFS MSDN的黑暗面:程序員對NTFS流和硬鏈接的看法



您可能感興趣

來自MAKE的新AVR編程手冊

來自MAKE的新AVR編程手冊


BeagleBoard揭示了X15 - 它是一隻野獸

BeagleBoard揭示了X15 - 它是一隻野獸


攝影師在樂高中創造逼真的星球大戰場景

攝影師在樂高中創造逼真的星球大戰場景


UP1機器人是機器人軟件開發人員的嚴肅硬件

UP1機器人是機器人軟件開發人員的嚴肅硬件






最近的帖子