Jeffrey Cross
Jeffrey Cross

NTFS Alternate Data Streams - skrivanje datotek v drugih datotekah

Datotečni sistem NTFS podpira dodatne podatke, imenovane alternativne podatkovne tokove (ADS), ki jih je mogoče povezati s katero koli datoteko. Običajno ga uporabljajo operacijski sistem in raziskovalec datotek za povezovanje dodatnih podatkov v datoteko, kot so informacije o dostopu do datoteke, metapodatki, ki jih je mogoče iskati, kot so ključne besede, komentarji in zgodovina revizij, in celo informacije, ki lahko datoteko označijo kot prenesli z interneta. Ker so te dodatne informacije vezane na datoteko na ravni datotečnega sistema, lahko datoteko premaknete iz ene mape v drugo in vse datoteke z različnimi meta-informacijami in dovoljenji ostanejo v datoteki.

Zanimivo je, da ima datoteka lahko 0 do številnih vilic ADS, ki so priložene kateri koli datoteki ali imeniku. Medtem ko nekateri identifikatorji ADS uporabljajo operacijski sistem, vam nič ne preprečuje, da bi v datoteko dodali druge vilice ADS. To lahko naredite neposredno iz ukazne vrstice z uporabo preprostega zapisa »:« z dvopičjem.

Recimo, da imate datoteko, ki se imenuje test.txt. Skrivno sporočilo lahko shranite v datoteko, kot je ta: echo "To je skrivnost"> test.txt: secretdata

Če si ogledate vsebino datoteke, ne boste videli nič posebnega. Če veste za obstoj vnosa ADS za secretdata, lahko skrite informacije preprosto ekstrahirate z naslednjim ukazom: več <test.txt: secretdata> output.txt

Ko zdaj odprete output.txt, boste v njem našli skrivne podatke.

Ker gre za funkcijo operacijskega sistema nižjega nivoja, lahko večina programov celo prevari nalaganje podatkov. V zgornjem scenariju lahko dejansko naložite in uredite tok tajnih podatkov znotraj beležnice tako, da zaženete »notepad test.txt: secretdataLahko tudi shranite in izvršite binarne podatke katere koli določene velikosti v razcepu ADS. Morda boste na primer želeli potisniti solitaire v enega od vnosov besedilne datoteke ADS:

vnesite c: winntsystem32sol.exe> ​​test.txt: timewaster.exe

Izvajanje datoteke je preprosto kot »začetek. est.txt: timewaster.exe“. Wild, ne?

Torej je čudno, da so vsi ti skriti tokovi plavajoči o vašem datotečnem sistemu in dokler Vista's / R zastavica v ukazu DIR ni resnično zelo dober vgrajen način za njihovo odkrivanje. Da bi to rešili, je Frank Heyne ustvaril aplikacijo LADS, ki je odličen pripomoček za ukazno vrstico, ki bo skenirala imenik in natisnila imena in velikosti tokov za datoteke v njem.

V članku MSDN je bilo objavljeno tudi orodje o tokovih datotek, ki bo na dodatnem zavihku v lastnostih datoteke v Raziskovalcu. Povezal sem se s pogosto zastavljenimi vprašanji, ki jih Frank ohranja o ADS, ki vas vodi skozi nastavitve vnosov dll in registra, da bo to delo opravljeno. Ko se aktivira, boste na kartici Streams na plošči lastnosti ustvarili, si ogledali, uredili ali izbrisali podatke o toku, ki so priloženi kateri koli datoteki, v programu Explorer.

Vidim, kako bi bila ta funkcija datotečnega sistema lahko koristna, vendar je malo čudno, da je tako skrita od uporabnika in da je videti, da obstaja nekaj težav s konceptom. Očitno je, da zaradi skrite narave ADS obstajajo številne zlonamerne uporabe, ki jih lahko uporabljajo kreteni, ki pišejo virii in take stvari. Tudi če zanemarimo, obstajajo tudi vprašanja o izmenjavi podatkov - premikanje datoteke med NTFS in drugim datotečnim sistemom povzroči izgubo vseh teh priloženih informacij. Pokliči me staromodno, ampak moje datoteke so mi všeč, kot so bile, z začetkom, koncem in nekaj bajti vmes.

Frank Heyne - Nadomestni podatkovni tokovi v NTFS FAQ LADS - NTFS nadomestni seznam podatkovnih tokov pomožni program The Dark Side of NTFS MSDN: perspektiva programerja na NTFS tokovih in trdih povezavah

Delež

Pustite Komentar