收集:www.kittybuy
NTFS 数据流
NTFS分区的数据流是一个子文件系统允许额外的数据连接到一个特别的文件中,现在的FAT文件系统格式是不支持数据流格式的。 简单点说就是给在NTFS分区格式的文件添加了一个标记。除了上面举的卡巴斯基的例子,在WinRAR添加压缩文件时,在 高级 选项中就有“保存文件数据流”的选项。再看看卡巴斯基对NTFS数据流干了些什么,Kaspersky把文件的验证指纹信息保存到NTFS数据流里面,如果病毒/木马修改了这个文件,Kaspersky就会很快发现文件校检有误,这就是为什么Kaspersky安装完毕要必须“全盘检查”一次,这样可以大幅度加快以后的病毒检查速度!那么,怎样添加NTFS数据流呢?这就和cmd有关了
CODE:  [Copy to clipboard]
--------------------------------------------------------------------------------
dir C:&
看看1.txt里的内容,记住哦~~
然后
CODE:  [Copy to clipboard]
--------------------------------------------------------------------------------
dir c:&:
怎么样,糊涂了吧~~~先看看2.txt的属性:0 Bytes,打开2.txt看看有什么?什么都没了~~~
然后在输入:
CODE:  [Copy to clipboard]
--------------------------------------------------------------------------------
:
看看,出来什么了?惊讶吧~~
其实每个文件都可以有多个流的,用这个NTFS的特性我们可以隐藏文件哦~~~而且,还可以,隐藏木马 ^_^ 实际上, 流还可以不依赖于文件, 下面的命令也是合法的(先不要试, 否则可能会有点麻烦):
CODE:  [Copy to clipboard]
--------------------------------------------------------------------------------
dir e:>:
这是把流绑到了文件夹上, 这种流就更隐蔽了,一般情况下要想删除流只有将其宿主删除,如果你执行了刚才的命令,并且是在根文件夹上执行的,如果你想删除它, 那就恭喜你要格盘了:),不过有现成的工具可以使用的,这个就是:
Streams v1.53
Reveal NTFS alternate streams
www.sysinternals/Utilities/Streams.html
这么样,又是sysinternal的作品哦~~
我要说的就说完了,下面是网上收集的关于NTFS流的资料了
Quote:
NTFS上的交换数据流NTFS上的交换数据流
转载:来源不详
----目录--------
1、前言
2、概念
3、性质和应用
-3.1 创建
-3.2 删除
-3.3 检测与提取
-3.4 保存与传输
-3.5 文件隐藏
-3.6 运行
-
3.7 与IIS相关
4、附言
5、参考文章
----------------
1、前言
交换数据流(alternate data streams,以下简称ADS)也不是什么新东西,但用户和管理员对它的认识知之甚少,本文将结合前人的资料对ADS做一番探讨。如有错误,还望高手赐
教。
2、概念
先来看看微软对多文件流的解释:
在 NTFS 文件系统下,每个文件都可以有多个数据流。值得一提的是,流不是 NTFS 2000 的功能,但是从 Windows NT 3.1 开始流已存在。当在非 NTFS 卷(如 Windows 98 计算机的磁盘分区)下读辣椒酱的家庭制作方法
取文件内容时,只能访问一个数据流。因此,您会觉得它是该文件真正的且"唯一"的内容。这样的主流没有名称,并且是非 NTFS 文件系统可以处理的唯一一个流。但是当在 NTFS 卷上创建文件时,事情可能不一样。参看图 1 了解此重要概念。
ADS是NTFS文件系统特有的性质,也就是前面说的多数据流文件除了主流之外的流,但基于API的Win32却不能很好的支持ADS。例如我们可以把一个文件以流的形式附加到另一个文件(载体)中,但是对于Windows资源管理器来说载体文件没有发生任何变化(包括其大小、修改时间等)。由此将会产生一系列问题。
下面就让我们来看看ADS的一些性质及应用吧。
3、性质和应用
3.1 创建
创建ADS很简单,语法是<;载体文件名>:
看个命令行下面的例子:echo This is lake2's stream > a.
通过上面的例子我们就很简单的创建了一个ADS,它在windows下并不可见,不信你可以用资源管理
器或者dir命令看看a.txt文件的大小是不是0。打开a.txt,可是里面什么内容都没有。当然没有内容,这里ADS是a.,内容应该在这个文件里。注意,这里用type命令并不能显示文件a.,但是记事本却可以。还是在命令行下输入:,呵呵,看到"This is lake2's stream"了吧。现在我们用记事本打开a.txt随便修改内容,这并不会影响到流的内容;同样,对a.的修改也不会影响到载体文件a.txt。
3.2 删除
删除ADS最为简单,直接删载体文件就是;但是如果只想删ADS而保留载体文件的话最简单的办法就是把载体文件拉到非NTFS分区去走一趟。因为ADS是NTFS的"专利",离开了NTFS文件系统ADS也就烟消云散了。
如果你只想在NTFS分区删除ADS的话,可以用下面这个批处理:
> a.txt.bak
rem type不能支持ADS,所以拿它来备份载体
rem 删除载体及ADS
rem 恢复载体文件
3.3 检测与提取
关于ADS的检测涉及到API编程了,呵呵,这方面我还在努力学习,这里就抄微软的话:"Win32 备份 API 函数(BackupRead、BackupWrite 等)可用于枚举文件中的流"。
不过好在已经有检测ADS的软件了,下面几个软件都可以检测:
LADS (List Alternate Data Streams) - www.heysoft.de/nt/ntfs-ads.htm
Streams v1.1 (Sysinternals) - www.sysinternals/nt
w2k/source/misc.shtml
NT Objectives Forensic Toolkit () -(bjectives/)
要提取ADS必须要第三方工具,NTRootKit工具包里的cp可以做到(cp也可以用于创建流);NTRootKit工具包我一直没有到,google上一搜全是那个NTRootKit后门,只好自己用C写了一个。
这也不会要求你是编程高手,C语言里的文件函数完全可以支持ADS的创建、删除、提取,只需把ADS当成一个文件来处理就是了。
3.4 保存与传输
前面说了,ADS在非NTFS分区就会丢失,那么说来在非NTFS分区就无法保存ADS了吗?直接保存没有办法,我们可以间接保存啊。呵呵,这样需要借助一个软件,你也应该有的,它就是WinRAR。对含有ADS的文件加压时,到高级选项,那里有一个"保存文件流数据",打上勾(图2),呵呵,你就可以把ADS压缩到rar文件里了。这个rar文件可以保存到非NTFS分区的——注意啊,是保存,不能解压出来的。
如果要传输ADS,最好是用资源管理器打开对方的共享再复制粘贴;如果你想用其他方式传输的话大概就只能传输包含ADS的rar文件了。
3.5 信息隐藏
要保密信息,传统的做法是加密。虽然加密后信息内容变成了无法直接读出的密文,不过也等于告诉人家这是秘密,就不安全了;但是如果我把信息藏起来让你不着不就ok了吗,所以一种叫做"信息隐藏"的技术就被提出来了。
古装戏里常常有隐写术,就是一张白纸在平时就是一张普通的白纸,但在特殊的作用下预先写好的字就会显示出来。用这个来比喻信息隐藏是最为恰当的了。信息隐藏是目前信息安全研究的热门领域,实现方法也很多,最流行的大概就是以bmp图像文件为载体,通过替换文件每个字节无关紧要的最低的一位来实现的。
呵呵,不过有一种实现简单的信息隐藏技术就在我们眼前。对,就是利用ADS!既然Windows不能很好的察觉ADS,那么我们就可以把要保密的文件以ADS方式保存。不过这里提醒一下,利用ADS实现信息隐藏的安全性不是很高,不过也不是很低——我想应该没有人没事就花大量时间用检测着玩吧。
另外,大多数杀毒软件并不能检测ADS,所以我们可以利用流让杀毒软件pass后门。例: > a.
原文件nc.exe会被金山毒霸查出来,处理之后尽管a.内容与nc.exe完全一样,但并不会被金山毒霸发现。
3.6 运行
前面说了可利用ADS让后门躲避杀毒软件,但如果不能运行的话还不是没用。那怎么运行呢?
命令行下面直接运行a.是不行的,应该用start命令。关于这个命令的详细用法你自己打help start看看吧。
start命令运
行可执行的ADS时要用绝对路径或者当前路径用./加文件名。看例子:start ./a.start c:\a.
在Win2000下查看进程只能看到载体文件,而XP下则可以发现整个ADS。图3是在XP下用tlist的截图。
3.7 与IIS相关
在IIS中访问ADS会有一些有趣的事情发生,这个参见我的另一篇Blog《交换数据流(ADS)与IIS的前世与今生》(blog.csdn/lake2/archive/2005/01/26/269659.aspx)。
4.附言
谢谢你看完我的文章 :)
5.参考文章
股东协议书
bigworm翻译,《NTFS不利的一面》(www.xfocus/articles/200212/466.html)
xundi,《关于NTFS文件系统中的数据流问题》(www.xfocus/articles/200103/81.html)
H. Carvey,《The Dark Side of NTFS》(_side.html" rel=nofollow>patriot/~carvdawg/docs/dark_side.html)
Damon Martin,《Windows, NTFS and Alternate Data Streams》(_Martin_GSEC.pdf" rel=nofollow>/practical/gsec/Damon_Martin_GSEC.pdf)
《NTFS Streams - Everything you need to know》(www.diamondcs.au/index.php?page=archive&id=ntfs-streams)
Quote:
NTFS不利的一面
翻译+整理: By Bigworm 不当之处请指正
这篇文章是根据H. Carvey的The Dark Side of NTFS (Microsoft’s Scarlet Letter)
乘风破浪的假唱
翻译的,可以自由转载,但请保持译者和来源以及文章的完整性.
简介:微软的平台不断在增加.公司用的服务器和桌面操作系统运行的一般是winNT和win2000,而家庭用户和学生用的系统一般是winXP.这些平台是很受欢迎的并且被大范围的使用.可是使用这些操作系统的用户和管理员却对NTFS文件系统的某个特性知道的很少,那就是”交换数据流”(alternate data streams).
NTFS因为它的稳定性 强大的功能 以及它所提供的安全性而成为一种更优越的文件系统,NTFS交换数据流(ADSs)是为了和Macintosh的HFS文件系统兼容而设计的,它使用资源派生(resource forks)来维持与文件相关的信息,比如说图标及其他的东西.而微软提供了一种方法通过Windows explorer来创建特殊的ADSs,检测这种特殊的ADSs的必要工具和功能相当缺乏.说来也奇怪,系统一直以来都有允许用户创建ADSs以及在这种流文件中执行隐藏代码的功能和工具.Microsoft KnowledgeBase 中Q101353号文章承认了基于API的win32不能很好的支持ADSs.
这篇文章的目的是详细的介绍ADSs是怎么被创建和利用的,以及隐藏在ADSs中的代码是怎么被执行的.基于不同的系统(NT 2K XP)处理ADSs也是很不同的.
创建ADSs
创建ADSs的语法相对比较简单和直接.比如说创建和文件相关联的ADSs,只需简单的用冒号把文件名和ADSs名分开即可.
D:\ads>echo This is an ADS > :hidden
隐藏的文件怎么显示出来此外,ADSs还可用另外一个文件的内容来创建.
D:\ads>echo This is a test file >
D:\ads> > :hidden
然后你可以用记事本去检验一下看看,命令如下:
d:\ads>:hidden
可是,用dir命令去看不出任何变化,Windows Explorer也没有任何可用的转换和设置来检测这种新建的ADSs的存在.
此外,ADSs可以被创建以及与目录列表相关联,而不是与一个文件关联.这种特性在文章的后面将会显示出他的重要性,但现在我们介绍怎么创建ADSs以及足够了.
D:\ads>echo This ADS is tied to the directory listing > :hidden
这种类型的ADSs也可以通过type和notepad命令来创建.
ADSs文件的内容并不只限于text(文本)数据,任何二进制信息的流都可以组成一个文件,而且ADS也就是一个文件而已.可执行的东西也能够相当容易的隐藏在ADSs中,看下面的例子:
D:\ads>type c:\ > :np.exe
冷冻干燥机D:\ads>type c:\winnt\ > :
祝高考成功的四字成语
同样,像图片文件,声音文件或任何其他的数据流都可以隐藏在ADSs中.
最后,Windows Explorer提供了一种方法来创建特殊的ADSs(RUSS00)
看下图:我们在值那一栏可以填入很多东西
www.3389/bbs/uploadImages/20021221731511210.gif
图一
如果某个用户没有写文件的权限,那么他就不能在该文件上添加ADS.
此外,windows 文件保护功能可以防止系统文件被替换,但是他不能阻止有适当权限的用户在这些系统文件上添加ADSs,有个工具System File )可以检查受保护系统文件是否被覆盖,可是它不能检测ADSs.
检测,查看,利用ADSs
如前所述,微软并没有提供工具来检测ADSs的存在.现在检测ADSs最好的工具是由Frank Heyne写了这个工具现在的版本是3.10,它是一个命令行工具
看下图:
www.3389/bbs/uploadImages/2002122174413189.jpg
图二
从上图我们可以看出多有用了,不仅可以显示ADSs的存在,还可以显示ADSs的路径和大小.我们仔细注意和相关联的四个文件,其中三个是以很像扑克里黑桃形状的ASCII开头的,另外一个就是在花括号中有一大串数字和字母的那个文件,这四个文件就是我们用图一所示方法创建的.
既然到了这些文件,我们应该怎么看文件的内容那?其实notepad就是一个很好的工具,但是这中间还有个陷阱.
比如,以下命令就出现我们不希望的结果
d:\ads>:hidden
执行这个命令时notepad就会问是否创建一个新文件,这个就很奇怪了,因为:hidden我们早就创建了.为了执行的结果是我们所希望的,应该输入下面的命令:
d:\ads>echo This is another ADS > :
d:\ads>:
这样就出现了我们所希望的结果,文件名后增加的扩展名允许用notepad打开ADSs,这种方