Альтернативні потоки даних в ntfs або створення секретних файлів в ос windows
Вітаю Вас, шановні Новомосковсктелі блогу webcodius.ru. Файловая система NTFS обладает интересной возможностью поддержки альтернативных потоков данных (Alternate Data Stream, ADS). Технологія має на увазі під собою, то, що кожен файл в файловій системі NTFS може мати кілька потоків, в яких можуть зберігатися дані. Провідник і більшість інших додатків працюють тільки зі стандартним потоком і не можуть отримати дані їх альтернативних. Таким чином за допомогою технології ADS можна приховувати дані, які не вдасться виявити за допомогою звичайних способами.
Підтримка альтернативних потоків даних була додана в NTFS для сумісності з файлової системою HFS. використовується на MacOS.
трохи теорії
Створюємо сайт на фреймворку Yii 2.0
У файлової системи NTFS файли мають атрибути. Один з атрибутів $ DATA є атрибутом даних. У свою чергу атрибут $ DATA може мати кілька потоків. За замовчуванням існує один основний потік $ DATA: "". який називають неіменованого. З цим потоком якраз і працює провідник windows. При бажанні до файлу можна додати кілька іменованих потоків (наприклад $ DATA: "potok1"), які будуть містити різні не зв'язані між собою дані.
За замовчуванням всі дані, що записуються в файл, потрапляють в основний неіменованого потік даних. І при відкритті файлу ми бачимо тільки основний потік. Альтернативні потоки NTFS, які є у файлу, приховані від користувача і штатними засобами їх не побачити. Тому видаливши файл з потоками, що містять об'ємні дані, можна помітити, що місця на пристрої зберігання даних звільнилося значно більше, ніж займав файл на думку того ж Провідника. Альтернативними потоками часто користуються віруси, які можуть прописати себе в іменування потік якогось невинного файлу.
Для роботи з альтернативними потоками можна використовувати спеціальні програми, або командний рядок.
Як створити альтернативний потік NTFS
Створюємо сайт на фреймворку Yii 2.0
Створити альтернативний потік можна за допомогою консольної команди echo.
Для початку відкриємо командний рядок cmd.exe і за допомогою команди echo створимо текстовий файл example.txt і запишемо в нього текст:
echo Головний потік> example.txt
Наступною командою запишемо дані в альтернативний потік. Для этого после названия файла ставите двоеточие (:) и даете название потоку:
echo Альтернативний потік> example.txt: test
Отримати інформацію міститься в потоці можна за допомогою команди more:
«C: \ Program Files (x86) \ Notepad ++ \ notepad ++. Exe» example.txt: test
Обычный Блокнот может открывать только те потоки, название которых заканчивается на «.txt». Для прикладу, додамо до нашого файлу потік test.txt:
echo Альтернативний потік для блокнота> example.txt: test.txt
І відкриємо його в блокноті:
Для прикладу додамо до нашого файлу потік із зображенням img.jpg. Для цього скористаємося командою type:
Щоб відкрити міститься в альтернативному потоці зображення, наприклад в Paint-е, досить скористатися командою:
Також потоки можна додавати для папок і навіть для розділів жорсткого диска. Робиться все також як і для файлів:
echo Текст в папці> c: \ test: hide.txt
І відкриваємо в блокноті:
Так як наявність альтернативних потоків ніяк не відображається в провіднику і інших файлових менеджерах, найпростіший спосіб їх виявити це скористатися командою dir / R:
Приховування додатків в альтернативних потоках і їх запуск
Створюємо сайт на фреймворку Yii 2.0
Помістити виконувані файли в альтернативні потоки також легко як і звичайні файли. Для прикладу візьмемо наш файл example.txt і помістимо додаток Блокнот (notepead.exe) в потік hideapp.exe:
Щоб запустити прихований Блокнот використовується наступна команда:
За допомогою описаних прийомів можна легко заховати інформацію від непідготовлених користувачів. Взагалі застосування альтернативних потоків даних ADS обмежена тільки вашою фантазією.
На цьому все, до нових зустрічей!