Synligt-osynligt

Bloggläsaren Victor kunde inte starta den nedladdade från Internet PowerShell-skript. Att noggrant läsa mina instruktioner undvek problemet, men roten till det var inte PowerShells strikta säkerhetspolicyer.

Victor laddade ner ett arkiv från TechNet-galleriet med skriptet PSWindowsUpdate.zip för hantering Windows uppdatering som jag pratade om. Det uppackade manuset vägrade dock att fungera. När jag föreslog för läsaren att den första punkten i mina instruktioner talade om behovet av att låsa upp arkivet, gick allt som på räls.

Victor bad att förklara varför systemet blockerade skriptet och hur det visste att arkivet laddades ner från en annan dator.

För att vara ärlig så är dagens ämne inte nytt, men jag bestämde mig för att ta upp det på min blogg av flera anledningar:

• Många artiklar skrevs tillbaka in Windows tider XP eller Windows 7 och tar inte hänsyn till de inbyggda funktionerna i nyare Microsoft-operativsystem.
• En av de artiklar som planeras för den närmaste framtiden berör detta ämne, och det är lättare för mig att hänvisa till material för vars relevans och riktighet jag själv är ansvarig.
• Bloggen har en stor publik och för många läsare kommer detta ämne fortfarande att vara nytt :)

Idag på programmet

NTFS-dataströmmar

Windows får information om filens källa från den alternativa dataströmmen (ADS) i NTFS-filsystemet. I filegenskaperna skriver hon blygsamt att det är från en annan dator, men i verkligheten vet hon lite mer som ni ska se senare.

Ur NTFS-synpunkt är en fil en samling av . Innehållet i filen är ett dataattribut som heter $DATA. Till exempel en textfil med raden "Hello, World!" har dataattributet "Hello, World!"

I NTFS är $DATA-attributet en dataström och kallas primär eller namnlös eftersom... den inte har något namn. Formellt ser det ut så här:

$DATA:""

• $DATA- Namn attribut
• : - avgränsare
• "" - Namn flöde(V I detta fall namnet saknas - det står inget mellan citattecken)

Intressanta egenskaper hos alternativa dataströmmar

I samband med exemplen ovan vill jag göra några intressanta punkter.

Osynliga förändringar

Efter att ha skapat en textfil med det första kommandot kan du öppna den i textredigerare och se till att alla ytterligare manipulationer inte påverkar innehållet i filen på något sätt.

Det blir intressant när filen öppnas, säg, i Notepad++. Den här redigeraren kan varna dig om filändringar. Och det kommer att göra detta när du skriver en alternativ ström till filen, men innehållet kommer att förbli detsamma!

Spela in och visa ADS från CMD

ADS kan skapas och visas från kommandoraden. Följande kommandon skriver dold text till en andra ADS som heter MyStream2 och visar den sedan.

Echo Hidden Text > C:\temp\test.txt:MyStream2 mer< C:\temp\test.txt:MyStream2

Visa ADS i textredigerare

Samma Notepad++ visar dig innehållet i ADS om du anger namnet på strömmen på kommandoraden

"C:\Program Files (x86)\Notepad++\notepad++.exe" C:\temp\test.txt:MyStream1

Resultat:

Med anteckningar fungerar detta trick bara om det finns en .Text. Kommandona nedan lägger till en tredje ADS och öppnar den i Anteckningar.

Echo Hidden Text > C:\temp\test.txt:MyStream3.txt anteckningsblock C:\temp\test.txt:MyStream3.txt

Resultat:

Blockerar nedladdade filer

Låt oss återgå till frågan en läsare ställde till mig. Huruvida en fil kommer att blockeras beror i första hand på vilket program den laddades ner i, och för det andra på OS-inställningarna. Ja det är det moderna webbläsare stöder låsning och den ingår i Windows.

Kom ihåg att när ett arkiv är låst kommer alla uppackade filer att låsas "ärvt". Kom också ihåg att ADS är en funktion i NTFS, dvs. När du sparar eller packar upp ett arkiv på FAT32 sker ingen blockering.

Visa information om källan till en blockerad fil

I PowerShell, gå till mappen med den nedladdade filen och se information om alla trådar.

Get-Item .\PSWindowsUpdate.zip -Stream * Filnamn: C:\Users\Vadim\Downloads\PSWindowsUpdate.zip Strömlängd ------ ------ :$DATA 45730 Zone.Identifier 26

Som du redan vet är $Data innehållet i filen, men ADS visas också i listan Zon.Identifierare. Detta är en tydlig antydan om att filen togs emot från någon zon. Vet du var den här bilden är ifrån?

För att ta reda på zonen måste du läsa innehållet i ADS.

Get-Content .\PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId=3

Uppenbarligen syftar det till batchupplåsning (till exempel när arkivet redan är uppackat). Kommandot nedan kommer att låsa upp alla filer i mappen Nedladdningar som innehåller i namnet PS:

Dir C:\Downloads\*PS* | Avblockera-fil

Naturligtvis finns det alla möjliga verktyg med grafiskt gränssnitt, även de som vet hur man integrerar sig i innehållsmeny. Men enligt min mening räcker det med PowerShell eller i värsta fall streams.

Hur man förhindrar att filer blockeras

Blockeringen styrs av grupppolicyn. Lagra inte information om ursprungszonen för bifogade filer. Som namnet antyder är blockering standard Windows-beteende, och policyn låter dig ändra det.

Det framgår dock inte av namnet att policyn inte bara gäller e-postbilagor, men även filer som laddats ner från Internet. Läs mer om bilagehanteraren i KB883260.

I redaktörens hemupplagor grupppolicyer nej, men ingen avbröt registret: SaveZoneInformation.zip.

Andra exempel på praktisk tillämpning av ADS

Omfattningen av ADS är inte begränsad till att lägga till en nedladdad filzon, och det är inte heller nödvändigt att endast lagra text i ADS. Alla program kan använda denna NTFS-funktion för att lagra alla typer av data, så jag ska bara ge ett par exempel från olika områden.

Infrastruktur för filklassificering

Om författaren

Intressant material, tack. Jag lärde mig något nytt om PowerShell, som fortfarande är lite bekant för mig :)

Jag använder ofta WhatsApp för att kommunicera med min familj – hittills har det varit minst problem med den här tjänsten, även mina föräldrar har vant sig vid det. Kontaktik är också främst för familjen, även om meddelandeutbytet där främst sker kring publicerade album med foton och videor. Vissa släktingar förblir trogna Viber - det fungerade inte för mig, jag behåller det bara åt dem, utan att ge upp att försöka dra dem till WhatsApp.

För arbete, främst Slack, när något är brådskande - WhatsApp, mycket brådskande - SMS. VKontakte för kommunikation om att arbeta med omvärlden.

Jag använder Skype endast för videosamtal, främst med min familj. Jag skulle gärna ersätta den med WhatsApp om det fanns videosamtal.

urix

Viber har nu videosamtal och till och med videosamtal för skrivbordsversionen. Så kanske Viber blir nästa Skype... in på ett bra sätt

Andrey Kuznetsov

Intressant material, tack. Jag visste om existensen av trådar, men jag visste inte att det var så lätt att arbeta med dem genom PowerShell.
När det gäller IM: Jag har bara klagomål på Skype angående lanseringstiden Windows-telefon. Det finns inga sådana problem på iPad och Windows. Jag använder den till röstkommunikation, när det av någon anledning är obekvämt att använda GSM.
Och korrespondens via Whatsapp. Att bara ha det på din telefon är mer av ett plus ur integritetssynpunkt.

• Andrey Kuznetsov: Och korrespondens via Whatsapp. Att bara ha det på din telefon är mer av ett plus ur integritetssynpunkt.

  Andrey, förklara vad är pluset här?

Pavlovsky Roman

1. Jag använder oftast: Skype och Hangouts - för arbete på en PC, för annan korrespondens på VKontakte från vilken enhet som helst, eftersom arbetsklienter vanligtvis använder Skype, och vänner och bekanta på sociala nätverk.

2. Jag skulle helst vilja använda: Jabber - för korrespondens och samtal från vilken enhet som helst. För mig kan klienten installeras på vilken enhet som helst och korresponderar med varandra vart än användaren är, även på en svag internetanslutning + dessutom kan du distribuera din egen jabber-server och lagra all korrespondens på servern, så att senare du kan snabbt hitta nödvändig korrespondens, om klienten inte vet hur man lagrar historik, och plugins för samtal via Jabber kan hittas (till exempel genom samma SIP Asterisk 1.8+)

Andrey Bayatakov

Oftast använder jag WhatsApp (främst för jobbet), för samtal (ljud/video/internationella samtal) Skype. Även om stationär Skype är fruktansvärt irriterande (jag har en transformator och hemma använder jag den främst som surfplatta)... Viber har inte hängt med. För att ringa samtal via WhatsApp behöver du bara ha nerver av stål. Du säger något till din samtalspartner och väntar en minut eller två på att han ska höra dig (50Mbit-anslutning)...
Om det fanns en möjlighet skulle jag helt byta till Skype. På Windows 10 Mobile, efter en nyligen uppdaterad uppdatering, kommer meddelanden från Skype direkt till den inbyggda meddelandeapplikationen (som SMS), vilket är väldigt bekvämt.

Maxim

1. Motvilligt använder jag ICQ (för retrograda kunder) och Slack (för mer moderna).
2. Jag skulle vilja använda Jabber - av samma skäl som Roman Pavlovsky ovan.

Vladimir Kiryushin

Hej Vadim!
Innan den här artikeln läste jag din artikel om hur man läser en kontrollrapport för allt systemdisk med kommandot chkdsk. Jättebra artikel! Tack vare henne fick jag idag efter att ha kontrollerat systemdisken med kommandot chkdsk en textfil med rapporten. Och den här artikeln klargör också en hel del saker i PowerShell-program. Vissa saker är obegripliga för mig som pensionär, men jag försöker att inte få panik och läser flitigt till slutet. Tack för studien du gör hos oss! Allt gott till dig!

Lecron

Vilka webbläsare och nedladdare skapar denna stream?

Vilka andra alternativ finns det för användaren att använda trådar? Och i synnerhet en manusförfattaranvändare? För även om jag kände till dem länge så använde jag dem aldrig. På riktigt arbete med en dator kommer du helt enkelt inte ihåg dem, och på grund av detta kan du använda kryckor istället bekvämt verktyg, och utan detta arbete, från minnet, är det omöjligt att komma på någonting.
Jag tänkte bara på ett alternativ. Kommentera filen om det inte finns möjlighet eller lust att skriva lång text till filnamnet. Men detta kräver stöd från filhanteraren, som tidigare, och även nu, skriver dem till descript.ion eller files.bbs.

Hastighetsguru

En annan sopteknik som USN magazine. Hur mycket nytta kommer du att få av ZoneIdentifier eller av ett virus kopplat till en fil eller mapp? Självklart inte. Dessutom belamrar detta systemet med onödiga "underfiler" som inte på något sätt behövs av en normal användare. Varje extra läsning i MFT-katalogen och andra operationer associerade med underhåll och underhåll av alternativa trådar är extra förbrukade processorcykler, random access minne, och viktigast av allt, en extra belastning på hårddisken.
Du kan berätta för mig att denna teknik är mycket nödvändig för systemet. Men detta är nonsens - systemet skulle fungera perfekt utan trådar. Men ingen frågar användaren - de sålde det (som en USN-tidning) och gav inte möjligheten att helt inaktivera underhållet av dessa flöden. Men som användare behöver jag dem inte alls, jag tycker som du...
Allt vi kan göra är att "strömma -s -d %systemdrive%". Men detta gör det inte heller möjligt att ta bort trådar på systempartitionen.

Alexiz Kadev

Namngivna strömmar är en fantastisk sak, och de fanns, så vitt jag minns, från den första utgåvan av NTFS. Det är ganska bekvämt att lagra till exempel dokumentversioner i namngivna strömmar, vilket, om jag inte har fel, ett antal applikationer har gjort. Men det återstår ett bakhåll med kopiering till ett annat filsystem - namngivna strömmar är helt enkelt avskurna.

Det är synd att det var omöjligt att välja flera budbärare i omröstningen: jag använder flera, eftersom några av mina kontakter föredrar vissa. Så jag använder WhatsUp, ICQ (dock, naturligtvis inte en inbyggd klient), Skype, SkypeforBusiness (tyst skräck, inte en klient, men när det hette Lync var det ännu värre) och Viber (här finns det mer spam än i andra minst en gång vid 5).
Och helst, använd bara en, som Miranda med plugins, eftersom det helt enkelt är orealistiskt att hitta, om det behövs, vem som sa/skrev något i hela det här gänget. Men tyvärr, ett antal tillverkare stänger sina protokoll och skyddar dem som Kashchei skyddar sin nål.

Vladimir Kokarev

VSh

Vadim Sterkin: Roman, jag tog inte med Jabber i undersökningen. Jag bestämde mig för att få människor använder det och det finns inga framtidsutsikter.

Förgäves
Till exempel använder jag OpenFire (freeware xmpp) som kontorskommunikatör på flera domäner.

Därför är min huvudsakliga XMPP (Pidgin.exe, Spark.exe), men 99,8% av dessa meddelanden är intradomän.
Skype - för extern IM
WhatsApp och Viber är för "slumpmässiga anslutningar", de senaste n månaderna har inte varit annat än SPAM, jag tänker - ska jag ta bort det?

Artem

Av någon anledning finns allt på Viber. Och kvaliteten på kommunikationen är ganska tillfredsställande. Annars skulle det bli ett telegram. Det är tomt där.

hazet

1. Skype (på PC) och Viber (på mobil). Skälen är i princip desamma som för de flesta - antalet tillgängliga kontakter och, naturligtvis, motviljan hos dessa kontakter att byta till en annan budbärare.
2.uTox. Miniatyr, inget överflödigt, klient för Win, Linux, Mac och Android. Placerad som skyddad.
P.S. Jag ska börja dra mina kontakter till den hårdare :-)

Evgeniy Karelov

Tack för ditt arbete!

Angående undersökningen, på en PC för korrespondens använder jag QIP 2012, som jag är ansluten till ICQ-kontakter, VKontakte och andra. Personligen är det bekvämt för mig att använda ett program för att kommunicera över flera protokoll. Och möjligheten att se flöden i sociala medier från ett ställe är mycket glädjande. Helst är det enda som saknas stöd för Skype, som jag använder för röstkommunikation, men det dyker uppenbarligen inte upp.
Även om det här programmet ser "övergivet" ut, eftersom det inte har funnits några uppdateringar på länge, utför det sina tilldelade funktioner perfekt.

straffer

En intressant blandning av ämnet för inlägget om dataflöden och IM-undersökningen.

Enligt undersökningen: Jabber/Jabber, som du inte borde ha inkluderat i listan, även om det finns WhatsApp baserat på XMPP, och till och med Asechka, som är på väg mot framgång.

Jabber löser i princip allt nämnda problem på grund av protokollets öppenhet, närvaron av klienter för många plattformar och tillgången på servrar som kan konfigureras oberoende. Men att tugga kaktusar är mer traditionellt, ja.

• Listan inkluderar klienter, inte protokoll.
  ICQ... ja, jag satte inte uttryckssymboler där, för det borde vara tydligt.
  Jabber löser definitivt inte ett problem - ingen är där.

  • straffer

    Vadim Sterkin: Klienter är listade, inte protokoll.

    På grund av att protokollet och källkoder officiell klient är stängd, upprättas en naturlig identitet mellan den enda klienten och protokollet.

    Vadim Sterkin: ICQ... ja, jag satte inte uttryckssymboler där, för det borde vara tydligt.

    Det räcker inte för den ruttna posttjejen att asechkan dör en naturlig död - de gör också ytterligare ansträngningar för att få den att dö snabbare.

    Vadim Sterkin: Jabber löser definitivt inte ett problem - det finns ingen där.

    Ändå skrev du själv för Telegram

    ser bra ut, men det är tomt (vilket kan fixas)

    Jabber hade alla möjligheter att bli vad e-postekosystemet är idag (fullständig öppenhet i protokollet, möjligheten att konfigurera dina servrar för vem som helst och säkerställa interaktion mellan servrar, etc.), men företag behöver inte detta, vilket helt klart är ses i exemplet med avgången från honom Google eller proprietära WhatsApp.

    • För Telegram - fixbar, för Jabber - mycket osannolikt. Därför finns den första på listan, men den andra inte.

      • straffer

        Naturligtvis är Telegram snygg, moderiktig, ungdomlig, men Jabber används inte av någon cool som Pasha Durov. Vilka är utsikterna här?

        Hm... kom ur din tank av "hela världen är emot fri programvara" konspirationsteorier. Allt mycket enklare

        

        Om det inte är klart är det så här en persons första erfarenhet av att interagera med den officiellt rekommenderade Jabber-klienten på den vanligaste mobilplattformen ser ut.

        straffer

      • Jag förstod inte lite var i min kommentar om konspirationen.

        Ja, överallt :) Du försöker tillskriva jabberns misslyckanden till omodernitet och brist på ungdom, medan dess kunder från första skärmen inte är anpassade till den moderna verkligheten.

        Vad ska jag se på skärmdumpen?

        Fråga om att ange ett telefonnummer ~~~O~

      straffer

      straffer: Du försöker tillskriva jabberns misslyckanden att vara omodern och inte ungdomlig

      Tja, om så är fallet.

      straffer: medan dess klienter från den första skärmen inte är anpassade till den moderna verkligheten.

      De där. till det nuvarande modet, som att avslöja ditt telefonnummer för alla. För jag förstår inte varför det ska införas om det inte behövs för driften av systemet, för mig är det helt underbart att det inte frågas här.

      Egentligen övergav jag kontot, trots de få återstående kontakter där, just av denna anledning - Meirushechka, i en ultimatumform, krävde att länka telefonnumret till kontot, vilket resulterade i att hon skickades till kända koordinater.

      Ja, du förstår inte, även efter förklaringar med bilder... Det här är inte mode, det här det enda sättet gör registreringen så enkel som möjligt med Mobil enheter, som utgör grunden för publiken av moderna budbärare och den enda källan till dess tillväxt.

      straffer

      Skärmdumpen visar en begäran om ett namn, lösenord och valfritt smeknamn. Var ska vi förenkla mer? Eller, förutom eleverna på specialskolor, finns det inga fler reserver kvar för publiktillväxt, och det måste finnas en knapp "gör det för sakens skull"?
      Varför finns det ett telefonnummer överhuvudtaget och vad ska budbäraren göra med telefonnumret?

Syftet med den här artikeln är att förklara innebörden
alternativa dataströmmar
V operativsystem Windows
visa hur man skapar dem och
kompromissa med en bil, hur man hittar den
dolda filer med offentliga filer
verktyg. Det första steget är att inse
innebörden av ADS och vilket hot de utgör, alltså
låt oss se hur de används för hackning
och slutligen, låt oss titta på verktygen
för aktivitetsdetektering och hur
stoppa ytterligare illegalt arbete med
dem.

För vad?

Ytterligare dataströmmar dök upp i
Windows med NTFS. Faktiskt så långt som jag
Jag förstår att det inte fanns någon speciell mening med dem – de
gjordes för att vara kompatibla med HFS, den gamla
filsystem Macintosh - Hierarkisk Filsystem. Fall
är att detta filsystem använder
både datagaffeln och resursgaffeln för
innehållslagring. datagren,
är därför ansvarig för innehållet
dokument, och resursgrenen ligger bakom
filidentifiering - dess typ och andra
data. Vid det här laget om existensen
ytterligare strömmar från vanliga användare
få människor vet. Men i datorns värld
de fick en viss säkerhet
spridning. Till exempel onda hackare
använd ADS för att lagra filer på
hackade datorer, de också ibland
används av virus och annan skadlig kod. Fall
eftersom hela poängen är att dessa flöden inte är det
ses med vanliga metoder, samma sak
Utforskaren eller via kommandoraden. Hur
Är dessa trådar intressanta? Och det faktum att i fallet
hackningsutredningar följs inte alltid upp
var uppmärksam på dem, dessutom inte alla antivirus
som standard strömmar vyn in
söker efter skadlig programvara.

Till poängen

För att förstå den verkliga faran
ADS kommer att visa bättre hur man arbetar med dem.
I exemplet vi är med använder Metasploit Ram, låt oss tränga igenom
till bilen. För att göra detta använder vi en sårbarhet
MS04-011 (lsass). Med hjälp av TFTP laddar vi upp filerna,
som vi kommer att placera i ytterligare strömmar
data. När det är klart
kör fjärrdatorn från kommandoraden
linjeskanner som ska skanna nätverket efter
tillgång till andra bilar. Notera,
att författarna till Metasploit Framework har tillhandahållit sina
skapas med METASPLOIT-signaturen, så att skaparna
säkerhetsprogram kan upptäcka paketet,
kommer från MF. Observera paketet
kommer från angriparen:

Här är 192.168.1.102 angriparens dator
som innehåller Metasploit Framework och 192.168.1.101 -
sårbar dator med Win2K Prof. I det här fallet Axis
levereras utan patchar och servicepack,
endast i demonstrationssyfte
:). Observera att ADS själva inte gör det
för användbara, de gör dig naturligtvis glad
angripare bara om det finns
tillgång till bilen, systemets sårbarhet V
operativ system. På det verkliga nätverket du
Det är osannolikt att du hittar en oparpad W2K, så
vi måste leta efter andra principer
genomslag.

Nedan ser vi att attacken lyckades den
det attackerande fordonet har ett öppet skal
ges av offret. Standard för detta
Metasploit sårbarhet använder port 4321,
men det kan ändras:

Efter att ha penetrerat bilen måste du flytta den dit
filer. För att göra detta använder vi TFTP, i detta
I det här fallet får vi ipeye.exe.

På samma sätt laddar vi ner psexec.exe, pslist.exe och
klogger.exe. Låt oss lista katalogen C:\Compaq\,
där allt tog vägen:

Låt oss nu trycka in ipeye.exe i strömmen,
kopplad till en befintlig fil
test_fil.

Sedan kan samma sak göras med stigbygeln
andra filer som behövs för arbetet.
Observera att alternativet
flödet kan organiseras inte bara för
filer, men även för kataloger, samma C:\ till
exempel. Låt oss starta skannern vi pratar om
de sa i början, ipeye.exe, på den infekterade
dator:

c:\Compaq\test_fil:ipeye.exe

(Fortsättning följer)

Alternativa strömmar data i NTFS

NTFS-filsystemet har många intressanta möjligheter, av vilka en är närvaron av alternativa dataströmmar (Alternate Data Stream, ADS). Deras kärna är att varje fil i NTFS är en uppsättning strömmar där data lagras. Som standard finns all data i huvudströmmen, men vid behov kan ytterligare, alternativa dataströmmar läggas till filen.

Notera. Alternativa dataströmmar i NTFS dök upp för länge sedan, tillbaka i Windows NT. De skapades för kompatibilitet med HFS-filsystemet och användes sedan på MacOS. HFS lagrade fildata i en speciell resursström.

Filer i NTFS är indelade i attribut, varav ett är $DATA, eller dataattribut. Strömmar är ytterligare egenskaper för $DATA-attributet. Som standard finns det en huvudtråd $DATA:″″. Som du kan se har den inget namn, så den heter namnlös. Du kan också skapa ytterligare namngivna strömmar om du vill, till exempel. $DATA:″Stream1″. Varje fil i NTFS kan ha flera dataströmmar som innehåller olika, orelaterade data.

All data som skrivs till filen hamnar som standard i huvuddataströmmen. När vi öppnar en fil ser vi exakt huvudströmmen, medan alternativa strömmar är dolda för användaren och inte visas med konventionella metoder. De kan inte ses med standardmetoder, även om vissa program kan läsa data gömd i dem. Du kan också använda kommandoraden för att arbeta med strömmar.

Låt oss till exempel öppna konsolen och använda kommandot echo för att skapa en textfil streams.txt och skriva in texten i den:

echo Detta är main stream>streams.txt

A nästa kommando skriv texten till den alternativa strömmen ström1:

echo Detta är alternativ ström>streams.txt:ström1

Om vi ​​nu öppnar streams.txt-filen i någon textredigerare kommer vi bara att se den första posten, texten "Detta är en alternativ ström" kommer att förbli dold. Du kan läsa informationen gömd i stream1 med kommandot:

Mer

Alternativa strömmar kan läggas till inte bara till enskilda filer utan även till kataloger. Låt oss till exempel lägga till en alternativ stream stream2 som innehåller texten "Göm stream i Streams" till den aktuella Streams-katalogen:

echo Dölj ström i Strömmar>:ström2

Och mata ut stream2 med följande kommando:

Mer<:stream2

Alternativt ströminnehåll kan öppnas i mer än bara konsolen. Till exempel kan Notepad också komma åt data som är gömd i strömmar om du anger namnet på en alternativ ström i filnamnet, avgränsad med ett kolon. Låt oss upprepa det föregående exemplet och ändra strömnamnet något till stream1.txt:

echo Detta är alternativ ström>streams.txt:stream1.txt

Och öppna en alternativ ström i anteckningsblocket med kommandot:

anteckningsblock streams.txt:stream1.txt

Notera. Standard anteckningsblock kräver en txt-tillägg i strömnamnet, annars kommer den inte att kunna öppna den. Mer avancerade redigerare, som Notepad++, kan visa innehållet i en alternativ ström, oavsett dess namn.

Förekomsten av alternativa strömmar för en fil visas inte på något sätt i Explorer och andra filhanterare. För att hitta dem är det enklaste sättet att använda kommandot dir/R(börjar med Windows Vista), som visar alla dataströmmar, inklusive alternativa.

Du kanske tror att alternativa strömmar är begränsade till textdata. Detta är inte alls sant, och absolut all information kan lagras i alternativa strömmar. Låt oss till exempel skapa en bild.txt-fil och lägga till strömmen pic1.jpg till den, där vi kommer att placera bilden med samma namn:

echo Picture>picture.txt
skriv pic1.jpg>picture.jpg:pic1.jpg

Externt har vi alltså en vanlig textfil, men för att öppna en bild från en alternativ ström in grafisk redaktör Paint vi använder kommandot:

mspaint picture.txt:pic1.jpg

På liknande sätt kan du lägga till vilken data som helst i vilken typ av fil som helst - lägg till bilder i textfiler, lägg till textinformation etc. Intressant nog ökar inte alternativt innehåll den skenbara filstorleken, till exempel om man lägger till en 30GB HD-video till en 1kB textfil, kommer Explorer fortfarande att visa filstorleken som 1kB.

Du kan också gömma dig i alternativa strömmar körbara filer. Ta till exempel filen test.txt och lägg till Notepad-applikationen (notepad.exe) till den alternativa note.exe-strömmen:

skriv notepad.exe>test.txt:note.exe

Och för att starta en dold anteckningsbok kommer vi att använda kommandot:

starta .\test.txt:note.exe

Förresten, vissa människor utnyttjar denna möjlighet. skadlig programvara, tillägger körbar kod till alternativa NTFS-strömmar.

Verktyget Strömmar

Det finns flera alternativ för att arbeta med alternativa strömmar. tredjepartsverktyg, till exempel Streams-konsolverktyget från Sysinternals. Den kan upptäcka förekomsten av alternativa trådar och ta bort dem. Verktyget kräver ingen installation, bara packa upp det och kör det. Låt oss till exempel kontrollera förekomsten av strömmar i mappen Strömmar med kommandot:

Streams.exe -s C:\Streams

Och ta bort alternativa strömmar från streams.txt-filen:

Streams.exe -d C:\Streams\streams.txt

PowerShell

PowerShell kan också arbeta med alternativa strömmar - skapa, upptäck, visa deras innehåll och till och med ta bort dem. Låt oss till exempel skapa en textfil:

New-Item -Typ fil -Sökväg C:\Streams\stream.txt

Låt oss lägga till ett inlägg i huvudtråden:

Set-Content -Path C:\Streams\stream.txt -Value ″Main stream″

Och till en alternativ ström som heter Second:

Set-Content -Path C:\Streams\stream.txt -Value ″Andra stream″ -Stream Second

Sedan kommer vi att mata ut innehållet i huvudet

Get-Content -Path C:\Streams\stream.txt

och alternativa strömmar:

Get-Content -Path C:\Streams\stream.txt -Stream Second

För att upptäcka närvaron av alternativa strömmar kan du använda kommandot:

Get-Item -Path C:\Streams\stream.txt -Stream *

Och du kan ta bort onödiga trådar med kommandot:

Remove-Item -Path C:\Streams\streams.txt -Stream *

Användande

Alternativa strömmar används både av Windows själv och av vissa program. T.ex, Internet Explorer delar upp nätverket i 4 säkerhetszoner och lägger vid nedladdning av filer till taggar till dem som innehåller information om zonen som de laddades ner från.

Dessa taggar lagras i en alternativ ström och representerar ett nummer från 0 till 4:

Internet (3)
Lokalt nätverk (1)
Pålitliga webbplatser (2)
Farliga platser (4)
Lokal dator (0)

För att vara säker på detta, låt oss gå till nedladdningsmappen, ta en fil som laddats ner från Internet och kontrollera om det finns alternativa strömmar. Som du kan se innehåller den en tråd som heter Zon.Identifierare, som innehåller strängen ZonID=3.

Det betyder att filen tillhör en opålitlig internetzon, och du måste vara försiktig när du öppnar den. Vissa program, som Word, läser dessa data när du öppnar filen och utfärdar en varning i enlighet med detta.

F(FCI) är också baserad på användningen av alternativa strömmar. Från tredjepartsprogram alternativa strömmar används av vissa antivirusprogram, särskilt Kaspersky Anti-Virus lagrar i dem kontrollsumma, som erhållits till följd av kontrollen.

Användningen av alternativa strömmar är dock inte begränsad till detta, du kan själv komma på vilken användning som helst för dem. Till exempel, med deras hjälp kan du gömma dig från nyfikna ögon personlig information. Filer som innehåller alternativa strömmar kan fritt kopieras eller överföras från disk till disk, alla strömmar kommer att kopieras tillsammans med filen.

Och ändå, när du använder alternativa strömmar, måste du komma ihåg att de är strikt knutna till filen NTFS-system. För att kunna använda dem måste filerna finnas på NTFS-diskar, så du kan bara arbeta med dem från Windows. Om du flyttar filen till något annat filsystem kommer alla strömmar utom den huvudsakliga att gå förlorade. Alternativa strömmar avbryts också när filer överförs via FTP eller när de skickas som en e-postbilaga.

Har du hört något om NTFS-strömmar? En mycket intressant filsystemfunktionalitet som kan hittas praktisk användning. Idag ska vi prata om vad det är och hur du kan använda det.

Först lite teori.
Stöd för alternativa dataströmmar har lagts till NTFS för kompatibilitet med Macintosh-filsystemet HFS, som använde en resursström för att lagra ikoner och annan filinformation. De finns i NTFS sedan själva tidigare versioner Windows NT. Kärnan i tekniken är att filen på NTFS det kan finnas flera trådar som innehåller data. Dirigent och mest populära filhanterare begränsad till att endast arbeta med vanliga(onamn) som representerar filens huvudinnehåll. Strömmar kan användas för att lagra filmetadata, så de har använts i Windows 2000, Som jag vet.

I Windows 7 alternativ NTFS-strömmar, närvarande i filen, regelbundna medel inte att se. Och förgäves: helvetiskt listiga virus kan till exempel skriva sig in i strömmarna av någon helt ofarlig fil. Genom att ta bort en fil med strömmar som innehåller omfattande data kan du upptäcka att mycket mer utrymme har frigjorts än vad filen trodde att filen upptog. Dirigent.
För att se tillgängliga strömmar kommer vi att använda konsolverktyget skapat av den välkände Mark Russinovich.

Hur man skapar en alternativ NTFS-ström

Några konsolkommandon låter dig skapa och visa innehåll flöde NTFS, till exempel kommandot eko kan tillåta dig att skapa en alternativ ström för en textfil. För att göra det tydligt hur detta fungerar, låt oss titta på ett exempel. Ange följande på kommandoraden:
echo Hello Happy Bulldozer > hello.txt
echo Hello World > hello.txt:test

Öppna nu hello.txt-filen i Anteckningar:

Text Hej världen förblev "bakom kulisserna", var i strömmen med namnet testa. Om du anger namnet på filen som ska öppnas och namnet på strömmen kommer du inte att kunna öppna filen i strömmen: kolonet är ett ogiltigt tecken för filnamnet. Däremot kan du använda kommandorad, vilket är något mer lojalt och låter dig utföra följande kommando:
Mer< hello.txt:test

Se NTFS-strömmar, som jag skrev ovan, kan göras genom verktyget streams.exe
streams.exe hello.txt


Jag tror att allt är klart här.

Alternativa NTFS- och Notepad-strömmar

Avancerade program verkar hantera det utan större ansträngning och visar innehållet i strömmen för dig:

Standard Notepad kommer att bifoga ett txt-tillägg till streamnamnet. Om du vill använda den måste du namnge strömmarna enligt följande:
echo Hello World > hello.txt:test.txt
Då kommer kommandot som körs från cmd.exe att ge ett positivt resultat:
anteckningsblock hello.txt:test.txt

Alternativa NTFS-strömmar och olika filtyper

Du kanske har intrycket att omfattningen av alternativa NTFS-strömmar inte sträcker sig längre textfiler. Detta är fel. I följande exempel Jag lade till en ström till hello.txt-filen som innehåller 7z-arkivdata:

Jag noterar att strömmar kan skapas inte bara för filer, utan också för mappar och till och med för delar av hårt disk.

Allt begränsas av din personliga fantasi och behov. Med hjälp av de beskrivna teknikerna kan du enkelt dölja personlig information från till exempel en oförberedd användare. Ett slags idiotbevis, om man så vill.

Stöd för Alternate Data Stream (AltDS) lades till i NTFS för kompatibilitet med Macintosh-filsystemet HFS, som använde en resursström för att lagra ikoner och annan filinformation. Användningen av AltDS är dold för användaren och är inte tillgänglig på normala sätt. Explorer och andra applikationer fungerar med standardströmmen och kan inte läsa data från den alternativa strömmen. Med AltDS kan du enkelt dölja data som inte kan upptäckas standardkontroller system. Den här artikeln kommer att ge grundläggande information om hur AltDS fungerar och definieras.

Skapande av AltDS

Att skapa en AltDS är väldigt enkelt. För att göra detta använder vi kommandoraden. Låt oss först skapa basfil, som vi kommer att koppla våra flöden till.

C:\>echo Bara en plantextfil>sample.txt

C:\>skriv sample.txt
Bara en plantextfil

Därefter använder vi ett kolon som operator för att indikera att vi kommer att använda AltDS:

C:\\>echo Du kan inte se mig>sample.txt:secret.txt

Du kan använda följande kommandon för att se innehållet:

C:\mer< sample.txt:secret.txt

eller

C:\notepad sample.txt:secret.txt

Om allt fungerar bra, kommer du att se texten: Du kan inte se mig, men när den öppnas från Utforskaren, kommer den här texten inte att vara synlig detta, skapa en mapp och bifoga någon typ av text:

C:\>md saker
C:\>cd-grejer
C:\stuff>echo Göm saker i stuff>:hide.txt
C:\stuff>dir
Volymen i enhet C har ingen etikett.
Volymens serienummer är 40CC-B506 Katalog för C:\stuff
2004-09-28 10:19 .
2004-09-28 10:19…
0 fil(er) 0 byte2 Dir(ar) 12 253 208 576 byte lediga
C:\stuff>notepad:hide.txt

Nu vet du hur du visar och redigerar en bifogad AltDS med Anteckningar, samt hur du bifogar den till filer och mappar.

Dölja och starta applikationer

Att dölja applikationer med AltDS är lika enkelt som att dölja testfiler. Låt oss först skapa basfilen igen:

Låt oss sedan placera vår applikation i en ström, till exempel använde jag notepad.exe:

C:\WINDOWS>skriv notepad.exe>test.txt:note.exe

Låt oss nu se till att vår fil innehåller samma text:

C:\WINDOWS>skriv test.txt
Testa

Och nu den roliga delen, låt oss starta vår dolda applikation:

C:\WINDOWS>starta .\test.txt:note.exe
C:\WINDOWS>

Eftersom den här artikeln inte är en fullständig översättning av artikeln är den formaterad som ett enkelt ämne. Ytterligare tekniker finns på länken.

UPD:

Verktyg för att arbeta med AltDS (listan hämtad från artikeln länkad ovan):

LADS - Lista alternativa dataströmmar av Frank Heyne
www.heysoft.de/Frames/f_sw_la_en.htm

Streams.exe från SysInternals.