NTFS上的交換數(shù)據(jù)流

1、NTFS上的交換數(shù)據(jù)流 時間:2005-3-5 1 來源:黑客基地-|          lake2 <lake2>            |                      &

2、#160;          |                                        

3、;         |-目錄-1、前言2、概念3、性質(zhì)和應(yīng)用 -3.1 創(chuàng)建 -3.2 刪除 -3.3 檢測與提取 -3.4 保存與傳輸 -3.5 文件隱藏 -3.6 運行 -3.7 與IIS相關(guān)4、附言5、參考文章-1、前言    交換數(shù)據(jù)流（alternate data streams，以下簡稱ADS）也不是什么新東西，但用戶和管理員對它的認識知之甚少，本文將結(jié)合前人的資料對ADS做一番探討。如有錯誤，還望高手賜

4、教。2、概念    先來看看微軟對多文件流的解釋：在 NTFS 文件系統(tǒng)下，每個文件都可以有多個數(shù)據(jù)流。值得一提的是，流不是 NTFS 2000 的功能，但是從 Windows NT 3.1 開始流已存在。當(dāng)在非 NTFS 卷（如 Windows 98 計算機的磁盤分區(qū)）下讀取文件內(nèi)容時，只能訪問一個數(shù)據(jù)流。因此，您會覺得它是該文件真正的且"唯一"的內(nèi)容。這樣的主流沒有名稱，并且是非 NTFS 文件系統(tǒng)可以處理的唯一一個流。但是當(dāng)在 NTFS 卷上創(chuàng)建文件時，事情可能不一樣。參看圖 1 了解此重要概念?！緢D1】   

5、; ADS是NTFS文件系統(tǒng)特有的性質(zhì)，也就是前面說的多數(shù)據(jù)流文件除了主流之外的流，但基于API的Win32卻不能很好的支持ADS。例如我們可以把一個文件以流的形式附加到另一個文件（載體）中，但是對于Windows資源管理器來說載體文件沒有發(fā)生任何變化（包括其大小、修改時間等）。由此將會產(chǎn)生一系列問題。    下面就讓我們來看看ADS的一些性質(zhì)及應(yīng)用吧。3、性質(zhì)和應(yīng)用  3.1 創(chuàng)建    創(chuàng)建ADS很簡單，語法是<載體文件名>: 文件名 >     看個命令行下面的例子：ec

6、ho This is lake2's stream > a.txt:stream.txt    通過上面的例子我們就很簡單的創(chuàng)建了一個ADS，它在windows下并不可見，不信你可以用資源管理器或者dir命令看看a.txt文件的大小是不是0。打開a.txt，可是里面什么內(nèi)容都沒有。當(dāng)然沒有內(nèi)容，這里ADS是a.txt:stream.txt，內(nèi)容應(yīng)該在這個文件里。注意，這里用type命令并不能顯示文件a.txt:stream.txt，但是記事本卻可以。還是在命令行下輸入notepad a.txt:stream.txt，呵呵，看到"This i

7、s lake2's stream"了吧?，F(xiàn)在我們用記事本打開a.txt隨便修改內(nèi)容，這并不會影響到流的內(nèi)容；同樣，對a.txt:stream.txt的修改也不會影響到載體文件a.txt。  3.2 刪除    刪除ADS最為簡單，直接刪載體文件就是；但是如果只想刪ADS而保留載體文件的話最簡單的辦法就是把載體文件拉到非NTFS分區(qū)去走一趟。因為ADS是NTFS的"專利"，離開了NTFS文件系統(tǒng)ADS也就煙消云散了。    如果你只想在NTFS分區(qū)刪除ADS的話，可以用下面這個批處理：ty

8、pe a.txt > a.txt.bakrem type不能支持ADS，所以拿它來備份載體del a.txtrem 刪除載體及ADSren a.txt.bak a.txtrem 恢復(fù)載體文件  3.3 檢測與提取    關(guān)于ADS的檢測涉及到API編程了，呵呵，這方面我還在努力學(xué)習(xí)，這里就抄微軟的話："Win32 備份 API 函數(shù)（BackupRead、BackupWrite 等）可用于枚舉文件中的流"。    不過好在已經(jīng)有檢測ADS的軟件了，下面幾個軟件都可以檢測：LADS (List Alt

9、ernate Data Streams - http:/www.heysoft.de/nt/ntfs-ads.htmStreams v1.1 (Sysinternals -  NT Objectives Forensic Toolkit (sfind.exe -(    要提取ADS必須要第三方工具，NTRootKit工具包里的cp可以做到（cp也可以用于創(chuàng)建流）；NTRootKit工具包我一直沒有找到，google上一搜全是那個NTRootKit后門，只好自己用C寫了一個。這也不會要求你是編程高手，C語言里的文件函數(shù)完全可以支持ADS的創(chuàng)建、刪除、提取

10、，只需把ADS當(dāng)成一個文件來處理就是了。  3.4 保存與傳輸    前面說了，ADS在非NTFS分區(qū)就會丟失，那么說來在非NTFS分區(qū)就無法保存ADS了嗎？直接保存沒有辦法，我們可以間接保存啊。呵呵，這樣需要借助一個軟件，你也應(yīng)該有的，它就是WinRAR。對含有ADS的文件加壓時，找到高級選項，那里有一個"保存文件流數(shù)據(jù)"，打上勾（圖2），呵呵，你就可以把ADS壓縮到rar文件里了。這個rar文件可以保存到非NTFS分區(qū)的注意啊，是保存，不能解壓出來的?！緢D2】    如果要傳輸ADS，最好是用資源管理

11、器打開對方的共享再復(fù)制粘貼；如果你想用其他方式傳輸?shù)脑挻蟾啪椭荒軅鬏敯珹DS的rar文件了。  3.5 信息隱藏    要保密信息，傳統(tǒng)的做法是加密。雖然加密后信息內(nèi)容變成了無法直接讀出的密文，不過也等于告訴人家這是秘密，就不安全了；但是如果我把信息藏起來讓你找不著不就ok了嗎，所以一種叫做"信息隱藏"的技術(shù)就被提出來了。    古裝戲里常常有隱寫術(shù)，就是一張白紙在平時就是一張普通的白紙，但在特殊的作用下預(yù)先寫好的字就會顯示出來。用這個來比喻信息隱藏是最為恰當(dāng)?shù)牧?。信息隱藏是目前信息安全研究的熱門領(lǐng)域，

12、實現(xiàn)方法也很多，最流行的大概就是以bmp圖像文件為載體，通過替換文件每個字節(jié)無關(guān)緊要的最低的一位來實現(xiàn)的。    呵呵，不過有一種實現(xiàn)簡單的信息隱藏技術(shù)就在我們眼前。對，就是利用ADS！既然Windows不能很好的察覺ADS，那么我們就可以把要保密的文件以ADS方式保存。不過這里提醒一下，利用ADS實現(xiàn)信息隱藏的安全性不是很高，不過也不是很低我想應(yīng)該沒有人沒事就花大量時間用lads.exe檢測著玩吧。    另外，大多數(shù)殺毒軟件并不能檢測ADS，所以我們可以利用流讓殺毒軟件pass后門。例：type nc.exe > a.txt

13、:nc.exe    原文件nc.exe會被金山毒霸查出來，處理之后盡管a.txt:nc.exe內(nèi)容與nc.exe完全一樣，但并不會被金山毒霸發(fā)現(xiàn)。  3.6 運行    前面說了可利用ADS讓后門躲避殺毒軟件，但如果不能運行的話還不是沒用。那怎么運行呢？    命令行下面直接運行a.txt:nc.exe是不行的，應(yīng)該用start命令。關(guān)于這個命令的詳細用法你自己打help start看看吧。    start命令運行可執(zhí)行的ADS時要用絕對路徑或者當(dāng)前路徑用./加

14、文件名?？蠢樱簊tart ./a.txt:nc.exe  or  start c:a.txt:nc.exe    在Win2000下查看進程只能看到載體文件，而XP下則可以發(fā)現(xiàn)整個ADS。圖3是在XP下用tlist的截圖?！緢D3】  3.7 與IIS相關(guān)    在IIS中訪問ADS會有一些有趣的事情發(fā)生，這個參見我的另一篇Blog交換數(shù)據(jù)流（ADS）與IIS的前世與今生（4.附言    謝謝你看完我的文章 :）5.參考文章bigworm翻譯，NTFS不利的一面（xundi，關(guān)于NTFS文件系統(tǒng)中的數(shù)據(jù)流問題（H. Carvey，The