Alternate Data Streams(ADSs)是什么
微 软的平台不断在增加.公司用的服务器和桌面操作系统运行的一般是winNT和win2000,而家庭用户和学生用的系统一般是winXP.这些平台是很受 欢迎的并且被大范围的使用.可是使用这些操作系统的用户和管理员却对NTFS文件系统的某个特性知道的很少,那就是”交换数据流”(alternate data streams).
NTFS因为它的稳定性 强大的功能 以及它所提供的安全性而成为一种更优越的文件系统,NTFS交换数据流(ADSs)是为了和Macintosh的HFS文件系统兼容而设计的,它使用资源 派生(resource forks)来维持与文件相关的信息,比如说图标及其他的东西.而微软提供了一种方法通过Windows explorer来创建特殊的ADSs,检测这种特殊的ADSs的必要工具和功能相当缺乏.说来也奇怪,系统一直以来都有允许用户创建ADSs以及在这种 流文件中执行隐藏代码的功能和工具.Microsoft KnowledgeBase 中Q101353号文章承认了基于API的win32不能很好的支持ADSs. 这篇文章的目的是详细的介绍ADSs是怎么被创建和利用的,以及隐藏在ADSs中的代码是怎么被执行的.基于不同的系统(NT 2K XP)处理ADSs也是很不同的. 创建ADSs 创建ADSs的语法相对比较简单和直接.比如说创建和文件myfile.txt相关联的ADSs,只需简单的用冒号把文件名和ADSs名分开即可. D:/ads>echo This is an ADS > myfile.txt:hidden 此外,ADSs还可用另外一个文件的内容来创建. D:/ads>echo This is a test file > test.txt D:/ads>type test.txt > myfile.txt:hidden 然后你可以用记事本去检验一下看看,命令如下: d:/ads>notepad myfile.txt:hidden 可是,用dir命令去看不出任何变化,Windows Explorer也没有任何可用的转换和设置来检测这种新建的ADSs的存在. 此外,ADSs可以被创建以及与目录列表相关联,而不是与一个文件关联.这种特性在文章的后面将会显示出他的重要性,但现在我们介绍怎么创建ADSs以及足够了. D:/ads>echo This ADS is tied to the directory listing > :hidden 这种类型的ADSs也可以通过type和notepad命令来创建. ADSs文件的内容并不只限于text(文本)数据,任何二进制信息的流都可以组成一个文件,而且ADS也就是一个文件而已.可执行的东西也能够相当容易的隐藏在ADSs中,看下面的例子: D:/ads>type c:/winnt/notepad.exe > myfile.txt:np.exe D:/ads>type c:/winnt/system32/sol.exe > myfile.txt:sol2.exe 同样,像图片文件,声音文件或任何其他的数据流都可以隐藏在ADSs中. 最后,Windows Explorer提供了一种方法来创建特殊的ADSs(RUSS00) 看下图:我们在值那一栏可以填入很多东西 /Article/UploadFiles/200509/20050912231239417.gif 图一 如果某个用户没有写文件的权限,那么他就不能在该文件上添加ADS. 此外,windows 文件保护功能可以防止系统文件被替换,但是他不能阻止有适当权限的用户在这些系统文件上添加ADSs,有个工具System File Checker(sfc.exe)可以检查受保护系统文件是否被覆盖,可是它不能检测ADSs. 检测,查看,利用ADSs 如前所述,微软并没有提供工具来检测ADSs的存在.现在检测ADSs最好的工具是由Frank Heyne写了Lads.exe.这个工具现在的版本是3.10,它是一个命令行工具 看下图: /Article/UploadFiles/200509/20050912231240799.jpg 图二 从上图我们可以看出lad.exe多有用了,不仅可以显示ADSs的存在,还可以显示ADSs的路径和大小.我们仔细注意和myfile.txt相关联的 四个文件,其中三个是以很像扑克里黑桃形状的ASCII开头的,另外一个就是在花括号中有一大串数字和字母的那个文件,这四个文件就是我们用图一所示方法 创建的. 既然找到了这些文件,我们应该怎么看文件的内容那?其实notepad就是一个很好的工具,但是这中间还有个陷阱. 比如,以下命令就出现我们不希望的结果 d:/ads>notepad myfile.txt:hidden 执行这个命令时notepad就会问是否创建一个新文件,这个就很奇怪了,因为myfle.txt:hidden我们早就创建了.为了执行的结果是我们所希望的,应该输入下面的命令: d:/ads>echo This is another ADS > myfile.txt:hidden.txt d:/ads>notepad myfile.txt:hidden.txt 这样就出现了我们所希望的结果,文件名后增加的扩展名允许用notepad打开ADSs,这种方法也同样适用于其他的ADSs,比如: d:/ads>notepad myfile.txt:np.exe ADSs是NTFS文件系统的特征,所以带有ADS的文件如果被移动到其他的文件系统,比如FAT,FAT32或者ext2上,ADS就会被删掉,因为这些文件系统都不支持ADS,如果是在NTFS分区之间移动,ADSs就会被保留下来. 删除ADSs相对简单,用下面的命令即可 d:/ads>type myfile.txt > myfile.bat d:/ads>del myfile.txt d:/ads>ren myfile.bat myfile.txt 现在用lads.exe看一下,可以看到所有的ADSs都不见了. 执行ADSs 前面的例子中,我们已经把可执行的代码藏在ADSs中,这个看起来好像没什么用处,除非代码可以自动执行.其实,start命令就可以用来执行这些代码,现在我们再来创建ADSs d:/ads>type d:/winnt/notepad.exe > myfile.txt:np.exe 但是在2000上执行时会出现错误,这时因为我们提供的路径信息不够 所以,我们应该指明路径,不管时绝对路径还是相对路径.比如,下面的任何一个命令都可以: d:/ads>start d:/ads/myfile.txt:np.exe d:/ads>start ./myfile.txt:np.exe 是不是出现了记事本?? 当命令执行时进程会出现比较有意思的现象.例如,运行pslist.exe会出现下图情况 /Article/UploadFiles/200509/20050912231241467.jpg 图三 出现的进程名是myfile.txt: 看看任务管理器中的情况: /Article/UploadFiles/200509/20050912231241203.jpg 图四 再看看下图: /Article/UploadFiles/200509/20050912231241685.jpg 图五 我们来看看在xp的管理器中进程的情况: 总结: |
|
查看个人网站 查看详细资料 |
Alternate Data Streams(ADSs)是什么相关推荐
- Elasticsearch:Data streams(三)
这是一个系列文章的第三篇文章.之前的两篇文章如下: Elasticsearch:Data streams(一) Elasticsearch:Data streams(二) 在今天的文章中,我将详述如何 ...
- ES中数据流Data streams详解
一.什么是数据流 官方定义: Data streams 数据流 数据流是可以跨多个索引存储仅限于追加存储的时间序列数据,同时为请求提供单个命名资源. 在 Elasticsearch 7.9之前,通常会 ...
- FunDA(9)- Stream Source:reactive data streams
上篇我们讨论了静态数据源(Static Source, snapshot).这种方式只能在预知数据规模有限的情况下使用,对于超大型的数据库表也可以说是不安全的资源使用方式.Slick3.x已经增加了支 ...
- NTFS不利的一面——ADS流文件
这篇文章是根据H. Carvey的The Dark Side of NTFS (Microsoft's Scarlet Letter) 翻译的,可以自由转载,但请保持译者和来源以及文章的完整性. 简介 ...
- windows文件隐藏方法
翻译+整理: By Bigworm 不当之处请指正 这篇文章是根据H. Carvey的The Dark Side of NTFS (Microsoft's Scarlet Letter) 翻译的,可以 ...
- [转贴]NTFS不利的一面(技术贴)
NTFS不利的一面 创建时间:2002-12-04 文章属性:翻译 文章来源:幻影旅团翻译组 www.3389.net 文章提交: bigworm (netfox207_at_eyou.com) NT ...
- 键盘谍影 键盘监视器的原理和防范
简介 本文将详细讨论一个键盘监视器的C++/C#开发过程并针对反窥探提出了一些建议.希望读者理解基于钩子技术的窥探软件的工作原理以更好地针对自己的软件加以保护. 背景 基于软件的键盘事件记录器是一个严 ...
- NTFS的交换数据流ADS应用
NTFS的交换数据流ADS应用 NTFS是Windows常用的文件系统格式.该格式支持交换数据流(Alternate Data Streams,缩写ADS)特性.该特性可以让多个文件流使用同一个文件名 ...
- python3 文件 复制、重命名、移动、删除
简介 shutil 模块 提供了多个针对文件或文件集合的高等级操作. 尤其是,文件的复制和删除操作. 对于独立文件的操作, 参考 os 模块 警告: 即使是更高等级的文件复制功能 ( shutil.c ...
最新文章
- Linux学习笔记(知识点总结)
- Receiver ED、Link quality indicator (LQI)、Clear channel assessment (CCA)究竟是什么?802.15.4标准
- 数字三角形,最长上升子序列,背包模型 AcWing算法提高课 (详解)
- 性能优化(数据库设计原则)
- 一个div压在另一个div上面_【CSS小分享】用CSS画一个新拟态风格键盘
- accounts/login/?next=/account/password-change/
- spark操作redis_Spark对接Redis快速入门
- C#基础知识回顾整理
- 一台电脑如何同开两个或多个飞信?
- 易筋SpringBoot 2.1 | 第十一篇:SpringBoot使用actuator
- 在网上看到SpiceWorks是一个免费但很强大的HELPDESK系统
- 公元纪年法(儒略历-格里高历)转儒略日
- PHP按符号截取字符串的指定部分
- 加州房价预测项目详细笔记(Regression)——(1)研究数据获得灵感
- 华为Mate50和小米13 参数对比
- 03.07:BT下载&区块链技术
- oracle基本建表语句
- [ExtJS5学习笔记]第九节 Extjs5的mvc与mvvm框架结构简介
- 第13期 《由量变到质变的过程》3月刊
- 从零开始的安卓开发环境搭建与入门
热门文章
- 美国12月ISM制造业PMI回落 现货金1800关口徘徊交投
- Conditional注解
- .NET-3.Xamarin2.学习与总结
- VMware Site Recovery Manager 8.5 下载 - 数据中心灾难恢复 (DR)
- 2021毓英中学高考成绩查询入口,福建省晋江市毓英中学2021届高三上学期12月份考试物理试卷 PDF版含答案.pdf...
- 袁红岗的程序员修炼之道
- CSS初入门:过渡-Transitions
- 设备VMnet0上的网络桥接无法运行 虚拟机 网络电缆未插好
- Brian Tracy: Work Hard!(搜藏)
- WebRTC -- Mesh、MCU、SFU架构