Четверг, 18.04.2024, 08:56
Приветствую Вас Гость |
Главная | Информационная безопасность - Каталог статей | Регистрация | Вход

Информационная безопасность для всех
Меню сайта
Категории каталога
Статьи по информационной безопасности
Статьи по защите домашнего ПК
Такие полезные Локальные политики..
Статьи по наиболее полезным параметрам локальных политик безопасности Windows
Безопасность Windows Vista
Вопросы безопасности Windows Vista
Безопасность Windows XP
Вопросы безопасности Windows XP
Новости по информационной безопасности
Новости информационной безопасности: события, уязвимости, вирусы и т.п.
Другие интересные статьи
Разнообразные интересные статьи, связанные с различными аспектами совместного сосуществования компьютера и человека.
Поиск
Наш опрос
Оцените сайт
Результаты | Архив опросов
Всего ответов: 53
Какой антивирус вы используете?
Результаты | Архив опросов
Всего ответов: 173
Статистика
Главная » Статьи » Другие интересные статьи

Использование альтернативных потоков файловой системы NTFS

    Использование альтернативных потоков файловой системы NTFS

    То, что возможности файловой системы NTFS довольно обширны – знают многие. Это и надежное хранение файлов, довольно высокая скорость работы, отсутствие ограничений на размер файла, поддержка разграничения прав и шифрования. Но есть у NTFS еще одна интересная «фишка», называется она «альтернативные потоки». Давайте посмотрим, что это такое и как эти альтернативные потоки можно применить.

   Как говорил В.И. Ленин, обратимся к первоисточникам. Функцию поддержки альтернативных потоков данных добавили в NTFS для того, чтобы обеспечить совместимость с «яблочной» файловой системой HFS, проживающей изначально на Макинтошах. HFS использует альтернативные потоки данных в файлах для хранения там различного рода допинформации, например специальные иконки. Альтернативные потоки данных были в NTFS еще с незапамятных времен, еще в Windows NT 4.0.

   Суть технологии альтернативных потоков данных состоит в том, что у любого файла, хранящегося на файловой системе NTFS, может быть не один, а несколько потоков, в которых могут храниться никак не связанные между собой данные. Большинство популярных сейчас менеджеров по работе с файлами работают только с главным потоком файла (главный поток файла не имеет имени). Даже встроенный в операционную систему Explorer (Проводник) умеет работать только с главным потоком файла, в котором размещается его основное содержимое.

   Windows 7 не позволяет узнать о наличии или отсутствии в файле альтернативных потоков штатными средствами. И это не может не расстраивать :), ведь обязательно найдется пару десятков хитро-мудрых вирусов, которые начнут прятать свое тельце в альтернативные потоки совершенно на первый взгляд безобидных файлов. Обнаружить файл с альтернативным потоком можно, например, удалив его. И если места на жестком диске освободиться больше, чем размер файла, указываемый проводником, то ПОЗДРАВЛЯЮ! Вы нашли альтернативный поток данных в файле.

    Удаление файла хоть и позволит нам установить наличие альтернативного потока, но работать с ним мы таки не сможем. И чтобы посмотреть имеющихся в файле альтернативные потоки под Windows 7, можно использовать консольную утилиту streams.exe, которая была создана Марком Руссиновичем.

  Урок 1. Создание альтернативных потоков в NTFS

   Итак… На нетбуке, с которого я пишу эту статью, установлена Windows XP, все примеры будут из под этой ОС. Так как создание и отображение альтернативных потоков данных может быть реализовано с использованием некоторых консольных команд, то те, кто помнят старый добры DOS – читают дальше, остальные – на свой страх и риск :).

   Сначала открываем интерфейс командной строки при помощи следующих манипуляций: «Пуск»-«Выполнить»- вводим ручками «CMD», Enter.
    Вводим следующие команды:

> dir /w >test.txt
> type test.txt
  

   
   Первой командой мы получаем содержимое текущей папки в кратком формате и сохраняем в файле test.txt. Второй командой мы выводим на экран содержимое этого файла. Просто так, чтобы убедится, что файл создался и там есть некоторое содержимое. Теперь самое интересное – создадим в файле test.txt альтернативные поток. Вводим команды:

   > echo Hello, world!>test.txt:test
   > type test.txt
  

   Первая команда записала строку « Hello, world!» в альтернативный поток test файла test.txt. Второй командой мы снова вывели на экран содержимое файла test.txt, и так как по-умолчанию все программы работают с главным потоком файла, никаких следов строки «Hello, world!» мы на экране не увидели.

   Даже если и попытаться открыть в том же блокноте альтернативный поток файла – то у Вас все равно ничего не получиться, двоеточие является недопустимым символом в имени файла. Отсюда вопрос: как все-таки посмотреть созданный нами альтернативный поток? Опять же с помощью командной строки.

   Вводим команду:

>more <test.txt:test

 и радуемся как дети :)

  

   
   В Windows 7 (полагаю и в Vista тоже), посмотреть альтернативные потоки у файлов можно при помощи утилиты streams.exe. В все той же командной строке вводим

    > streams.exe hello.txt

   Но привычнее работать с альтернативными потоками, конечно, с использованием графического интерфейса. Для этого Вам пригодиться NTFS Stream Explorer.
   
   

  Урок 2. Как открыть альтернативный поток файла в блокноте.

   Более продвинутые и обладающие расширенными возможностями текстовые редакторы вроде того же Notepad++ замечательно умеют работать с альтернативными потоками и покажут их Вам без особых проблем. А вот стандартный «виндовый» блокнот при попытке выполнить команду

> notepad test.txt:test

выдаст следующее сообщение:

   
 
   Если присмотреться, то можно заметить, что notepad добавил к нашему имени потока расширение .txt. Эту особенность следует учитывать в процессе именования потоков и если мы хотим иметь возможность работать с альтернативным потоком в стандартном блокноте, то создание потока будет выглядеть примерно следующим образом:

   > echo Hello, world! > test.txt:test.txt

   В этом случае команда

   > notepad test.txt:test.txt

   отработает корректно и покажет нам в блокноте содержимое альтернативного потока с именем test.txt

  Урок 3 Прячем все и вся

   Альтернативные потоки можно создавать не только для текстовых фалов. Имеет место быть и такие команды:

   > type c:\windows\system32\type notepad.exe >> test.txt:notepad.exe
   >md new_folder
   >type c:\windows\system32\notepad.exe >> new_folder:notepad.exe
   >start new_folder:notepad.exe

   Если честно, то выполнение этих команд я не тестировал, хотя все должно работать. Так что тестирование предлагаю провести уважаемым читателям.

   Итак, итоги подведем.

   Альтернативные потоки «работают» только на файловой системе NTFS. При копировании файла, содержащего альтернативный поток, из файловой систем NTFS в файловую систему FAT, альтернативный поток будет удален.

   Работать с альтернативными потоками можно как из командной строки, так и с помощью различных утилит.

   Альтернативные файловые потоки позволяют прятать исполняемые файлы внутри текстовых, текстовые внутри исполняемых, архивы, фильмы, картинки – внутри папок. Альтернативные потоки работают даже для целых разделов жестких дисков.
   
   Вариантов использования альтернативных потоков очень много, все ограничивается только Вашей фантазией и Вашими потребностями. В общем-то и все. Идея, думаю, ясна, направление для экспериментов есть. Дерзайте!



Категория: Другие интересные статьи | Добавил: sec4all (20.03.2012)
Просмотров: 5226 | Рейтинг: 5.0/1 |

Рекомендовать:

Схожие материаллы:
RSS лента
Самые читаемые
Настройка безопасности через реестр Windows XP
Локальные политики - Парольная политика
Знакомьтесь, Надежный пароль!
Самые комментируемые
Локальные политики - Введение (5)
Знакомьтесь, Надежный пароль! (4)
Сокрытие информации. Стеганография, Часть 2 (2)
Облако тэгов
безопасность (8)
антивирус (6)
Windows Vista (5)
Вирус (5)
стеганография (5)
ТРОЯН (5)
UAC (4)
взлом (4)
уязвимости (4)
Anonymous (3)
avi (3)
Facebook (3)
Конструктор сайтов - uCoz Copyright security4all.ru © 2024