关闭

ADS数据隐藏用例

标签: ADS 供选数据流 数据隐藏 后门
72人阅读 评论(0) 收藏 举报
分类:

ADS (供选数据流/ alternate data stream):NTFS使用Master File Table (MFT) 来管理文件。windows系统中的每个文件都对应一个MFT记录。而每一个MFT记录由若干个属性(attribute)组成,用来描述该文件的具体信息。比如 $FILE_NAME 属性描述了该文件的文件名和创建修改访问时间,而$DATA属性包含了该文件的具体内容。例如,文件名称为test.txt,文本内容为”Hello, world!”


在cmd下输入特定数据流到文件中,正常情况下该数据不会显示:

>>echo This is an ADS > test.txt:flagis{XD2017}

>>dir /r test.txt


ADS中的数据可正常读写,但是XP系统之后不再执行,因此可以将脚本隐藏于ADS中,通过wscript.exe等脚本解析器拼接解析,实现后门植入。

1
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:1589次
    • 积分:121
    • 等级:
    • 排名:千里之外
    • 原创:7篇
    • 转载:5篇
    • 译文:1篇
    • 评论:0条