NTFS 数据流隐写学习

最新推荐文章于 2024-10-03 19:48:41 发布
最新推荐文章于 2024-10-03 19:48:41 发布
阅读量2.6k 收藏 22
点赞数 5
分类专栏: 知识点学习 文章标签: ntfs流 隐写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goodric/article/details/127173751
版权

NTFS 数据流隐写学习

——

概念学习:

  • NTFS文件系统中存在NTFS数据流文件也被称为 Alternate data streams(ADS), 是NTFS磁盘格式的一个特性之一
  • 每个文件都有主文件流非主文件流,主文件流能够直接看到;而非主文件流寄宿于主文件流中,无法直接读取,这个非主文件流就是NTFS交换数据流。
  • 也就是说非主文件流是真实存在于我们系统的,但是我们看不到,可以通过创建这样的数据交换流文件,达到隐写的效果。

——

应用:

  • 隐藏后门文件(恶意文件木马病毒)
  • web实战中隐藏写入的webshell

——

关联文件流隐藏

先在test 文件夹下创建一个 test.txt 文本,内容为 123
请添加图片描述

现在写一个隐藏 txt 文本进去,通过命令行执行写入内容命令:

echo "abc" > test.txt:hide.txt

可以看到执行完命令,dir 查询文件列表还是只有原来的一个 test.txt 文本,但是文本的最后修改时间变化了。
请添加图片描述

可以用Windows 自带的 notepad 查看这个隐藏文件,局限性是需要知道全称,所以在实际情况下还是能达到隐藏。

notepad test.txt:hide.txt

请添加图片描述

————
也可以用 type 命令,将创建好的文件附加在另一个文件上。
在另一个文件夹下创建好一个 hide2.txt 文本

type e:/desktop/hide2.txt > text2.txt:hide2.txt

执行完之后,文件夹下就多了一个 text2.txt 文件,并且里面没有写内容。
这里不知道为啥用 notepad 无法查看隐藏信息,显示找不到文件。
请添加图片描述

除了这里演示的附加上 txt 文本外,还可以附加 .exe .jpg 文件等等进行隐藏

——

单文件流隐藏

上面进行的是把隐藏文件附加在另一个文件上。也可以直接创建隐藏文件流,不附加在其它文件上。
还是在 /test 这个文件夹下。

echo "hide3" > :hide3.txt

查看文件夹下文件并没有变化。
请添加图片描述

——

工具扫描 ntfs 数据流隐藏文件

有很多种工具可以扫描出隐藏的NTFS 数据流文件。
这里测试 NtfsStramsEditor

选择文件夹路径,点击搜索,可以看到前面创建的三个隐藏文件都显示出来了,并且点击可以查看内容。
请添加图片描述

——
在 CTF 题目中,给的 ntfs 隐写文件是在 压缩包内的,需要用 WinRAR 进行提取,不然会造成数据流丢失。

如何借用 NTFS 交换数据流 实现隐藏文件?如何使用【文件包含】PHP伪协议?不同操作系统如何实现文件隐藏和木马伪装?
代码讲故事
03-27 338
如何借用 NTFS 交换数据流 实现隐藏文件?如何使用【文件包含】PHP伪协议?不同操作系统如何实现文件隐藏和木马伪装?NTFS交换数据流(Alternate Data Streams, ADS)是NTFS文件系统特有的一种功能,它允许在同一个文件名下存储多个数据流。除了默认的数据流(通常用于存储文件的实际内容),可以创建额外的数据流来存储其他信息。这个特性可以被用来隐藏文件内容,因为不是所有的操作系统和工具都能显示或读取NTFS的ADS。
NTFS数据流隐写工具
08-20
ntfsstreamseditor是一款针对ctf中ntfs数据流隐写题型的工具
NTFS数据流隐写
m0re's blog
12-12 6325
前言 最近做题遇到了几个是NTFS数据流隐写的题目,感觉很有趣,就深入的学习一下。知识面较浅。 什么是NTFS数据流NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件之外还可以有许多非主文件寄宿在主文件中。它使用资源派生来维持与文件相关的信息。————百度百科 NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,
MISC -第十天(音符加解密、敲击码、NtfsStreamsEditor工具)
最新发布
weixin_58038441的博客
10-03 1135
介绍了音符加解密、敲击码、NtfsStreamsEditor工具。
关于NTFS数据流隐写(ADS)
weixin_62248541的博客
11-27 713
NTFS交换数据流(ADS)是NTFS文件系统的一个特性,在NTFS文件系统中,一个文件有一个主文件和多个非主文件,主文件可以被直接看到而非主文件不可以被直接看到,主文件和非主文件之间通过资源派生来维持联系
利用NTFS文件隐藏
Rocky的专栏
04-08 466
利用NTFS文件隐藏 首先用记事本新建两个文本文档,分别名为“1.txt”“2.txt”,其内容为“正常文件、数据流文件”,打开CMD命令行窗口, 进入两个文件所在文件夹,输入 type 2.txt>1.txt: shujuliu.txt,回车.即可将文件2.txt的内容加入1.txt, 内容以数据流方式保存,该数据流名为shujuliu.txt.在资...
关于NTFS文件系统中的数据流问题
ciahi的专栏
03-26 1322
关于NTFS文件系统中的数据流问题[转自安全焦点]xundi@xfocus.org http://www.xfocus.org2000-9-18在NTFS文件系统里存在的数据流形式已经是几年前的事情了,而防病毒供应商没有充分的检查这一方面的文件,这样导致病毒扫描程序发现不了而已代码或者病毒扫描程序本身就会有可能破坏文件系统的文件。NTFS分区的数据流是一个子文件系统允许额外的数据连接到一个特别的文
ntfs交换数据流隐写
agacx42680的专栏
09-26 271
NTFS交换数据流 参考博客 微软官方的解释 微软的官方定义是:是有序的字节。在NTFS文件系统中,里面包含了数据,这些数据被写到文件中,并且给这个文件属性和内容之外的更多信息。例如:你可以创建一个包含搜索关键词的,或者是包含文件创建者信息的。 (这一段是我自己翻译的233333333333) 2.NTFS的类型有很多,图片、文本等等 制作一个包括NTFS的文件 echo ...
NTFS交换数据流隐写的应用
weixin_30709809的博客
11-16 468
by Chesky ##目录 ####一、NTFS交换数据流(ADS)简介 ####二、ADS应用 写入隐藏文件(文本\图像\可执行文件) ADS在Windows平台下的利用——写入后门 ADS在Web中的利用——Get shell(待完成) ####三、NTFS交换数据流在CTF中的应用——查看ADS内容 ####...
文件隐身衣(NTFS文件数据流读写)
02-17
在IT领域,NTFS(New Technology File System)是Windows操作系统中的一个高级文件系统,它提供了许多先进的特性,其中就包括“文件数据流”这一概念。本文将深入探讨NTFS文件数据流的读写操作,以及如何利用VB.NET...
Ntfs Streams Editor2工具
06-18
Ntfs文件系统中,一些恶意程序可能隐藏在“Ntfs数据流”这样的特殊"文件"中,一般的文件管理器和工具不能发现和处理;Ntfs数据流处理工具NtfsStreamsEditor提供了强大的搜索扫描能力,帮助找出危险所在;同时Ntfs...
NTFS文件附加数据流读写类
02-16
摘要:NTFS是Microsoft公司开发的一种有着良好安全性和稳定性的高性能文件系统,NTFS的文件或文件夹中附加多个额外的数据流,但是其访问一直没有很好的解决办法,本文使用VB2003实现NTFS文件附加数据流的读写类,提供.Net框架下NTFS文件附加数据流的完整解决方案。 关键词:VB.Net NTFS 数据流 类 在项目中选择添加引用->浏览->选择“JWBStreamOP.dll”文件->确定,即可成功引用。 4.1 类的声明: Dim myStreamOP As New ClassJWBStreamOP(“NTFS文件完整路径”) 4.2 属性: 该类共有3个只读属性 属性名 返回值类型 备注 FileName String 只读,在成功声明后使用 Ready Boolean 只读,该类可操作时为True Ver String 只读,类版本、版权信息 4.3 方法 该类共有6个方法: 4.3.1 OpenNTFSStream(ByVal sStreamName As String) As System.IO.FileStream 打开指定文件(声明时指定)的指定数据流,返回值为指定数据流的FileStream接口。 参数列表 类型 传递方式 参数说明 sStreamName String Byval 文件名 4.3.2 GetNTFSStreamSize(ByVal sStreamName As String) As Long 获取指定数据流的大小,返回实际大小,执行失败返回-1 参数列表 类型 传递方式 参数说明 sStreamName String Byval 文件名 4.3.3 AddNTFSStream(ByVal toHidName As String, ByRef percentDone As Double) As Boolean 添加附加数据流,返回执行结果。 参数列表 类型 传递方式 参数说明 toHidName String ByVal 待添加的文件路径 percentDone Double ByRef 传递一个完成百分比的参数 4.3.4 SaveNTFSStream(ByVal sStreamName As String, ByVal outFileName As String, ByRef percentDone As Double) As Boolean将指定的数据流保存为文件,返回执行结果。 参数列表 类型 传递方式 参数说明 sStreamName String ByVal 文件名 outFileName String ByVal 保存文件路径 percentDone Double ByRef 传递一个完成百分比的参数 4.3.5 ReadNTFSStreamsName() As String() 获取文件的所有附加数据流名称,返回名称数组。 4.3.6 DeleteNTFSStream(ByVal sStreamName As String) As Boolean 删除指定数据流,返回执行结果。 参数列表 类型 传递方式 参数说明 sStreamName String Byval 文件名
CTF隐写详细总结,自带ctf工具集
11-30
CTF隐写详细总结,自带ctf工具集。 0、图片隐写 1、音频隐写 波形隐写 频谱隐写 LSB隐写 2、视频隐写 3、Base64隐写 4、Python代码隐写 5、Pdf隐写 6、Office文档隐写 7、Ntfs数据流隐写
NTFS文件隐写
欢迎来到神林的博客
11-07 4494
NTFS文件隐写 NTFS文件是什么 NTFS文件系统时windows NT内核系列操作系统支持的、专门为网络和磁盘配额的,文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更加稳定,更能也更为强大。NTFS数据流文件也被称为 Alternate data streams,简称ADS,是NTFS文件系统的一个特性之一,允许单独的数据流文件存在,同时也允许文件附着多个数据流,除了主文件...
[硬盘取证]NTFS隐写
qq_63811773的博客
12-29 533
[硬盘取证]NTFS隐写
隐写:NTFS STREAM
qq_24520119的博客
11-03 1052
TFS文件(ADS)的利用 一、隐藏信息 在任一NTFS分区下打开CMD命令提示符,输入echo abcde>>a.txt:b.txt,则在当前目录下会生成一个名为a.txt的文件,但 文件的大小只有0字节,打开后也无任何内容,只有当我们键入命令notepad a.txt:b.txt才能看见写入的abcde。 在上边的命令中,a.txt可以不存在。也可以是某个已存在的文件,文件格式无所谓,
NTFS文件系统的数据流隐藏
weixin_45525701的博客
06-22 873
NTFS文件系统中,使用数据流隐藏的方式,将某文件作为数据流隐藏到正常文件的方法: 使用cmd命令窗口,输入命令 type 想要隐藏的文件的文件名 >>选择作为隐藏位置的文件的文件名:隐藏后给文件重新的命名 下图是把文件名为mima.txt的文件隐藏在文件名为yingcang.txt的文件中,给文件重新命名为mima.txt ...
ntfs 数据流
微笑的撒旦的专栏
07-31 1299
前几天看到了一片关于ntfs数据流的老文章,依此写了一个枚举文件中命名数据流的小软件,现在把源代码贴出来。 以下内容为程序代码: // ntfs.cpp : Defines the entry point for the console application.// // 1.0.0.0: First version.// 1.0.0.1: All error info output to std
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值