该文由 晴刃 (QingSword.COM) 原创;
原文题目:利用 NTFS 交换数据流隐藏文件
原文连接 : http://www.qingsword.com/qing/812.html
转载以备资料参考,在原文基础上根据实际有备注和更改 如有侵犯,即刻删除 感谢理解分享
------------------------------------------------------------------------------------------------------------------------------------------------------
引言
这篇文章介绍Windows下NTFS文件系统的ADS(alternate data streams,交换数据流)特性;实例演示如何利用ADS将文件隐藏到任何宿主上(宿主可以是文件夹、文件以及磁盘根目录);文章最后将提供两个小工具,利用它们来检测和清除隐藏在宿主上的文件。
文章目录
0×1.什么是NTFS交换数据流(ADS)
NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为"宿主文件:准备与宿主文件关联的数据流文件"。
这一段是百科上面的内容,大致了解一下即可,后面会有实例演示。
0×2.NTFS交换数据流隐藏文件实例
这一部分内容在Windows系列操作系统的NTFS分区上都能适用。
实验环境:Windows 10 实验分区:E盘根目录(NTFS分区,ADS是NTFS文件系统的特性,不适用于FAT32文件系统)
在E盘根目录中有这些文件:
02
C:\Windows\System32>e: /* C:\Windows\System32> 表示以 管理员身份 " 打开 CMD
08
2012/12/15 21:03 5 123.txt
09
2012/05/29 20:15 346,112 aaa.exe
10
2012/09/26 07:36 72,294 bbb.jpg
11
2012/01/04 04:10 61,952 lads.exe
12
2012/04/27 10:17 87,424 streams.exe
18
* lads.exe和streams.exe是用于检测交换数据流的程序,后面会用到,
实验环境和所有用于实验的文件全部介绍完毕,下面开始实际操作 。
a.如何利用NTFS交换数据流隐藏文本文件
注意,下面的命令需要用"管理员身份"打开CMD,否则很可能执行不成功。
02
* 使用
echo
命令,将
"www.qingsword.com"
这几个字符写入到123.txt:222.txt中,
03
*
echo
命令以写字符的方式创建了
":222.txt"
这个交换数据流文件,
04
* 其中123.txt是宿主文件,222.txt是交换数据流文件,
05
* 222.txt在图形界面下是不可见的,就像寄生虫一样,寄生在123.txt上。
07
E:\>
echo
www.qingsword.com>>123.txt:222.txt
11
* 打开后可以添加删除222.txt的内容并保存,但是不能另存为。
16
* 将123.txt使用交换数据流的方式寄生到test文件夹上,
17
*
type
命令和
echo
命令不同,
type
命令是将已经存在的一个文件,
18
* 用交换数据流的方式寄生到另外一个文件或文件夹上,
19
* test文件夹是一个空文件夹,寄生123.txt后,文件夹大小显示仍然是0。
21
E:\>
type
123.txt>>test:123.txt /* 为体现实验效果 echochangjiang>>123.txt 123.txt 中只有changjiang
24
* 使用notepad打开这个寄生在test上的文本文件,
25
* 如果命令提示符是在其他盘符,可以使用这个数据流文件的完整路径来打开,
27
*
"C:\>notepad E:\test:123.txt"
29
E:\>notepad test:123.txt
/*
内容与123.txt 一致changjiang
/*
实验将原文件123.txt 内容改动,看test:123.txt 是否自动随之更改(答案是NO )
Echohanghe>>123.txt /*123.txt
内容为changjiang hanghe
notepad test:123.txt /*
内容依然为changjiang
实验:寄生的交换数据流能否再寄生?
type 123.txt:222.txt >>test:222.txt NO!!!!!!!!!!!!!!
type 123.txt:222.txt >>test:123.txt:222.txt NO!!!!!!
所以 交换数据流不再多次寄生
32
E:\>
type
123.txt>>E:\:123.txt /*为方便后面的交换数据流删除,我上述所有的实验文件都放在 我放在d:\sandbox下 type 123.txt>>d:\sandbox:123.txt
35
* 通过相对路径来打开,也可以通过绝对路径来打开,
36
* 命令是
"E:\>notepad E:\:123.txt"
这种方法能很好的将一个文本文件使用交换数据流的形式寄生在另外一个文件上(任何类型的文件上),从一定程度上起到了隐藏文本文件的目的。
b.如何利用NTFS交换数据流隐藏图片文件
图片文件也能寄生在任何类型的文件上,下面给出几个实例:
02
E:\>
type
bbb.jpg>>123.txt:bbb.jpg
05
E:\>
type
bbb.jpg>>test:bbb.jpg
08
E:\>
type
bbb.jpg>>aaa.exe:bbb.jpg
11
E:\>
type
bbb.jpg>>E:\:bbb.jpg
14
* 打开方式很简单,可以使用系统自带的图画程序
mspaint
,
15
* 这里打开寄生在可执行文件中的那张图片,其他文件同理。
17
E:\>
mspaint
aaa.exe:bbb.jpg
c.如何利用NTFS交换数据流隐藏可执行文件
WinXP和Win7之后的Windows版本在NTFS交换数据流的不同体现在对寄生的可执行文件的运行管理上,XP可以按照和上面相同的方法直接运行寄生的可执行程序;Win7之后的版本需要手动创建一个连接文件,通过这个链接文件才能运行这个寄生的可执行交换数据流文件,请看下面的实例:
01
/*寄生的方法和图片和文本文件相同,寄生到123.txt*/
02
E:\>
type
aaa.exe>>123.txt:aaa.exe
05
E:\>
type
aaa.exe>>E:\:aaa.exe
08
* XP中可以直接通过
start
命令使用绝对路径来调用这个寄生的可执行文件,
09
* 但是在Win7之后的系统中会出现下面的错误。
10
* (Win XP中
start
命令后面必须接绝对路径)
下面是Win:7后的版本中调用这个E盘根目录下的交换数据流可执行文件的方法:
02
* 在C盘的根目录中创建一个符号链接文件eee.exe,
03
* 链接到E盘根目录中寄生的交换数据流可执行文件aaa.exe上。
05
E:\>
mklink
C:\eee.exe E:\:aaa.exe
06
为 C:\eee.exe <> E:\:aaa.exe 创建的符号链接
08
/*在命令行下执行这个链接文件,即可运行E:\:aaa.exe*/
13
* 看到进程列表里面多出一个名称很奇怪的进程
":aaa.exe"
,
14
* 如果我们使用相同的方法运行寄生在文本文件中的那个aaa.exe,
15
* 看到的进程名称就会是
"123.txt:aaa.exe"
。
在WinXP中,可执行文件可以和文本文件一样实现真正的隐藏,这可能也是当时大多数杀毒软件添加数据流病毒查杀功能的原因;在Win7之后的系统中,微软可能出于安全考虑,不允许直接运行交换数据流可执行文件,必须要创建符号链接,这个符号链接是可见的(当然可以使用其他手段隐藏这个符号链接),并且这个符号链接创建出来后不能复制到其他地方,只能在创建的那个位置使用命令行方式调用(鼠标双击会报错)。
0×3.如何检测和清除NTFS-ADS隐藏的文件
上面说了隐藏,现在来说检测,可以使用这两款小工具配合进行检测和清除寄生的交换数据流[网盘下载 ],工具都是命令行模式的,请看下面的演示:
02
* 将这lads.exe这个程序放置需要检测的分区根目录中,
03
* 不添加任何参数直接运行,就是检测根目录中所有文件,
04
* 如果使用
"lads.exe test /S"
,就是递归检测test以及test下所子目录。
05
* 下面这条命令是检测根目录以及所有子目录。
09
Scanning directory E:\ with subdirectories
12
---------- ---------------------------------
17
346112 E:\123.txt:aaa.exe
18
72294 E:\123.txt:bbb.jpg
19
72294 E:\aaa.exe:bbb.jpg
21
72294 E:\test\:bbb.jpg
23
1053737 bytes in 9 ADS listed
25
/*可以看到我们实验中添加的所有交换数据流一览无遗*/
使用streams.exe这个程序来清除这些交换数据流,根据上面检测的输出信息,我将streams.exe放在E盘的根目录:
02
* 首先尝试清除一下E盘根目录上面寄生的交换数据流,
08
Deleted :123.txt:$DATA
10
* 这里出现了一个错误,因为这个:aaa.exe现在正在运行
11
* 对于这种情况,需要先结束掉这个:aaa.exe进程才能清除。
13
Error deleting :aaa.exe:$DATA:
15
Deleted :bbb.jpg:$DATA
17
/*可以添加-s参数来一次性递归清除E盘下所有寄生的交换数据流文件(慎用,尤其是对系统盘一定不要随便使用递归清除,系统本身的一些数据流也会被一起清除掉)*/
18
E:\>streams.exe -s -d E:\
21
Deleted :222.txt:$DATA
22
Deleted :aaa.exe:$DATA
23
Deleted :bbb.jpg:$DATA
25
Deleted :bbb.jpg:$DATA
27
Deleted :123.txt:$DATA
28
Deleted :bbb.jpg:$DATA