[硬盘取证]NTFS隐写

NTFS隐写技术实战
原创 已于 2022-12-29 19:59:28 修改 · 634 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #学习

于 2022-12-29 19:55:57 首次发布
本文介绍了NTFS文件系统的隐写技术,通过具体实例展示了如何使用寄生文件进行数据隐藏及检索。文中提供了两种寄生方式的具体操作步骤,并讨论了使用notepad查看隐藏文件的方法。

做到一道相关的题目  。

BUUCTF:[SWPU2019]我有一只马里奥。

题目地址:https://buuoj.cn/challenges#[SWPU2019]%E6%88%91%E6%9C%89%E4%B8%80%E5%8F%AA%E9%A9%AC%E9%87%8C%E5%A5%A5

运行exe文件,得到提示ntfs和flag.txt。

NTFS隐藏流文件。 

百度一下得到相关知识。

 寄生一:
echo 写入内容>>宿主文件:交换数据流文件(寄生文件)
echo ever>>1.txt:2.txt
2.txt为echo创建出交换数据流文件,ever在2.txt中

寄生二:
type 交换数据流文件(寄生文件)>>宿主文件夹:交换数据流文件(寄生文件)
type 2.txt>>temp:2.txt
temp为空文件夹,执行后2.txt寄生在temp文件夹上
type a.jpg>>temp:a.jpg
temp为空文件夹,执行后a.jpg寄生在temp文件夹上

查看:
notepad 宿主文件:交换数据流文件(寄生文件)
notepad 1.txt:2.txt

查看图片文件:
mspaint 宿主文件:交换数据流文件(寄生文件)
notepad a.jpg:b.jpg
 

这题看起来只是简单的NTFS隐写(隐藏文件知道全称),可以用Windows 自带的 notepad 查看这个隐藏文件。notepad的局限性是需要知道全称。

参考链接:https://blog.csdn.net/mochu7777777/article/details/108934265

再放几篇NTFS数据隐写的相关文章:

NTFS 数据流隐写学习_Goodric的博客-CSDN博客_ntfs数据流隐写

[硬盘取证]初探NTFS隐写 - 简书 (jianshu.com)


                

        

    

  



    



                



	

		

			

				
					
NTFS数据流工具

				
			

			

				

					08-20
				

			

		

		

			
				
ntfsstreamseditor是一款针对ctf中ntfs数据流题型的工具

			
		

	



                

            
              



	

		

			

				
					
NtfsStreamsEditor.zip

				
			

			

				

					05-05
				

			

		

		

			
				
1. **检测和列出所有流**:可以扫描指定目录或硬盘上的所有NTFS文件,找出并显示藏的流,这对于查找潜在的信息至关重要。  2. **查看和编辑流内容**:用户可以直接读取和编辑文件的非主流数据,检查其中是否...

			
		

	



              


  
              

                


	

		

			

				
					
NTFS数据流

				
			

			

				

					m0re's blog
				

				

					12-12
					
					8041
					
				

			

		

		

			
				
前言
最近做题遇到了几个是NTFS数据流的题目,感觉很有趣,就深入的学习一下。知识面较浅。
什么是NTFS数据流?

NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息。————百度百科


NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,

			
		

	





	

		

			

				
					
NTFS 数据流学习

				
			

			

				

					Goodric的博客
				

				

					10-05
					
					3294
					
				

			

		

		

			
				
NTFS文件系统中存在NTFS数据流文件也被称为 Alternate data streams(ADS), 是NTFS磁盘格式的一个特性之一

			
		

	



		

			
		



	

		

			

				
					
【数据加解密篇】利用NTFS数据流(ADS)加密取证分析

				
			

			

				

					蘇小沐的电子数据取证博客
				

				

					11-06
					
					2040
					
				

			

		

		

			
				
数据的价值远超案件,很多数据的价值没在当前的案件中发挥作用,并不代表着它就没有用。

在 NTFS 文件系统中,可以通过来将一些不为人知的、甚至是恶意的程序、代码藏在"NTFS 数据流(ADS)"等特殊文件中,一般的文件管理器和工具是无法发现和对其处理的,本文通过一些介绍,来初步认识下常用的Windows操作系统NTFS文件系统数据流\---【蘇小沐】

			
		

	





	

		

			

				
					
:NTFS STREAM

				
			

			

				

					Bright's Blog
				

				

					03-11
					
					5097
					
				

			

		

		

			
				
TFS文件流(ADS)的利用
一、藏信息
在任一NTFS分区下打开CMD命令提示符,输入echo abcde>>a.txt:b.txt,则在当前目录下会生成一个名为a.txt的文件,但 文件的大小只有0字节,打开后也无任何内容,只有当我们键入命令notepad a.txt:b.txt才能看见入的abcde。
在上边的命令中,a.txt可以不存在。也可以是某个已存在的文件,文件格式无所谓,

			
		

	





	

		

			

				
					
揭秘IT取证:Autopsy取证实战

				
			

			

				

					idlecloud0105的博客
				

				

					04-23
					
					1888
					
				

			

		

		

			
				
Autopsy 是一款图形化的开源数字取证工具,基于 The Sleuth Kit(TSK)命令行工具集开发,广泛应用于硬盘镜像分析、文件恢复、时间线重建、网络活动追踪等多个领域。Web界面版:Kali Linux 默认集成,可通过浏览器访问;独立桌面版:推荐在 Windows 上使用,界面更友好,功能更完整。你可以在Autopsy官网下载适用于不同系统的版本。建立案件并导入镜像;提取系统信息,初步确认嫌疑人身份;分析用户行为与网络活动,重建事件时间线;追踪数据交换,识别潜在的藏信息;

			
		

	





	

		

			

				
					
计算机取证期中测试试卷

				
			

			

				

					01-08
				

			

		

		

			
				
8. 信息藏技术包括术和数字水印,用于保护和验证数字媒体的原始性。  9. 电子签名法关注的主要问题是数据电文和电子签名的法律效力,确保其在法律上的可接受性。  10. 计算机取证的核心是数据分析,包括发现、...

			
		

	





	

		

			

				
					
电子数据取证技术,第四章,Windows操作系统取证技术

				
			

			

				

					qq_34871944的博客
				

				

					01-08
					
					1082
					
				

			

		

		

			
				
预定义项,是代表注册表中的主要部分的项,指在注册表中以HKEY作为前缀的文件夹,位于注册表树状结构的最顶层。预定义项类似于硬盘上的根目录,Windows 2000/XP注册表编辑器中有五大预定义项,分别为 :HKEY_USERS在Windows 9x操作系统的注册表中,另外还有一个预定义项。

			
		

	





	

		

			

				
					
ProDiscover综合取证工具快速定位磁盘数据

				
			

			

				

					
				

			

		

		

			
				
“数字取证”和“硬盘取证”则强调其专业属性,符合国际标准如ISO/IEC 27037(电子证据识别与收集)、NIST SP 800-86(数字取证指南)等,适用于法庭呈堂证供的准备。  从压缩包文件名“ProDiscoverRelease7003Basic...

			
		

	





	

		

			

				
					
NTFS数据流:利用交换数据流藏压缩包密码的取证方法.pdf

					
最新发布

				
			

			

				

					06-18
				

			

		

		

			
				
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。
从术到编码转换,从音频到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB ,在虚拟战场中提升网络安全意识与技术能力。记住:所有技术仅用于学习与竞赛!


			
		

	





	

		

			

				
					
分析与数字取证

				
			

			

				

					04-13
				

			

		

		

			
				
基于峰值频率特征的音-图转换音频密分析<br>基于微观模板的多类JPEG 图像盲密分析方法<br>等10多篇论文

			
		

	





	

		

			

				
					
利用NTFS流文件

				
			

			

				

					Rocky的专栏
				

				

					04-08
					
					540
					
				

			

		

		

			
				
利用NTFS流文件藏
		
		首先用记事本新建两个文本文档,分别名为“1.txt”“2.txt”,其内容为“正常文件、数据流文件”,打开CMD命令行窗口, 进入两个文件所在文件夹,输入 type 2.txt>1.txt: shujuliu.txt,回车.即可将文件2.txt的内容加入1.txt, 内容以数据流方式保存,该数据流名为shujuliu.txt.在资...

			
		

	





	

		

			

				
					
NTFS文件

				
			

			

				

					欢迎来到神林的博客
				

				

					11-07
					
					4718
					
				

			

		

		

			
				
NTFS文件

NTFS文件是什么
NTFS文件系统时windows NT内核系列操作系统支持的、专门为网络和磁盘配额的,文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更加稳定,更能也更为强大。NTFS数据流文件也被称为 Alternate data streams,简称ADS,是NTFS文件系统的一个特性之一,允许单独的数据流文件存在,同时也允许文件附着多个数据流,除了主文件...

			
		

	





	

		

			

				
					
揭开NTFS下真正的藏文件--'流'的奥秘

				
			

			

				

					zou5655的专栏
				

				

					09-25
					
					1529
					
				

			

		

		

			
				
揭开NTFS下真正的藏文件--'流'的奥秘 [ 作者: 陆麟   添加时间: 2001-9-4 14:21:15 ]作者:陆麟 来源:http://lu0.126.comNTFS下,支持一个特殊概念,那就是流.怎么个流法呢?先看流的定义: stream A sequence of bits, bytes, or other small structurally unifo

			
		

	





	

		

			

				
					
ntfs交换数据流在

				
			

			

				

					agacx42680的专栏
				

				

					09-26
					
					330
					
				

			

		

		

			
				
NTFS交换数据流
参考博客
微软官方的解释

微软的官方定义是:流是有序的字节。在NTFS文件系统中,流里面包含了数据,这些数据被到文件中,并且给这个文件属性和内容之外的更多信息。例如:你可以创建一个包含搜索关键词的流,或者是包含文件创建者信息的流。
(这一段是我自己翻译的233333333333)
2.NTFS流的类型有很多,图片、文本等等
制作一个包括NTFS流的文件
echo ...

			
		

	





	

		

			

				
					
NTFS交换数据流的应用

				
			

			

				

					weixin_30709809的博客
				

				

					11-16
					
					567
					
				

			

		

		

			
				
by Chesky
##目录
####一、NTFS交换数据流(ADS)简介
####二、ADS应用
     藏文件(文本\图像\可执行文件)
     ADS在Windows平台下的利用——入后门
     ADS在Web中的利用——Get shell(待完成)
####三、NTFS交换数据流在CTF中的应用——查看ADS内容
####...

			
		

	





	

		

			

				
					
NTFS文件系统的数据流

				
			

			

				

					weixin_45525701的博客
				

				

					06-22
					
					952
					
				

			

		

		

			
				
NTFS文件系统中,使用数据流藏的方式,将某文件作为数据流藏到正常文件的方法:
使用cmd命令窗口,输入命令
type 想要藏的文件的文件名 >>选择作为藏位置的文件的文件名:藏后给文件重新的命名
下图是把文件名为mima.txt的文件藏在文件名为yingcang.txt的文件中,给文件重新命名为mima.txt


...

			
		

	





	

		

			

				
					
NTFSStreamEditor 2.0:CTF比赛中的NTFS分析利器

				
			

			

				

					
				

			

		

		

			
				
NTFS分析工具在CTF中的应用通常集中在术和取证分析类题目,选手使用这样的工具可以发现和分析文件中藏的信息,对解题和得分至关重要。  - **版本更新**:提到的“2.0版本”表明NtfsStreamsEditor有更新...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值