[硬盘取证]NTFS隐写

已于 2022-12-29 19:59:28 修改
阅读量468 收藏 2
点赞数
分类专栏: NTFS 文章标签: 安全 学习
于 2022-12-29 19:55:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63811773/article/details/128486572
版权

做到一道相关的题目  。

BUUCTF:[SWPU2019]我有一只马里奥。

题目地址:https://buuoj.cn/challenges#[SWPU2019]%E6%88%91%E6%9C%89%E4%B8%80%E5%8F%AA%E9%A9%AC%E9%87%8C%E5%A5%A5

运行exe文件,得到提示ntfs和flag.txt。

NTFS隐藏流文件。 

百度一下得到相关知识。

 寄生一:
echo 写入内容>>宿主文件:交换数据流文件(寄生文件)
echo ever>>1.txt:2.txt
2.txt为echo创建出交换数据流文件,ever在2.txt中

寄生二:
type 交换数据流文件(寄生文件)>>宿主文件夹:交换数据流文件(寄生文件)
type 2.txt>>temp:2.txt
temp为空文件夹,执行后2.txt寄生在temp文件夹上
type a.jpg>>temp:a.jpg
temp为空文件夹,执行后a.jpg寄生在temp文件夹上

查看:
notepad 宿主文件:交换数据流文件(寄生文件)
notepad 1.txt:2.txt

查看图片文件:
mspaint 宿主文件:交换数据流文件(寄生文件)
notepad a.jpg:b.jpg
 

这题看起来只是简单的NTFS隐写(隐藏文件知道全称),可以用Windows 自带的 notepad 查看这个隐藏文件。notepad的局限性是需要知道全称。

参考链接:https://blog.csdn.net/mochu7777777/article/details/108934265

再放几篇NTFS数据隐写的相关文章:

NTFS 数据流隐写学习_Goodric的博客-CSDN博客_ntfs数据流隐写

[硬盘取证]初探NTFS隐写 - 简书 (jianshu.com)


                

        

        

    




    

      

        

            

              
                
                  mu_mu_03
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
NTFS数据流隐写工具

				
			

			

				

					08-20
				

			

		

		

			
				
ntfsstreamseditor是一款针对ctf中ntfs数据流隐写题型的工具

			
		

	



                

              
                



	

		

			

				
					
NTFS数据流隐写

				
			

			

				

					m0re's blog
				

				

					12-12
					
					5568
					
				

			

		

		

			
				
前言
最近做题遇到了几个是NTFS数据流隐写的题目,感觉很有趣,就深入的学习一下。知识面较浅。
什么是NTFS数据流?

NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息。————百度百科


NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,

			
		

	



                


  
              

                


	

		

			

				
					
NTFS 数据流隐写学习

				
			

			

				

					Goodric的博客
				

				

					10-05
					
					2337
					
				

			

		

		

			
				
NTFS文件系统中存在NTFS数据流文件也被称为 Alternate data streams(ADS), 是NTFS磁盘格式的一个特性之一

			
		

	





	

		

			

				
					
NTFS文件隐写

				
			

			

				

					欢迎来到神林的博客
				

				

					11-07
					
					4257
					
				

			

		

		

			
				
NTFS文件隐写

NTFS文件是什么
NTFS文件系统时windows NT内核系列操作系统支持的、专门为网络和磁盘配额的,文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更加稳定,更能也更为强大。NTFS数据流文件也被称为 Alternate data streams,简称ADS,是NTFS文件系统的一个特性之一,允许单独的数据流文件存在,同时也允许文件附着多个数据流,除了主文件...

			
		

	



		

			
		



	

		

			

				
					
揭开NTFS下真正的隐藏文件--'流'的奥秘

				
			

			

				

					zou5655的专栏
				

				

					09-25
					
					1443
					
				

			

		

		

			
				
揭开NTFS下真正的隐藏文件--'流'的奥秘 [ 作者: 陆麟   添加时间: 2001-9-4 14:21:15 ]作者:陆麟 来源:http://lu0.126.comNTFS下,支持一个特殊概念,那就是流.怎么个流法呢?先看流的定义: stream A sequence of bits, bytes, or other small structurally unifo

			
		

	





	

		

			

				
					
基于C和Java的Microsoft & Unix文件系统及硬盘取证工具设计源码

					
最新发布

				
			

			

				

					05-27
				

			

		

		

			
				
本设计源码提供了一个基于C和Java的Microsoft & Unix文件系统及硬盘取证工具,包含1497个文件,其中包括206个h头文件,174个cpp源文件,以及160个c源文件。此外,还有106个java源文件,66个am文件,61个txt文本文件...

			
		

	





	

		

			

				
					
NtfsStreamsEditor.zip

				
			

			

				

					05-05
				

			

		

		

			
				
1. **检测和列出所有流**:可以扫描指定目录或硬盘上的所有NTFS文件,找出并显示隐藏的流,这对于查找潜在的隐写信息至关重要。  2. **查看和编辑流内容**:用户可以直接读取和编辑文件的非主流数据,检查其中是否...

			
		

	





	

		

			

				
					
Linux硬盘文件分析取证-ssh1.img 题目

				
			

			

				

					03-28
				

			

		

		

			
				
在IT行业中,尤其是在网络安全取证分析的领域,Linux硬盘文件分析取证是一项至关重要的技能。本题目涉及的是对名为"ssh1.img"的镜像文件进行分析,这通常是指一个包含操作系统或特定数据的磁盘映像。在这个场景下...

			
		

	





	

		

			

				
					
Stegdetect隐写工具

				
			

			

				

					03-31
				

			

		

		

			
				
隐写术,又称为隐写分析,是一门技术,它涉及到在数字媒体(如图像、音频或视频)中秘密嵌入信息,而这些信息对于未经训练的观察者来说通常是不可见的。这种技术在信息安全、情报传递以及版权保护等领域有广泛的应用...

			
		

	





	

		

			

				
					
ntfs交换数据流在隐写

				
			

			

				

					agacx42680的专栏
				

				

					09-26
					
					243
					
				

			

		

		

			
				
NTFS交换数据流
参考博客
微软官方的解释

微软的官方定义是:流是有序的字节。在NTFS文件系统中,流里面包含了数据,这些数据被写到文件中,并且给这个文件属性和内容之外的更多信息。例如:你可以创建一个包含搜索关键词的流,或者是包含文件创建者信息的流。
(这一段是我自己翻译的233333333333)
2.NTFS流的类型有很多,图片、文本等等
制作一个包括NTFS流的文件
echo ...

			
		

	





	

		

			

				
					
隐写分析与数字取证

				
			

			

				

					04-13
				

			

		

		

			
				
基于峰值频率特征的音-图转换音频隐密分析<br>基于微观模板的多类JPEG 图像盲隐密分析方法<br>等10多篇论文

			
		

	





	

		

			

				
					
隐写:NTFS STREAM

				
			

			

				

					Bright's Blog
				

				

					03-11
					
					4869
					
				

			

		

		

			
				
TFS文件流(ADS)的利用
一、隐藏信息
在任一NTFS分区下打开CMD命令提示符,输入echo abcde>>a.txt:b.txt,则在当前目录下会生成一个名为a.txt的文件,但 文件的大小只有0字节,打开后也无任何内容,只有当我们键入命令notepad a.txt:b.txt才能看见写入的abcde。
在上边的命令中,a.txt可以不存在。也可以是某个已存在的文件,文件格式无所谓,

			
		

	





	

		

			

				
					
NTFS 数据隐藏及恢复

				
			

			

				

					weixin_34112208的博客
				

				

					01-27
					
					602
					
				

			

		

		

			
				
NTFS 数据隐藏及恢复

Winhex  链接:https://pan.baidu.com/s/1dHevDnz 密码:4zsi
软件注册码 ZYCX2014shujuhuifu


打开软件 选择红标处

选择Volume

依然来隐藏我们的winhex.exe 

转到16进制的红标处将01改00  Ctrl+S保存

只剩下文件夹了  下面来隐藏文件夹

同样上面的步骤 不过在这里将03改...

			
		

	





	

		

			

				
					
简单的FAT32 U盘隐写

				
			

			

				

					Assassin
				

				

					12-21
					
					1108
					
				

			

		

		

			
				
一、实验预期目的及实验环境本实验意实现FAT32结构下的U盘隐写不被U盘文件系统读出,主要考察FAT32简单的结构认识和简单的代码能力。为了方便实现,目标机环境设为Winxp sp2,附带Winhex和VS2010工具包。二、基础知识FAT32整体文件结构如下 
本实验主要需要隐写文件至Upan处,方法采用修改FAT表、0号1号磁盘信息实现隐写。0号磁盘结构中需要注意如下偏移0BH:扇区字节数

			
		

	





	

		

			

				
					
基于 FAT32 文件系统的数据隐写实验

				
			

			

				

					z1576393803的博客
				

				

					06-12
					
					3598
					
				

			

		

		

			
				
1 实验目的 

本实验的目的是深入理解 FAT32 文件系统管理文件的方式,验证通过修改文件系统的 

保留扇区、FAT 分区表等关键结构,能够实现将数据隐写在分区,并且不会被新写入文件 

覆盖、不易被用户发现等功能。 

2 实验内容及环境 

1. 实验内容 

本实验要求通过修改采用 FAT32 文件系统的分区结构,实现将数据隐写在分区中的空 

闲扇区,并且该隐写数据不会被新拷入文件覆盖。

2. 实验环境 

(1) Win 10操作系统,以及实验 

用的 WinHex 工具; 

(2).

			
		

	





	

		

			

				
					
隐写小结

				
			

			

				

					Tom_Lang_666的博客
				

				

					04-15
					
					1215
					
				

			

		

		

			
				
各方面所用到的工具如下:未知文件类型识别:TrID音频文件隐写取证分析:Audacity摩斯码转换:JPKPDF简单文字隐写分析: 
对其中的文字进行选择操作的时候,可能发现页眉和页脚中似乎有一些不可见的文字识别隐藏数据:Binwalk、StegHide识别音频文件隐写数据:MP3Stego网络流量分析:Wiresharkjpg文件分析:StegSolve、Python分析图像文件中是否包含隐藏内容

			
		

	





	

		

			

				
					
CTF之misc杂项解题技巧总结(1)——隐写

				
			

			

				

					若谷的博客
				

				

					12-22
					
					2084
					
				

			

		

		

			
				
隐写术Steganography(一)NTFS数据流隐写(二)base64隐写(三)图像隐写(四)零宽字符隐写(五)word隐写(六)PYC隐写(七)音频隐写(八)文件合成与分离(九)BMP/PDF隐写【附】检测工具。

			
		

	





	

		

			

				
					
Java编写ntfs文件服务器,在java中识别磁盘类型的文件系统格式,如ntfs,fat16/32或ext...

				
			

			

				

					weixin_42510670的博客
				

				

					08-05
					
					335
					
				

			

		

		

			
				
N.B.这是仅适用于Windows系统上运行的Java:使用JNA,你可以调用Win32的Kernel32的GetVolumeInformation()检索lpFileSystemNameBuffer参数,receives the name of the file system, for example, the FAT file system or the NTFS file systemhtt...

			
		

	





	

		

			

				
					
17第三届美亚杯个人赛题WP 新手

				
			

			

				

					07-27
				

			

		

		

			
				
该比赛题目涉及到了多个关键知识点,包括但不限于硬盘分区、物理位置、数据结构、文件系统、MD5哈希值、取证图像分析、以及Windows系统特定的元数据查找等。  1. 分区检测 - 题目要求选中分区2_本地磁盘[D],查看其...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值