NTFS交换数据流隐藏文件

引言

这篇文章介绍Windows下NTFS文件系统的ADS（alternate data streams，交换数据流）特性；实例演示如何利用ADS将文件隐藏到任何宿主上（宿主可以是文件夹、文件以及磁盘根目录）；文章最后将提供两个小工具，利用它们来检测和清除隐藏在宿主上的文件。

文章目录

• 0×1.什么是NTFS交换数据流（ADS）
• 0×2.NTFS交换数据流隐藏文件实例
• a.如何利用NTFS交换数据流隐藏文本文件
• b.如何利用NTFS交换数据流隐藏图片文件
• c.如何利用NTFS交换数据流隐藏可执行文件
• 0×3.如何检测和清除NTFS-ADS隐藏的文件
• 0×4.检测NTFS-ADS的工具
• 0×5.参考文章

0×1.什么是NTFS交换数据流（ADS）

NTFS交换数据流（alternate data streams，简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流，就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息，虽然我们无法看到数据流文件，但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单，命令为"宿主文件:准备与宿主文件关联的数据流文件"。

这一段是百科上面的内容，大致了解一下即可，后面会有实例演示。

0×2.NTFS交换数据流隐藏文件实例

这一部分内容在Windows系列操作系统的NTFS分区上都能适用。

实验环境：Windows 10
实验分区：E盘根目录（NTFS分区，ADS是NTFS文件系统的特性，不适用于FAT32文件系统）

在E盘根目录中有这些文件：

/*切换到E盘根目录*/

C:\Windows\System32>e:

E:\>

/*查看E盘根目录中有哪些内容*/

E:\>dir
 
2012/12/15  21:03          5 123.txt

2012/05/29  20:15    346,112 aaa.exe

2012/09/26  07:36     72,294 bbb.jpg

2012/01/04  04:10     61,952 lads.exe

2012/04/27  10:17     87,424 streams.exe

2012/12/15  21:12            test

/*

 * 123.txt 是一个文本文件，

 * aaa.exe 是一个可执行文件，

 * bbb.jpg 是一张图片，

 * lads.exe和streams.exe是用于检测交换数据流的程序，后面会用到，

 * test是一个空文件夹。

 */

 

实验环境和所有用于实验的文件全部介绍完毕，下面开始实际操作 。

a.如何利用NTFS交换数据流隐藏文本文件

注意，下面的命令需要用"管理员身份"打开CMD，否则很可能执行不成功。

/*

 * 使用echo命令，将"www.qingsword.com"这几个字符写入到123.txt:222.txt中，

 * echo命令以写字符的方式创建了"222.txt"这个交换数据流文件，

 * 其中123.txt是宿主文件，222.txt是交换数据流文件，

 * 222.txt在图形界面下是不可见的，就像寄生虫一样，寄生在123.txt上。

 */

E:\>echo www.qingsword.com>>123.txt:222.txt

/*

 * 使用记事本程序打开这个交换数据流文件，

 * 打开后可以添加删除222.txt的内容并保存，也能将数据流文件另存为保存成其他文件。

 */

E:\>notepad 123.txt:222.txt

/*

 * 将123.txt使用交换数据流的方式寄生到test文件夹上，

 * type命令和echo命令不同，type命令是将已经存在的一个文件，

 * 用交换数据流的方式寄生到另外一个文件或文件夹上，

 * test文件夹是一个空文件夹，寄生123.txt后，文件夹大小显示仍然是0。

 */

E:\>type 123.txt>>test:123.txt

/*

 * 使用notepad打开这个寄生在test上的文本文件，

 * 如果命令提示符是在其他盘符，可以使用这个数据流文件的完整路径来打开,

 * 比如当前盘符在C盘，可以这样打开:

 * "C:\>notepad E:\test:123.txt"

 */

E:\>notepad test:123.txt

/*将123.txt寄生到E盘根目录*/

E:\>type 123.txt>>E:\:123.txt

/*

 * 通过相对路径来打开，也可以通过绝对路径来打开，

 * 命令是"E:\>notepad E:\:123.txt"

 */

E:\>notepad :123.txt

这种方法能很好的将一个文本文件使用交换数据流的形式寄生在另外一个文件上（任何类型的文件上），从一定程度上起到了隐藏文本文件的目的。

b.如何利用NTFS交换数据流隐藏图片文件

图片文件也能寄生在任何类型的文件上，下面给出几个实例：

/*寄生到123.txt上*/

E:\>type bbb.jpg>>123.txt:bbb.jpg

/*寄生到test文件夹上*/

E:\>type bbb.jpg>>test:bbb.jpg

/*寄生到aaa.exe这个可执行文件上*/

E:\>type bbb.jpg>>aaa.exe:bbb.jpg

/*寄生到E盘根目录*/

E:\>type bbb.jpg>>E:\:bbb.jpg

/*

 * 打开方式很简单，可以使用系统自带的图画程序mspaint,

 * 这里打开寄生在可执行文件中的那张图片，其他文件同理。

 */

E:\>mspaint aaa.exe:bbb.jpg

c.如何利用NTFS交换数据流隐藏可执行文件

WinXP和Win7之后的Windows版本在NTFS交换数据流的不同体现在对寄生的可执行文件的运行管理上，XP可以按照和上面相同的方法直接运行寄生的可执行程序；Win7之后的版本需要手动创建一个连接文件，通过这个链接文件才能运行这个寄生的可执行交换数据流文件，请看下面的实例：

/*寄生的方法和图片和文本文件相同，寄生到123.txt*/

E:\>type aaa.exe>>123.txt:aaa.exe

/*寄生到E盘根目录*/

E:\>type aaa.exe>>E:\:aaa.exe

/*

 * XP中可以直接通过start命令使用绝对路径来调用这个寄生的可执行文件，

 * 但是在Win7之后的系统中会出现下面的错误。

 * (Win XP中start命令后面必须接绝对路径)

 */

E:\>start E:\:aaa.exe

系统找不到文件 E:\:aaa.exe。

下面是Win:7后的版本中调用这个E盘根目录下的交换数据流可执行文件的方法：

/*

 * 在C盘的根目录中创建一个符号链接文件eee.exe，

 * 链接到E盘根目录中寄生的交换数据流可执行文件aaa.exe上。

 */

E:\>mklink C:\eee.exe E:\:aaa.exe

为 C:\eee.exe <> E:\:aaa.exe 创建的符号链接

/*在命令行下执行这个链接文件，即可运行E:\:aaa.exe*/

E:\>C:\eee.exe

/*

 * 这个时候大家可以打开任务管理器，

 * 看到进程列表里面多出一个名称很奇怪的进程":aaa.exe"，

 * 如果我们使用相同的方法运行寄生在文本文件中的那个aaa.exe,

 * 看到的进程名称就会是"123.txt:aaa.exe"。

 */

 

在WinXP中，可执行文件可以和文本文件一样实现真正的隐藏，这可能也是当时大多数杀毒软件添加数据流病毒查杀功能的原因；在Win7之后的系统中，微软可能出于安全考虑，不允许直接运行交换数据流可执行文件，必须要创建符号链接，这个符号链接是可见的（当然可以使用其他手段隐藏这个符号链接），并且这个符号链接创建出来后不能复制到其他地方，只能在创建的那个位置使用命令行方式调用（鼠标双击会报错）。

0×3.如何检测和清除NTFS-ADS隐藏的文件

上面说了隐藏，现在来说检测，可以使用这两款小工具配合进行检测和清除寄生的交换数据流[网盘下载]，工具都是命令行模式的，请看下面的演示：

/*

 * 将这lads.exe这个程序放置需要检测的分区根目录中，

 * 不添加任何参数直接运行，就是检测根目录中所有文件，

 * 如果使用"lads.exe test /S"，就是递归检测test以及test下所有子目录。

 * 下面这条命令是检测根目录以及所有子目录。

 */

E:\>lads.exe /S

Scanning directory E:\ with subdirectories

      size  ADS in file

----------  ---------------------------------

        12  E:\:123.txt

    346112  E:\:aaa.exe

    144588  E:\:bbb.jpg

         7  E:\123.txt:222.txt

    346112  E:\123.txt:aaa.exe

     72294  E:\123.txt:bbb.jpg

     72294  E:\aaa.exe:bbb.jpg

        12  E:\test\:123.txt

     72294  E:\test\:bbb.jpg

   1053737 bytes in 9 ADS listed

/*可以看到我们实验中添加的所有交换数据流一览无遗*/

使用streams.exe这个程序来清除这些交换数据流，根据上面检测的输出信息，我将streams.exe放在E盘的根目录：

/*

 * 首先尝试清除一下E盘根目录上面寄生的交换数据流，

 * -d后面接目录。

 */

E:\>streams.exe -d E:\

E:\:

   Deleted :123.txt:$DATA

/*

 * 这里出现了一个错误，因为这个:aaa.exe现在正在运行

 * 对于这种情况，需要先结束掉这个:aaa.exe进程才能清除。

 */

   Error deleting :aaa.exe:$DATA:

?????

   Deleted :bbb.jpg:$DATA

/*可以添加-s参数来一次性递归清除E盘下所有寄生的交换数据流文件（慎用，尤其是对系统盘一定不要随便使用递归清除，系统本身的一些数据流也会被一起清除掉）*/

E:\>streams.exe -s -d E:\

E:\123.txt:

   Deleted :222.txt:$DATA

   Deleted :aaa.exe:$DATA

   Deleted :bbb.jpg:$DATA

E:\aaa.exe:

   Deleted :bbb.jpg:$DATA

E:\test:

   Deleted :123.txt:$DATA

   Deleted :bbb.jpg:$DATA

0×4.检测NTFA-ADS的工具

LADS (List Alternate Data Streams) - http://www.heysoft.de/nt/ntfs-ads.htm
Streams v1.1 (Sysinternals) - http://www.sysinternals.com/ntw2k/source/misc.shtml
 NT Objectives Forensic Toolkit (sfind.exe) –(http://www.ntobjectives.com/)

0×5.参考文章

bigworm翻译，《NTFS不利的一面》（http://www.xfocus.net/articles/200212/466.html）
xundi，《关于NTFS文件系统中的数据流问题》（http://www.xfocus.net/articles/200103/81.html）
H. Carvey，《The Dark Side of NTFS》（http://patriot.net/~carvdawg/docs/dark_side.html）
Damon Martin，《Windows, NTFS and Alternate Data Stream（http://www.giac.org/practical/gsec/Damon_Martin_GSEC.pdf）
《NTFS Streams - Everything you need to know》（http://www.diamondcs.com.au/index.php?page=archive&id=ntfs-streams）