Jeffrey Cross
Jeffrey Cross

Alternative Datenströme für NTFS - Ausblenden von Dateien in anderen Dateien

Das NTFS-Dateisystem unterstützt die Unterstützung zusätzlicher Daten (Alternate Data Streams, ADS), die an eine beliebige Datei angehängt werden können. Normalerweise wird dies vom Betriebssystem und vom Dateiexplorer verwendet, um zusätzliche Daten an eine Datei zu binden, z. B. Informationen zur Zugriffssteuerung der Datei, durchsuchbare Datei-Metadaten wie Schlüsselwörter, Kommentare und Revisionsverlauf sowie Informationen, die eine Datei als vorhanden kennzeichnen können aus dem Internet heruntergeladen. Da diese zusätzlichen Informationen auf Dateisystemebene an die Datei gebunden sind, können Sie die Datei von einem Ordner in einen anderen verschieben, und die verschiedenen Meta-Informationen und Berechtigungsdaten verbleiben in der Datei.

Das Interessante ist, dass eine Datei 0 bis viele ADS-Gabeln haben kann, die an eine Datei oder ein Verzeichnis angehängt sind. Während einige der ADS-Bezeichner vom Betriebssystem verwendet werden, hindern Sie nichts daran, andere ADS-Gabeln zu einer Datei hinzuzufügen. Sie können dies direkt von der Kommandozeile aus mit einem einfachen Doppelpunkt ":" tun.

Angenommen, Sie haben eine Datei namens test.txt. Sie können eine geheime Nachricht wie folgt in der Datei speichern: echo "Dies ist ein Geheimnis"> test.txt: secretdata

Wenn Sie den Inhalt der Datei anzeigen, sehen Sie nichts Besonderes. Wenn Sie wissen, dass der ADS-Eintrag für secretdata vorhanden ist, können Sie die ausgeblendeten Informationen mit dem folgenden Befehl leicht extrahieren: mehr <test.txt: secretdata> output.txt

Wenn Sie nun output.txt öffnen, finden Sie Ihre geheimen Daten darin.

Da es sich um eine Betriebssystemfunktion auf niedrigerer Ebene handelt, können Sie die meisten Programme sogar dazu bringen, die Daten zu laden. Im obigen Szenario könnten Sie den Secretdata-Stream in Notepad laden und bearbeiten, indem Sie Folgendes ausführen:notiz test.txt: geheime daten„Sie können sogar binäre Daten beliebiger Größe in einem ADS-Zweig speichern und ausführen. Vielleicht möchten Sie beispielsweise Solitär in einen ADS-Eintrag Ihrer Textdatei einfügen:

Geben Sie c: winntsystem32sol.exe> ​​test.txt: timewaster.exe ein

Das Ausführen der Datei ist so einfach wieStart . est.txt: timewaster.exe“. Wild, nein?

Das Seltsame ist, dass all diese verborgenen Streams über Ihr Dateisystem schweben. Bis zu Vista / R im DIR-Befehl gibt es keine wirklich gute integrierte Methode, um sie zu erkennen. Um dieses Problem zu lösen, hat Frank Heyne eine Anwendung namens LADS entwickelt, ein hervorragendes Befehlszeilenprogramm, das ein Verzeichnis scannt und die Namen und Größen der Streams für darin enthaltene Dateien ausgibt.

In einem MSDN-Artikel wurde auch ein Tool veröffentlicht, das sich auf Dateistreams bezieht, die auf den zusätzlichen Eigenschaften der Dateieigenschaften in Windows Explorer angezeigt werden. Ich habe eine Verbindung zu einer FAQ hergestellt, die Frank über ADS verwaltet und Sie durch das Einrichten der DLL- und Registrierungseinträge führt, damit dies funktioniert. Wenn es aktiviert ist, können Sie auf der Registerkarte Streams im Eigenschaftenfenster die Stream-Daten erstellen, anzeigen, bearbeiten oder löschen, die an eine Datei angehängt sind, direkt im Explorer.

Ich kann sehen, wie diese Dateisystemfunktion nützlich sein könnte, aber es ist ein bisschen seltsam, dass sie für den Benutzer so verborgen ist und es scheinbar einige Probleme mit dem Konzept gibt. Aufgrund der verborgenen Natur von ADS gibt es offensichtlich eine Reihe von böswilligen Zwecken, die von Jerk-O's eingesetzt werden können, die Viren schreiben und so etwas. Selbst wenn dies ignoriert wird, gibt es auch Probleme beim Datenaustausch. Das Verschieben einer Datei zwischen NTFS und einem anderen Dateisystem führt zum Verlust all dieser angefügten Informationen. Nennen Sie mich altmodisch, aber ich mag meine Dateien so, wie sie früher waren, mit einem Anfang, einem Ende und einigen Bytes dazwischen.

Frank Heyne - Alternative Datenströme in NTFS - FAQ LADS - Hilfsprogramm für alternative Datenstromlisten für NTFS Die dunkle Seite von NTFS MSDN: Die Perspektive eines Programmierers auf NTFS-Streams und feste Links

Aktie

Leave A Comment