نقل ملف مع دفق بديل. تدفقات البيانات البديلة في NTFS

وهب أنظمة تشغيل Windows مع اثنين وظائف غير معروفة تخفي البيانات: تدفقات بيانات NTFS (تعرف أيضا باسم تدفقات البيانات البديلة) والوصول إلى قائمة الموارد بناء على قاعدة بيانات إذن التعداد المستندة إلى الوصول (ABE). تدفقات بديلة يسمح بالبيانات بالإضافة إلى معلومات الملف المخفية، مثل معلومات الملف. على الأرجح، لا يتعين عليك استخدام تدفقات البيانات المخفية، ومع ذلك، يمكن للمهاجمين استخدام هذه التقنية ضدك، بحيث من الضروري أن يكون لديك فكرة عن ذلك وكيف يمكن أن تعمل.

أما بالنسبة لطريقة ABE، فيمكنه تجديد ترسانة الخاص بك. هذه الطريقة تسمح لك بذلك مجلدات غير مرئية وملفات الموارد المشتركة لهؤلاء المستخدمين الذين ليس لديهم تصاريح للوصول إليهم.

هذا ما تحتاج إلى معرفته حول هذه الأموال.

الأنهار تغذية بحر البيانات

تدفقات البيانات البديلة هي ميزة نظام ملفات NTFS. تم تنشيط نظام Windows NT 3.1 معهم من أجل تمكين المستخدمين من NT و Macintosh لمشاركة الملفات.

يتكون ملف NTFS من تدفقات البيانات. هذا هو دفق بيانات البيانات القياسي $، وربما تدفقات بيانات بديلة أو أكثر. أي مستخدم لديه الأذونات اللازمة للعمل مع الملف يرى تدفق بيانات بيانات $ الحالي، ويمكن فتحه، وكذلك قراءة البيانات وكتابة هذا الموضوع.

تدفق البيانات البديلة هو معلومات أو ملفات إضافية يمكن للمستخدم أو التطبيق أن تعلق على ملف NTFS. فقط المستخدم الذي خلقه يعرف عن وجود دفق بيانات بديل. عادة، لا يعرف المستخدمون ما إذا كان تدفق بيانات بديل مرتبط بالملف؛ الحقيقة هي أنه لا توجد محتويات هذا الدفق ولا اسمه مرئيا. بالإضافة إلى ذلك، لا يمكن رؤية التغيير في حجم الملف.

هناك العديد من الطرق لاستخدام تدفقات البيانات البديلة. في نظام ويندوز يتم استخدام هذه الجداول لتخزين البيانات الموجزة التي تم إنشاؤها بواسطة التطبيقات غير المدرجة في المجموعة. مايكروسوفت أوفيس.، مثل الملفات النصية البسيطة (.txt). يمكن إدخال البيانات الموحدة، مثل العنوان والموضوع والبيانات على المؤلف، في مربع الحوار "خصائص علامة التبويب" الملخص من الملف المقابل. يتم تخزين البيانات الموجزة هذه في دفق بيانات ملائم بديل.

تطبيق تطبيقات Windows، مثل نظام تشفير الملفات (EFS) ومستكشف Windows، واستخدام تدفقات البيانات البديلة للإعلام عن ملفات البيانات الأخرى أو غيرها من ملفات البيانات إلى الملفات المخزنة على محركات الأقراص المنسقة ضمن نظام NTFS. ينضم برنامج EFS باستخدام تدفقات البيانات البديلة إلى معلومات الملفات المشفرة حول الترميز والكشف، مما يضمن إمكانية التشفير وفك التشفير اللامركزي عن طريق هذا البرنامج.

تم تنفيذها في حزمة خدمة Windows XP Service Pack 2 (SP2) تطبيق Microsoft متصفح الانترنت. (IE) يستخدم دفق بيانات بديل إضافي لتقديم تصنيف من مناطق الأمان المسجلة على وحدة تخزين NTFS. نتيجة لذلك، يوجد في IE القدرة على منع توسيع نطاق حقوق المستخدم للهجمات التي قد تحدث في المواقف التي يقوم بها المستخدم رمز ضار من أمن منطقة الأمان غير الموثوق بها وحفظ الرمز هذا على قرص ثابت محلي. أي يرتبط المحتوى المحفوظ محليا إلى منطقة أمان الجهاز المحلي، والتي تنص على توفير حقوق أطول من منطقة أمن الإنترنت. يتحقق حزمة XP SP2 دائما من دفق بيانات Security.zone قبل السماح بتعريف التعليمات البرمجية التي تم تنزيلها لأي إجراءات على النظام المحلي.

قناة للحصول على رمز ضار

تصبح تدفقات البيانات البديلة ذات السحب والخطيرة لسبب عدم عرض أسمائها ومحتواها في نافذة برنامج Windows Explorer. لذلك، فإن منظمي أنواع مختلفة من الهجمات يعتبرون مثل هذه الجداول بوسيلة مريحة لإخفاء البيانات أو رمز ضار وقع في النظام. مثال على استخدام هذه المواضيع يمكن أن يكون دودة [البريد الإلكتروني المحمي] استخدم المتسللون دفقا بديلا للاتصال بملف ODBC ملف واحد موجود من البرامج النصية متعددة في Visual Basic (VB).

عند تنشيط الدودة يخلق حساب مع السلطة الإدارية ويرسل أنفسهم إلى العناوين التي يكتشفها Microsoft Outlook نفسها في دفتر العناوين.

لا يتم عرض خطر آخر في حقيقة أن مساحة القرص المخصصة لتدفقات البيانات البديلة لا يتم عرضها في بيانات الحجم (الملفات) والمساحة غير القرص لبرنامج Windows Explorer. يمكن للمتسلل استخدام تدفقات البيانات البديلة لملء مساحة قرص خادم الملفات، وسيبقى المسؤول فقط لكسر الرأس، في محاولة للوصول إلى سبب المشكلة. بالإضافة إلى ذلك، يجب أن أقول أن الأداة المساعدة لسطر الأوامر DIR لا تأخذ في الاعتبار تدفقات البيانات البديلة عند حساب البيانات على الأحجام (الملفات والمجلدات). اليوم، لا توجد أداة Microsoft واحدة فقط يمكن أن تأخذ في الاعتبار تدفقات البيانات البديلة عند حساب الأحجام: هذه هي الأداة المساعدة Chkdsk.

إضافة تدفق جديد

يمكن لأي شخص لديه الحق في الكتابة إلى ملف NTFS استخدام الأوامر المعتادة لنظام التشغيل لإرفاق ملف دفق البيانات البديل. على سبيل المثال، يقوم الأمر التالي بإنشاء دفق بيانات بديل Mystream، يربط MyStream إلى الملف المسمى file.txt وحفظ العبارة "السرية العلوية" في مجرى Mystream.

echo Top Secret\u003e file.txt: mystream

عرض محتويات الدفق mystream باستخدام الأمر

كما ذكر أعلاه أعلاه، يمكن إضافة الملفات القابلة للتنفيذ إلى تدفقات البيانات البديلة. لذلك، هناك فرصة لإضافة نسخة مخفية حاسبة ويندوز (calc.exe) إلى ملف file.txt. للقيام بذلك، فقط أدخل الأمر

اكتب calc.exe\u003e \u200b\u200bfile.txt: calc.exe

لبدء حاسبة خفية، أدخل الأمر

start .file.txt: calc.exe

أنت نفسك يمكنك التأكد من عدم عرض تدفقات البيانات البديلة ومحتوياتها في الفائدة منتجات مايكروسوفتوبعد فتح برنامج ويندوز Explorer وعرض خصائص ملف file.txt فيه. في الواقع، حجم الملف هو 112 كيلو بايت (تحتل مساحة كبيرة من Calc.exe الملف المدمج) - ولكن البرنامج سيظهر حجم الملف إلى 0 كيلو بايت: في دفق بيانات البيانات $، لا توجد معلومات عن المدمج في الملف، و تطبيق ويندوز المستكشف ليس لديه القدرة على قراءة المعلومات من دفق البيانات البديلة.

من الواضح أن العديد من التهديدات ترتبط بتدفقات البيانات البديلة، وخاصة في الشبكات التي يكون فيها العمل على إصدار تصاريح لاستئناف موارد NTFS لا تدفع الاهتمام الواجب ولا يتم تثبيت التحكم في الوصول الثابت خوادم ويندوزوبعد هناك آلية حماية بسيطة قادرة على منع محاولات القراصنة لاستخدام تدفقات البيانات البديلة - نظام التحكم في الوصول NTFS. إذا لم يكن لدى المهاجمين إذنا لكتابة البيانات في ملف، فلن يتمكنوا من إنشاء تدفقات بيانات بديلة وإرفاقها على هذا الملف.

الكشف عن التغييرات

إذا كان لديك شعور بأن المتسللين تمكنوا من التخلص من شريك التصاريح القائمة، فاستخدم إحدى المتقدمة حاليا أدوات اكتشاف تدفقات البيانات البديلة. تتيح لك برامج اختبار سلامة النظام، مثل Tripwire Enterprise و TripWire للخوادم، تحديد جميع التغييرات في نظام ملفات NTFS التي حدثت في نظام Windows، بما في ذلك إضافة أو تغيير محتوى دفق البيانات.

برنامج برنامج SYSINTERNAL SYSTRITS هو أداة مساعدة سطر الأوامر المجانية تحدد أسماء تدفقات البيانات البديلة المرفقة بالملفات. على الشاشة 1 يوضح كيفية استخدام الأداة المساعدة Streams لعرض اسم تدفق البيانات Calic.exe، والتي سبق أن أضفناها مسبقا إلى ملف File.txt. يمكن تنزيل هذه الأداة المساعدة على http://www.sysinternalers.com/utures/striams.html.

طريقة أخرى بسيطة للكشف عن دفق بيانات بديل - مع باستخدام ويندوز نسخ مستكشف ملف مشبوه إلى ملف مع نظام ملف غير NTFS (على سبيل المثال، على محرك الدهون). أنظمة الملفات الأخرى غير مجهزة بوسائل للعمل مع تدفقات البيانات البديلة. لذلك، إذا حاولت نسخ ملف NTFS مع تدفقات بيانات بديلة مرفقة لوضعها في نظام ملفات آخر، فستعرض NTFS تحذيرا مشابها لتلك التي تظهر على الشاشة 2. ولكن ضع في اعتبارك أنه إذا قمت بنسخ هذا الملف في الأمر نافذة خط باستخدام نسخ ويندوز أمر سيقوم بنسخه إلى مختلف عن NTFS نظام الملفات وبدون تحذير سوف يزيل دفق البيانات.

إخفاء الموارد المشتركة باستخدام ABE

ابي هو ميزة إضافية مستويات مشاركة الملفات التي تنفذ Microsoft لأول مرة في الحزمة مشغل برامج وندوز 2003 المزود بحزمة الخدمة SP1. يمكن استخدامه في أي دليل Windows عام بغض النظر عن البيانات المشتركة لنظام الملفات المخزنة. يسمح ABE للمسؤولين بإخفاء المجلدات المخزنة على الموارد العامة والملفات من هؤلاء المستخدمين الذين ليس لديهم أذونات مناسبة للوصول إليها على مستوى NTFS. بمعنى آخر، نحن نتحدث عن ضمان الأمان في مستوى المجلد.

في الحالات التي لا ينطبق فيها ABE، والمستخدمين، الاتصال بالدليل الشائع، راجع جميع الملفات والمجلدات المنشورة على المورد العام، بما في ذلك تلك الخاصة بقراءةها لا توجد تصاريح، والوصول إليها التي يتم حظرها. عندما يحاول المستخدم فتح ملف أو مجلد، فإن الوصول إليه غير مسموح به، يصدر النظام رسالة خطأ مع شرح من حظر الوصول. يمكن أن تربط رسائل الخطأ هذه المستخدمين، بحيث يتيح لك تنشيط ABE تقليل دعم خدمة الدعم.

ومع ذلك، فإن استخدام ABE لديه ماضعيها الخاصة. قبل إرجاع قائمة بالكائنات الواردة في مجلد الكائنات المتصلة بمورد مشترك، يجب على الخادم التحقق من جميع قوائم التحكم في الوصول إلى هذه الكائنات: فقط بعد ذلك يمكن أن تحدد البيانات التي يجب إرجاعها. نتيجة لذلك، يجوز الإشارة إلى انخفاض كبير في أداء النظام، خاصة عند الوصول إلى موارد مشتركة تحتوي على العديد من الأشياء.

أدوات ABE مناسبة للتطبيق، على سبيل المثال، تكوين الموارد العامة في مديري المستخدمين المستخدمين. بدلا من إنشاء مورد عام مخفي للدليل الرئيسي لكل مستخدم، يمكنك إنشاء واحد الموارد المشتركةتحتوي على الدلائل المنزلية لجميع المستخدمين في مجلد الدليل الرئيسي Root. سيقوم المستخدمون بالاتصال بهذا الدليل الجذر هذا، ويمكنك استخدام ABE، بالإضافة إلى أذونات NTFS للتحكم في رؤية الدليل الرئيسي لجميع المستخدمين.

تنشيط وظيفة ABE

تستخدم هذه الميزة الوصول إلى SHI1005_FLAGS_ENFORCE_NAMSE_NAME_NAME_NAMST_ في الوقت الذي تتم فيه كتابة هذه الخطوط، يتم تنفيذها فقط حزم ويندوز 2003 SP1 والإصدار 2 (R2). هذه العلامة تعني أنك تستخدم وظيفة ABE لأحد المجلدات.

لتثبيت العلم، يمكنك استخدام ملحقات الخصائص. مجلدات ويندوز مستكشف أو سطر الأوامر ABECMD.EXE. توزع Microsoft Explorer ABE Explorer و ABECMD.EXE في حزمة تثبيت ABE، والتي هي وحدة إضافية. ل منصات ويندوز Server 2003 المزود بحزمة الخدمة SP1. يمكن تنزيل حزمة التثبيت من عقدة Microsoft على http://www.microsoft.com/downloads/details.aspx؟familyid\u003d04A563D 9-785-B03042-A485-B030AC442084. نظرا لأن ABE هو امتداد الخادم، فيمكن استخدامه بغض النظر عن إصدار Windows مثبت على العميل.

بعد تثبيت أدوات ABE على الخادم، يمكنك تعيين هذا العلم لمجلد معين. انقر على مجلد النقر بزر الماوس الأيمن، وحدد خصائص، انتقل إلى علامة تبويب التعداد المستندة إلى الوصول وتعيين التعداد المستندة إلى الوصول على علامة المجلد المشترك هذا، كما هو موضح على الشاشة 3. لتطبيق ميزة ABE على جميع الموارد العامة النظام، قم بتثبيت تطبيق "تطبيق" إعداد هذا المجلد إلى جميع المجلدات المشتركة الموجودة على هذا الكمبيوتر.

الطريقة الثانية هي استخدام أداة سطر الأوامر ABECMD.EXE. لتطبيق ميزة ABE على المورد العام SharedDocs، أدخل الأمر التالي:

aBECMD / تمكين Shareddocs

لتنشيط وظيفة ABE على جميع الموارد المتاحة، يمكنك استخدام المعلمة / جميع المعلمة، وتعطيل ABE - المعلمة / تعطيلها.

صلاحية التحكم صلاحية الدخول

ABE هي أداة بسيطة تسمح لك بالحد من صلاحيات المستخدم فقط إلى الملفات اللازمة للعمل. يمكن للمستخدمين العثور بسهولة الملفاتنظرا لأنهم لا يتعين عليهم واد من خلال المجلدات غير المرتبطة بالقضية، ولا يزعجون خدمة الدعم مع أسئلة حول سبب عدم وجود ملفات، تصاريح للعمل معها ليس لديهم.

لحماية من المتسللين باستخدام تدفقات البيانات البديلة، يجب على المسؤولين اتباع إعدادات التحكم في الوصول للموارد العامة واستخدام إحدى الأدوات المساعدة التي وصفها بي للكشف عن تدفقات البيانات البديلة المخفية، بالإضافة إلى تغييرات في نظام NTFS.

جان دي كيرك. (reclercq HP .com) - مكتب أمن الموظفين هيوليت -Packard. تشارك في إدارة الهوية والسلامة منتجات مايكروسوفتوبعد مؤلف البنية التحتية لأمان Windows Server 2003 (الصحافة الرقمية الصحافة). تمت إضافة دعم تدفقات البيانات البديلة (Altds) إلى NTFS للتوافق مع نظام ملفات HFS من Macintosh، والذي استخدم تدفق الموارد لتخزين الرموز وغيرها من معلومات الملفات. باستخدام Altds مخفية من المستخدم وغير متاح بالوسائل التقليدية. يعمل الموصل والتطبيقات الأخرى مع دفق قياسي ولا يمكنه قراءة البيانات من البديل. مع التصفافات، يمكنك بسهولة إخفاء البيانات التي لا يمكن اكتشافها بواسطة فحص النظام القياسي. هذه المقالة ستقدم معلومات أساسية عن عمل وتحديد التوفير.

خلق التصفافات.

خلق التصفافات سهلة للغاية. للقيام بذلك، نستخدم سطر الأوامر. لتبدأ، وخلق الملف الأساسي.التي سوف نعلق تياراتنا.

ج: \\\u003e صدى مجرد ملف نصي النص\u003e sample.txt

C: \\\u003e اكتب sample.txt
مجرد ملف نصي النص

بعد ذلك، سوف نستخدم القولون كشركة مشغل للإشارة إلى أننا سوف نستخدم Altds:

C: \\\\\u003e صدى يمكنك أن ترى لي\u003e sample.txt: secret.txt

يمكنك استخدام الأوامر التالية لعرض المحتويات:

ج: \\ أكثر< sample.txt:secret.txt

أو

C: \\ Notepad Sample.txt: Secret.txt

إذا كان كل شيء يعمل بشكل جيد، فسترى النص: يمكنك أن تراني، وعند فتح من الموصل، لن يكون هذا النص مرئيا. يمكن إرفاق التلمسون فقط بالملف فقط، ولكن أيضا إلى المجلد. للقيام بذلك، سنقوم بإنشاء مجلد ويضحك عليه

ج: \\\u003e md الاشياء
ج: \\\u003e مؤتمر نزع السلاح
ج: \\ الاشياء\u003e صدى إخفاء الاشياء في الاشياء\u003e hide.txt
ج: \\ الاشياء\u003e دير
الحجم في محرك الأقراص C لديه أي تسمية.
الرقم التسلسلي الحجم هو 40cc-B506Directory of C: \\ Stuff
09/28/2004 10:19 ص. .
09/28/2004 10:19 ص.…
0 ملف (s) 0 bytes2 dir (s) 12،253،208،576 بايت مجانا
C: \\ Stuff\u003e Notepad: Hide.txt

أنت تعرف الآن كيفية عرض وتحرير Altds المرفقة، وكذلك كيفية إرفاقها بالملفات والمجلدات.

الاختباء وإطلاق التطبيقات

إخفاء التطبيقات باستخدام التلقافات بسهولة كملفات الاختبار. لتبدأ، قم بإنشاء ملف أساسي مرة أخرى:

بعد ذلك، ضع طلبنا في الدفق، على سبيل المثال، استخدمت notepad.exe:

c: \\ windows\u003e type notepad.exe\u003e \u200b\u200btest.txt: note.exe

تأكد الآن من أن كل شيء في ملفنا هو نص أيضا:

C: \\ Windows\u003e اكتب Test.txt
اختبار

والآن الأكثر إثارة للاهتمام، إطلاق التطبيق المخفي لدينا:

C: \\ Windows\u003e ابدأ. \\ test.txt: note.exe
ج: \\ ويندوز\u003e

نظرا لأن هذه المقالة ليست ترجمة كاملة للمادة المتخذة، فقد تم تزيين موضوع بسيط. يمكن العثور على حفلات الاستقبال الإضافية في الرابط المشار إليه.

تحديث

الأدوات المساعدة للعمل مع التكلفة (قائمة مأخوذة من المقالة على الرابط أعلاه):

الفتيان - قائمة تدفقات البيانات البديلة من قبل فرانك هين
www.heysoft.de/frames/f_sw_la_en.htm.

streams.exe من sysinternals.

تتم كتابة المقالة لمجلة "هاكر" في عام 2004. خرجت في الغرفة 09/04 (69) تسمى "التدفقات المدمرة".

التقاط نظام NT التالي وإنشاء برنامج تجسس محلي الصنع فيه، من الضروري حل مشكلة تخزين المعلومات التي تم جمعها على جهاز الكمبيوتر الضحية. عادة ما يتم كتابة سجل في ملف بسيط في الكتالوج مع كمية كبيرة الملفات، على سبيل المثال، في system32.

ميزات NTFS.

هذا شائع، ولكن بعيدا عن أفضل طريقة إخفاء المعلومات على الكمبيوتر المحليوبعد هناك فرصة أن يلاحظ المستخدم ملفا إضافيا محدثا باستمرار، والتي ظهرت فجأة فجأة في دليل النظام الخاص به. إضافة سجل إلى ملف موجود؟ تحتاج أولا إلى العثور على مثل هذا الملف، مما يضيف المعلومات التي لن تفسد محتوياتها. ماذا عن الحفاظ على المعلومات في هذا المكان الذي لن يكون مرئيا من الموصل، ولا من سطر الأوامر، ولا من أي مدير الملفات؟ توفر لنا هذه الميزة نظام ملفات NTFS. نادرا ما نلتقي به على الشخص المعتاد الرئيسي الذي يتحدث، حيث لا يزال معظم المستخدمين يفضلون FAT32، حتى أولئك الذين يجلسون تحت XP. ولكن على الشبكة المحلية لأي شركة تعمل تحت WIN2K / XP، يتم استخدام NTFS بشكل شبه مؤكد، لأن نظام الملفات هذا يوفر ميزات مثل تعيين حقوق الوصول إلى المستخدمين والتشفير والضغط من الملفات. بالإضافة إلى ذلك، NTFS أكثر موثوقية من FAT32. لذا فإن طريقة إخفاء البيانات التي أصفها هي مثالية للتجسس الصناعي. مع ظهور Longhorn، لدى NTFS فرصة لتسوية وعلى المكونات المحلية، لأن نظام ملفات WINFS القادم، بناء على NTFS، وعود ميزات إضافية في الطلب والبحث عن المعلومات التي يجب أن تجذب المستخدمين العاديين.

السحب إلى ملف أي بيانات

الطريقة هي حفظ البيانات وليس إلى الملف، كالعادة، وفي دفق الملف NTFS. يمكن إرفاق الدفق بملف آخر (في هذه الحالة، لا يتغير حجمه، وتبقى البيانات سليمة، وبالتالي فإن الأدوات المساعدة التي تحقق من شرطة الملفات لن تلاحظ تغييرات) إلى الكتالوج أو القرص. تدفقات ملفات NTFS البديلة هي واحدة من إمكانيات NTFS، الموجودة فيها منذ أقرب وقت ممكن إصدارات Windows. NT. يكمن في حقيقة أن ملف واحد قد يحتوي على العديد من التدفقات التي تحتوي على بيانات، مع الخيط الرئيسي فقط يتم تخزين محتويات الملف. شيء مشابه في نظام ملفات HFS على أجهزة Mac. هناك المواضيع (التدفقات) تسمى المتفرعة (شوك). حتى وقت قريب، تم استخدامها كمستودع موارد الملفات أو معلومات مضمنة حول نوع الملف. مع ظهور MacOS X، أوصت Apple بوضع الموارد في ملفات منفصلةوأنواع الملفات لتحديد الملحقات. لكن دعم المتفرعة لا يزال على أي حال. في Windows، عادة ما تستخدم الجداول لتخزين أي للمزيد من المعلومات حول الملف. على سبيل المثال، قد يحتوي الدفق على ملخص مستند. إذا كان النظام على القرص باستخدام NTFS، فربما يحتوي ملف Explorer.exe على ملخص. اعتمادا على محتويات الملخص، تدفقات بأسماء التشكيلات، يمكن إرفاق المستندات في المستندات وبعض الآخرين بالملف. في جهاز الكمبيوتر الخاص بي، وجدت دفقا يدعى $ Mountmgrremoticadabase، المرفقة بمحرك الأقراص C.

على التدفقات المرفقة بملف الدفق يمكن أن تتعلم فقط في بعض الحالات، على سبيل المثال، عند نسخ ملف مع دفق مرفق إلى قرص مع FAT / FAT32. لا تدعمها أنظمة الملفات هذه، وبالتالي فإن النظام سيعطي طلبا لتأكيد فقدان المعلومات في التدفقات، مما يشير إلى اسمه. بالطبع، لن ينشأ هذا الوضع أبدا إذا تم إرفاق الخيط بالقرص أو إلى مجلد النظام. ليس من الضروري استخدام تدفقات برامج التجسس. إذا كنت مطورا لبرامج Shareware، فيمكنك بسهولة استخدام تدفقات معلومات التدفق بسهولة، وعدد الأيام قبل انتهاء صلاحية مصطلح الاستخدام، والكلمة، كل ما يجب إخفاؤه عن البرنامج الخاص بك.

العمل مع التدفقات

في العمل مع الملفات والتدفقات هناك أوجه التشابه، والاختلافات. يبدو أن لا كثيرا. يتم إنشاء كل من الملفات ودياراتها وحذفها بواسطة نفس ميزات Winapi CreateFile و Deletefile. يتم تنفيذ القراءة والكتابة، على التوالي، وظائف ReadFile و WriteFile. هناك أوجه التشابه في هذه التشابه، ثم تذهب بعض الاختلافات. في أسماء مؤشرات الترابط قد تحتوي على أخصائز لا يمكن أن تكون جزءا من اسم الملف العادي: مثل "*"، "؟"، "<”, “>"،" | ورمز الاقتباس. بشكل عام، يتم حفظ أي اسم من الدفق بتنسيق Unicode. لا يزال من الممكن استخدام الجداول من النطاق 0x01 - 0x20. لا توجد وظيفة Stream Stream Stream و Function: MoveFile و CopyFile لا تعمل مع المواضيع. ولكن لا أحد يزعجك لكتابة وظائفهم. المواضيع ليس لها أي سمات وإبداعية وتواريخ الوصول. يتم تورثها من الملف الذي يتم إرفاقه به. إذا كانت هناك أي بيانات في الملف نفسه، فيمكن أيضا تمثيلها كدفق. يتم عرض أسماء التدفق ك "اسم الملف: اسم Indoor: سمة". سمة الدفق القياسية التي تسمى البيانات بها بيانات $. هناك العديد من السمات الأخرى التي تبدأ أسماءها أيضا من علامة "$". محتويات الملف في دفق المسمى (Name_name :: $ بيانات). مع هذه الخاصية لنظام الملفات تمثل محتويات الملف في شكل دفق، كان هناك خطأ في أقدم إصدارات Microsoft IIS، عندما يكون القراصنة الذي أراد معرفة نص البرنامج النصي على خادم ضعيف، يضاف ببساطة إلى اسمه ":: $ بيانات"، والخادم، بدلا من تنفيذ البرنامج النصي، أصدر شفرة المصدر. العمل مع التدفقات مماثلة للعمل مع الملفات. إدراج 1. هذا مثال بسيط على البرنامج الذي يقوم بإنشاء ملف به دفق والمعلومات التي تكتب إليها. بعد بدء البرنامج، سيظهر ملف "TestFile" فارغا في دليله. يمكنك رؤية محتويات الدفق المرفق عن طريق الكتابة في سطر الأوامر "أكثر< testfile:stream». Как видишь, имя потока указывается после имени файла, отделенное от него знаком двоеточия. Самое трудное при работе с потоками – это получить их список для ملف معين.وبعد لا توجد وظيفة قياسية، وبالتالي عليك أن تكتبها بنفسك. اكتب صغيرا برنامج وحدة التحكموالتي من شأنها أن ترجع قائمة من التدفقات حسب اسم الملف. مثل هذا البرنامج هو الرجال من sysinternals، مع مفتوح المصدروهي تعمل، لكنني لم أحب طريقها. يستخدمون مكالمات API الأصلية، وبالتالي كودهم كبير ويصعب فهمه. سنكتب بروغ الخاص بك الذي سيعمل من سطر الأوامر، مع خوارزمية أبسط وميزات API القياسية.

نتلقى قائمة بالتدفقات

تعتمد الخوارزمية على تطبيق الوظيفة الخلفي. الغرض منه احتياطي النسخ الملفات. عندما تفعل دعم ملف، من المهم توفير أكبر قدر ممكن من البيانات، بما في ذلك تدفقات الملفات. تؤخذ المعلومات من هيكل Win32_Stream_ID. من هناك يمكنك الحصول على اسم الدفق والنوع والحجم. سنحتاج فقط إلى خيوط مثل backup_alternate_data. يتم وصف جميع الوظائف والهياكل في ملف Header Winnt.h. تحتاج أولا إلى فتح ملف قراءة باستخدام CreateFile. في المعلمة dwflagsandattributes، يجب عليك تحديد علامة file_flag_backup_semantics، والتي ستتيح لك فتح ليس فقط الملفات، ولكن أيضا الدلائل. ثم قم بتشغيل الدورة أثناء قراءة معلومات الملف في هيكل SID، حيث سنحصل على معلومات حول كل تيار. قبل تمرير الدورة التالية، نقوم بتنظيف الهيكل وتحويل مؤشر الملفات إلى مؤشر الترابط التالي باستخدام وظيفة Backupseek. بعد العثور على جميع التدفقات، نقوم بتنظيف LPContext التي تحتوي على معلومات الخدمة، وإغلاق الملف. يتم سرد كود المصدر للبرنامج في قائمة 2. بروغ محمول بالفعل يمكنك أن تأخذ من القرص الخاص بنا. للعمل مع الخيوط الاختيارية للكتابة برامج خاصةوبعد يمكنك أن تفعل شيئا مباشرة من سطر الأوامر. تظهر عدة أمثلة على الإدراج.

كشف

إرفاق التدفق بالمعلومات إلى أي شيء، من الصعب الوصول إلى محتواه، ولا يعرف اسمه. إذا كان الدفق يعلق على المنطقي، فلا يوجد أدوات قياسيةللكشف عنها. نظرا لأن اسم التدفق قد يحتوي على أحرف، غير صالح في أسماء الملفات العادية، فإنه يخلق صعوبات إضافية عند محاولة معرفة محتويات الدفق باستخدام سطر الأوامر. عادة ما يتم تخزين محتويات تقارير الوثيقة في مجرى بلقب يحتوي على رمز يحتوي على رمز 0x05. يمكن كتابة هذا الرمز في وحدة التحكم (CTRL + E)، ولكن إذا كان رمز 0x10 أو 0x13 (ترجمة النقل والصف)، فسيكون من المستحيل الاتصال بهم. من الناحية النظرية، يمكنك التعرف على التدفقات المرفقة عن طريق الصدفة، باستخدام بعض البرامج، والتي من المحتمل أن يكون لديك على جهاز الكمبيوتر الخاص بك. يحتوي WinRAR على خيار، وإذا تم تمكينه، فيمكنك ملاحظة أن حجم الملف الصغير الموضح في الأرشيف لا يتم تقليله فقط، ولكن حتى الزيادات (بسبب حقيقة أن البيانات الموجودة في التدفقات في وضعها أيضا في أرشيف). هذا يمكن أن يسبب الشكوك. برنامج لتتبع المكالمات إلى نظام الملفات - Filemonitor من نفس sysinternals - لا يؤدي إلى اختلافات بين الملفات أو المواضيع. تبعا لذلك، سيتم إصدار الدراسة اليقظة لسجل النداءات إلى قرص برنامج مشبوه (Keylogger) واسم التدفق حيث يتم كتابة السجل، واسم الملف المرفق عليه.

الفيروسات

في سبتمبر 2000، كان هناك فيروس أول يستخدم تدفقات ملفات بديلة لتوزيعها. كان W2K.K.Stream أول ممثل للنوع الجديد من الفيروسات - رفيق دفق. إنه يبحث عن ملفات في دليله .EXE، وإذا وجد، فإنه يبدأ عملية الإصابة. يتم إرفاق دفق إضافي بالملف الذي ينقل الفيروسات محتويات الملف الأصلي، ثم يتم نسخ جسم الفيروسات إلى دفق الملف الرئيسي. بعد بدء الملف المصاب، يحاول الفيروس مرة أخرى إصابة الملفات في دليله، ثم تطلق البرنامج من الدفق الإضافي. في الواقع، باستخدام ميزة CreateProcess التي يمكنك تشغيل عملية من الدفق. علاوة على ذلك، يمكن إزالة الملف مع الدفق بهدوء، وستبقى العملية. مجرد حكاية خرافية لأحصنة trojanov! على الرغم من حقيقة أنه منذ ظهور W2K.Stream قد مرت ما يقرب من أربع سنوات، لا تكون جميع مكافحة الفيروسات قادرة على اكتشاف التعليمات البرمجية الضارة في تدفقات الملفات. لذلك، قد يكون ظهور الديدان والفيروسات الجديدة باستخدامها خطرا خطيرا.

الفيروسات الأخرى باستخدام المواضيع

بالإضافة إلى W2K.Stream، وجدت التدفقات استخدامها في الفيروسات والديدان الأخرى. وكانت أول دودة تستخدم تدفقات الملفات i-worm.potok. يعلق هذا الحيوان الصغير العديد من الخيوط على ملف ODBC.INI في دليل Windows وتتاجر البرامج النصية لإرسال نفسك عن طريق البريد. فيروس آخر هو W2K.Team. وصف هذه الفيروسات المماثلة الأخرى التي يمكنك العثور عليها على الموقع http://www.viruslist.com/

العمل مع تدفقات وحدة التحكم

إنشاء ملف دفق:
اكتب nul\u003e somefile.txt: stream

دفق الدخول:
صدى "شيء" \u003e\u003e SomeFile.txt: Stream

قراءة التدفق:
أكثر< somefile:Stream

انسخ محتويات ملف موجود في الدفق:
اكتب file1.txt \u003e\u003e somefile.txt: stream

نسخ محتوى الدفق إلى الملف:
أكثر< somefile.txt:Stream >\u003e file2.txt.

إزالة الجداول

هناك رأي مفاده أنه لا يمكن حذف التدفق إلا مع الملف الذي يتم إرفاقه به. هذا ليس صحيحا. إذا كنت تعرف اسم الدفق، فيمكنك دائما حذفها باستخدام وظيفة Deletefile القياسية.

سرد 1. مثال على إنشاء دفق.

#تضمن. INT الرئيسي () () (DWAME COMTRET؛ التعامل مع الاسترجاع \u003d createfile ("testfile: stream"، generic_write، file_share_write، null_always، null، null، nullfile (hfile، "هذا هو دفق"، 17، وسكن، فارغة) ؛ closehandle (الاسترجاع)؛ العودة 0؛)

سرد 2. X-Stream: برنامج يظهر قائمة بالتدفقات

#تضمن. #تضمن. #تضمن. #تضمن. int _tmain (int argc، _tchar * argv) (win32_striam_id sid؛ zeromemory (& sid، sizeof (win32_stream_id))؛ dword dw1، dw2، dwread؛ int numofstreams \u003d 0؛ // المخزن المؤقت لاسم الدفق في Unicode whchar wszstreamname ؛ lpvoid lpcontext \u003d null lepcontext \u003d null؛ / * * افتح الملف لقراءة مع المعلمة * file_flag_backup_semantics، والذي يسمح لنا بفتح الملفات ليس فقط الملفات، ولكن أيضا الدلائل مع الأقراص. * / handle hfile \u003d createfile (argv، generic_read، file_share_read، null Open_Existing، file_flag_backup_semantics، null)؛ إذا (hfile \u003d\u003d balass_handle_value) (printf ("\\ nerror: هل يمكن" فتح الملف أو الدليل أو القرص٪ s \\ n "، argv)؛ خروج (0)؛) dword dowstreamheadersize \u003d (lpbyte ) & sid.cstreamname - (lpbyte) & sid + sid.dwstreamnamesize. printf ("\\ Nstrams المعلومات ل٪ s: \\ n"، argv)؛ بينما (خاطئ (HFILE (HFILE (LPBYTE) & SID، DAZSTREAMHEADERSIZE، & DWRWEAD، FALSE، TRUE، & LPCONTEXT)) (/ / إذا كان نوع التدفق غير صحيح، ثم مقاطعة دورة إذا كانت دورة (sid.dwstreamid \u003d\u003d backup_invalid) استراحة؛ zeromemory (& wszstreamname، sizeof (wszstreamname))؛ // الحصول على اسم دفق إذا: Backupread (HFILE، LPBYTE) WSZStreamName، SID.DWSTREAMNamesize، & Dwread، False، True، LPContext)) استراحة؛ إذا (sid.dwstreamid \u003d\u003d backup_data || sid.dwstreamid \u003d\u003d backup_alternate_data) (numofstreams ++؛ printf ("\\ n \\ n \\ t \\ t \\ t #٪ u"، numofstreams)؛ تبديل (sid.dwstreamid) (حالة backup_data : printf ("\\ nname: \\ t \\ t: data data")؛ استراحة؛ حالة backup_alternate_data: printf ("\\ nname: \\ t \\ t٪ s"، wszstreamname)؛ كسر ؛؛) printf ("\\ Nsize: T \\ T٪ U \\ n "، sid.size)؛) // انتقل إلى دفق Backupseek التالي (HFILE، SID.Size.lowpart، sid.size.highpart، & dw1، & dw2، lpcontext)؛ / / قم بتنظيف الهيكل قبل الممر التالي لدورة Zeromemory (& SID، Sizeof (SID))؛ ) / / نظيفة LPContext التي تحتوي على معلومات الخدمة // إلى العمل مبالغ لفوني (HFILE، NULL، NULL، & DWREAD، TRUE، FALSE، & LPCONTEXT)؛ / / أغلق ملف closehandle (HFILE)؛ العودة 0؛ في

يكون موضوع تدفقات الملفات أيضا ما يلي:

• برنامج NTFS Stream Explorer 2.00 للعمل مع تدفقات NTFS و

الغرض من هذه المادة لشرح المعنى
تدفقات البيانات الإضافية (تدفقات البيانات البديلة)
في أنظمة التشغيل شبابيك
إظهار كيفية خلقها و
حل وسط السيارة، وكيفية العثور عليها
الملفات المخفية باستخدام المتاحة بشكل عام
خدمات. الخطوة الأولى سوف تحتاج إلى أن تكون على علم
معنى الإعلانات وما الذي يهددون به، ثم
دعونا نرى كيف يتم استخدامها في القرصنة
وأخيرا، النظر في الأدوات
للكشف عن النشاط وكيف
وقف مزيد من العمل غير القانوني مع
معهم.

لماذا؟

يبدو أن تدفقات البيانات الإضافية في
ويندوز مع NTFS. في الواقع، بقدر ما أنا
أنا أفهم، لم يكن هناك نقطة معينة لهم - هم
صنعت للتوافق مع HFS، القديم
نظام ملفات Macintosh - نظام الملفات Hierachical. عمل
أن نظام الملفات هذا يستخدم
كل من فرع البيانات وفرع الموارد ل
تخزين المحتوى. فرع البيانات
وفقا لذلك، مسؤولة عن المحتوى
وثيقة، وفرع الموارد ل
تحديد الملفات - نوعها وغيرها
البيانات. الآن وقت الوجود
تيارات إضافية من المستخدمين العاديين
قليل من الناس يعرفون. ومع ذلك، في عالم الكمبيوتر
الأمن لديهم بعض
انتشار. على سبيل المثال، المتسللين الشر
استخدم الإعلانات لتخزين الملفات
اخترق أجهزة الكمبيوتر، وكذلك في بعض الأحيان
تطبيق الفيروسات وغيرها من البرامج الضارة. عمل
بعد كل شيء، كل شيء هو أن هذه الجداول ليست كذلك
ينظر إليها من قبل الأساليب التقليدية، نفس الشيء
موصل أو من خلال سطر الأوامر. من
هل هذه تيارات مثيرة للاهتمام؟ وما في حالة
التحقيقات في القرصنة لا تدفع دائما
الانتباه إليهم، إلى جانب ذلك، وليس كل الفيروسات
بشكل افتراضي، انظر من خلال التدفقات
البحث عن البرامج الضارة.

للعمل

من أجل فهم خطر حقيقي
الإعلانات أفضل توضح العمل معهم.
في المثال، باستخدام MetaSploit Framework اختراق
داخل السياره. لهذا نستخدم الضعف
MS04-011 (LSASS). ثم بمساعدة ملفات تعبئة TFTP،
التي وضعت في تدفقات إضافية
البيانات. بمجرد الانتهاء
تشغيل الجهاز البعيد من الأمر
صفوف الماسح الضوئي الذي يقوم بمسح الشبكة
توافر الأجهزة الأخرى. ملحوظة،
أن مؤلفي ميتاسافلويت الإطار شريطة
إنشاء metasploit التوقيع، بحيث المبدعين
برامج واقية يمكن أن تحدد الحزمة
المنتهية ولايته من MF. الانتباه إلى الحزمة،
المنتهية ولايته من المهاجم:

هنا 192.168.1.102 مهاجم الكمبيوتر
وهو إطار metasploit، و 192.168.101 -
شركات عرضة مع WIN2K Prof. في هذه الحالة، المحور
تعيين بدون بقع و spars الخدمة،
حصريا للحصول على أهداف مظاهرة
:). يرجى ملاحظة أن الإعلانات نفسها ليست كذلك
مفيدة جدا، أنها بطبيعة الحال من فضلك
المهاجم فقط إذا كان هناك
الوصول إلى السيارة، ثغرة الأمن في النظام
نظام التشغيل. في هذه الشبكة
من غير المرجح أن تجد W2K غير مقطوع، لذلك
سوف تضطر إلى البحث عن مبادئ أخرى
اختراق.

أدناه نرى أن الهجوم كان ناجحا وعلى
آلة المهاجمة هي قذيفة مفتوحة عكسية،
تم التوصيل. الافتراضي لهذا
نقاط الضعف في Metasploit استخدام المنفذ 4321،
ومع ذلك، يمكن تغييره:

تخترق السيارة يجب أن تمر هناك
الملفات. للقيام بذلك، استخدم TFTP، في هذا
القضية نحصل على ipheye.exe.

بنفس الطريقة، نقوم بتنزيل psexec.exe، pslist.exe و
klogger.exe. دعونا نفعل قائمة الدليل C: \\ Compaq \\،
حيث انهار كل شيء:

تبادل لاطلاق النار الآن ipeye.exe مع تيار،
المرتبطة ملف موجود
test_file.

ثم يمكن القيام بذلك وتقلص
الملفات الأخرى اللازمة.
لاحظ أن البديل
يمكن تنظيم الدفق ليس فقط
الملفات، ولكن أيضا للحصول على الدلائل، نفس C: \\ K
مثال. تشغيل الماسح الضوئي الذي نحن
تحدث في البداية، ipeye.exe، على المصابة
الحاسوب:

ج: \\ compaq \\ test_file: ipeye.exe

(يتبع)

غير مرئية على ما يبدو

لم يكن قارئ بلوق فيكتور قادرا على تشغيل البرنامج النصي PowerShell الذي تم تنزيله من الإنترنت. جعلت القراءة اليقظة لتعليماتي من الممكن تجنب مشكلة، لكن جذرها لم يكن على الإطلاق في سياسات أمنية صارمة PowerShell.

victor تحميلها من أرشيف معرض Technet مع PSWindowsupDate.zip للسيطرة تحديث ويندوز.قلت عنه. ومع ذلك، رفض البرنامج النصي التفريغ العمل. عندما دفعت القارئ إلى أنه في الفقرة الأولى من تعليماتي، يقال عن الحاجة إلى فتح الأرشيف، كل شيء ذهب مثل النفط.

طلب فيكتور شرح سبب حظر النظام البرنامج النصي، وأين تعرف أن الأرشيف قد تم تنزيله من كمبيوتر آخر.

بصراحة، موضوع اليوم ليس نوفا، لكنني قررت تسليط الضوء عليه في مدونتي لعدة أسباب:

• مكتوب العديد من المقالات مرات ويندوز XP أو Windows 7 ولا تأخذ في الاعتبار ميزات المدمج في Microsoft OS الجديد Microsoft.
• في إحدى المقالات المخطط لها في المستقبل القريب، يتم تناول هذا الموضوع، ومن الأسهل بالنسبة لي أن أشير إلى المواد، لأهمية وصحة التي أجب نفسي.
• تتمتع المدونة بجمهور كبير، وبالنسبة للعديد من القراء، سيظل هذا الموضوع في الجدة :)

اليوم في البرنامج

تدفق البيانات NTFS

يرسم Windows معلومات حول مصدر الملف من دفق البيانات البديلة (دفق البيانات البديل، الإعلانات التالية) نظام الملفات NTFS. في خصائص الملف، يكتب ذلك بشكل متواضع أنه من كمبيوتر آخر، ولكن في الواقع يعرف أكثر قليلا، كما سترى.

من وجهة نظر NTFS، فإن الملف هو مجموعة من السمات. محتوى الملفات هو سمة من البيانات مع اسم بيانات $. على سبيل المثال، ملف نصي مع الخط "مرحبا، العالم!" لديها سمة البيانات "مرحبا، العالم!"

في بيانات NTFS $ بيانات $ هي دفق البيانات وتسمى Basic أو Unnamed، لأن ... لا يحتوي على اسم. رسميا، يبدو أن هذا:

بيانات $: "

• بيانات $. - اسم أسطوانة
• : - محدد
• "" - اسم فيضان (في هذه الحالة، الاسم مفقود - لا يوجد شيء بين علامات الاقتباس)

ميزات مثيرة للاهتمام من تدفقات البيانات البديلة

في سياق الأمثلة، أريد أن أذكر بعض اللحظات الغريبة.

التغييرات غير المرئية

بعد إنشاء أمر ملف نصي الأول، يمكنك فتحه محرر النص وتأكد من أن جميع التلاعب الإضافي لا تؤثر على محتويات الملف.

يصبح مثيرا للاهتمام عندما يكون الملف مفتوحا، دعنا نقول، في المفكرة ++. يمكن أن يحذر هذا المحرر حول تغيير الملف. وسوف يفعل ذلك عندما تكتب دفقا بديلا إلى الملف، ومع ذلك، سيبقى المحتوى هو نفسه!

تسجيل وعرض الإعلانات من CMD

يمكن إنشاء الإعلانات وعرضها من سطر الأوامر. سجل الأوامر التالية النص المخفي في الإعلانات الثانية المسماة mystream2، ثم عرضها.

ECHO نص مخفي\u003e C: \\ temp \\ test.txt: mystream2 more< C:\temp\test.txt:MyStream2

عرض الإعلانات في محرري النص

سوف تظهر لك نفس المفكرة ++ محتويات الإعلانات، إذا قمت بتحديد اسم التدفق في سطر الأوامر

"C: \\ ملفات البرنامج (X86) \\ Notepad ++ \\ Notepad ++. exe" c: \\ temp \\ test.txt: mystream1

نتيجة:

مع المفكرة، سيعقد هذا التركيز إلا إذا كان هناك في نهاية اسم التدفق .رسالة قصيرةوبعد تتم إضافة فرق أقل من الإعلانات الثالثة وفتحها في دفتر الملاحظات.

ECHO نص مخفي\u003e C: \\ temp \\ test.txt: mystream3.txt notepad c: \\ temp \\ test.txt: mystream3.txt

نتيجة:

قفل الملفات التي تم تنزيلها

دعنا نعود إلى السؤال الذي سألتني القارئ. ما إذا كان سيتم حظر الملف في المقام الأول على البرنامج الذي تم تنزيله فيه، وفي الثانية - من معلمات نظام التشغيل. لذلك، جميع المتصفحات الحديثة دعم حظر، وتم تمكينه في ويندوز.

تذكر أنه عندما يتم حظر الأرشيف، سيتم حظر جميع الملفات غير المصنفة "عن طريق الوراثة". أيضا، لا تنس أن الإعلانات هي وظيفة NTFS، I.E. عند حفظ أو تفريغ الأرشيف على FAT32 لا يحدث حظر.

عرض معلومات حول مصدر الملف المؤمن

في PowerShell، انتقل إلى المجلد باستخدام الملف الذي تم تنزيله وإلقاء نظرة على معلومات حول جميع المواضيع.

Get-item. \\ pswindowsupdate.zip-ream * اسم الملف: c: \\ users \\ vadim \\ downloads \\ pswindowsupdate.zip طول دفق ------------: $ بيانات $ 45730 المنطقة.

كما تعلمون بالفعل، $ البيانات هي محتويات الملف، ولكن تظهر القائمة في القائمة المنطقةوبعد هذا هو تلميح شفافة تم الحصول على الملف من نوع من نوعه. أنت تعرف، أين تأتي هذه الصورة؟

لمعرفة المنطقة، تحتاج إلى قراءة محتويات الإعلانات.

الحصول على محتوى. \\ pswindowsupdate.zip - المنطقة - المنطقة

من الواضح أنه يهدف إلى فتح الدفعة (على سبيل المثال، عندما يتم فك الأرشيف بالفعل). يقوم الأمر أدناه بإلغاء تأمين جميع الملفات التي تحتوي على مجلد التنزيلات ملاحظة.:

Dir C: \\ DRAILS \\ * PS * | إلغاء حظر الملف.

بالطبع، هناك كل أنواع المرافق مع واجهة رسومية، حتى قادرة على الاندماج في قائمة السياقوبعد ولكن، في رأيي، PowerShell أو في أسوأ هندامز هو ما يكفي تماما.

كيفية منع حظر الملف

الحظر مسؤول عن سياسة المجموعة وليس لتخزين المعلومات حول منطقة منشأ الملفات المتداخلة. من العنوان، يتبع هذا الحظر هو سلوك Windows القياسي، والسياسة تسمح لك بتغييره.

ومع ذلك، ليس من الواضح من الاسم الذي تنطبق عليه السياسة ليس فقط الاستثمارات البريديةلكن الملفات التي تم تنزيلها من الإنترنت. اقرأ المزيد عن المرسل الاستثماري في KB883260.

في الإصدارات المنزلية من سياسي المجموعة، لا يوجد، ولكن لم يتم إلغاء السجل: SavezoneInformation.zip.

أمثلة أخرى على طلب الإعلانات العملية

لا تقتصر مجال تطبيق الإعلانات على إضافة منطقة الملف الذي تم تنزيله، حيث لا تخزن بالضرورة في النص فقط النص. يمكن لأي برنامج استخدام وظيفة NTFS هذه لتخزين أي بيانات، لذلك سأقدم سوى أمثلة فقط من مناطق مختلفة.

البنية التحتية تصنيف الملفات

عن المؤلف

مواد مثيرة للاهتمام، شكرا. لقد تعلمت شيئا جديدا حول PowerShell، الذي لا يزال لدي مألوفة قليلا :)

للتواصل مع العائلة، نستخدم WhatsApp في كثير من الأحيان - في حين أن هذه الخدمة لها مشاكل أقل، حتى أتقن الوالدين هناك. تتصل الاتصال أيضا بشكل رئيسي للعائلة، على الرغم من وجود تبادل المراسلة هناك حول ألبومات منشورة بشكل رئيسي مع الصور ومقاطع الفيديو. بعض الأقارب يحتفظون بالولاء في Viber - لم أكن أحملها بطريقة أو بأخرى، فقط احتفظ بها لهم، دون مغادرة محاولات لسحبها واتخاذها في WhatsApp.

للعمل في الغالب الركود، عندما شيء عاجل - Whatsapp، عاجل جدا - الرسائل القصيرة. vkontakte للتواصل مع العالم الخارجي.

Skype أنا استخدم فقط لمكالمات الفيديو، معظمها مع العائلة مرة أخرى. سأكون سعيدا لاستبدالها في WhatsApp، كن هناك مكالمة فيديو.

uRIX.

يحتوي Viber الآن على مكالمات فيديو، وحتى مكالمات الفيديو للحصول على إصدار سطح المكتب. لذلك قد يكون، سوف يكون viber سكايب التالية ... بمعنى جيد

أندريه كوزنتسوف

المواد مثيرة للاهتمام، شكرا لك. كنت أعرف عن وجود تيارات، لكنني لم أكن أعرف ذلك معهم من السهل العمل من خلال Powershell.
أما بالنسبة ل IM: لدي شكاوى حول وقت الإطلاق على هاتف Windows. لا توجد مشاكل في باد ونوافذ. يمكنني استخدام الاتصالات الصوتية عندما لسبب ما، من غير المريح استخدام GSM.
والمراسلات من خلال WhatsApp. وجودها فقط على الهاتف هو زائد إلى حد ما، من حيث الخصوصية.

• أندريه كوزنتسوف: والمراسلات من خلال whatsapp. وجودها فقط على الهاتف هو زائد إلى حد ما، من حيث الخصوصية.

  أندريه، شرح ما هو زائد

Pavlovsky Roman.

1. أستخدم معظم الأحيان: Skype and Hangouts - على العمل على جهاز كمبيوتر، وبقية مراسلات Vkontakte من أي جهاز، نظرا لأن العملاء للعمل عادة يجلسون عادة على سكايب والأصدقاء والمعارف في الشبكات الاجتماعية.

2. أود استخدامه بشكل مثالي: Jabber - للمراسلات والمكالمات من أي أجهزة. بالنسبة لي، يمكن تثبيت العميل على أي جهاز وإعادة كتابة المكان الذي لن يكون فيه المستخدم، حتى على اتصال إنترنت ضعيف +، يمكنك نشر خادم Jabber الخاص بك على هذا وتخزين جميع المراسلات على الخادم حتى تتمكن من ذلك بسرعة ابحث عن المراسلات اللازمة، إذا كان العميل لا يعرف كيفية تخزين القصة، ويمكن العثور على الإضافات للمكالمات عبر Jabber (على سبيل المثال، من خلال نفس SIP ASTerisk 1.8+)

أندريه بايتاكوف

في معظم الأحيان أستخدم WhatsApp (أساسا للعمل)، للمكالمات (المكالمات الصوتية / الفيديو / الدولية) Skype. على الرغم من أن Skype Desktop Skype ينتهي بشكل رهيب (لدي محول وفي المنزل، فأني استخدمه في الغالب ككمبيوتر لوحي) ... Viber - لم أكن لائقا. للاتصال عبر WhatsApp، تحتاج إلى وجود أعصاب الحديد ببساطة. ستقول شيئا ما إلى المحاور وانتظر دقيقة أو دقيقتين عندما يسمعك (اتصال 50 مترا) ...
سيكون لدينا الفرصة للذهاب تماما على سكايب. على نظام التشغيل Windows 10 Mobile، بعد التحديث الأخير للرسالة من Skype، تعود مباشرة إلى تطبيق الرسائل المدمج (كما SMS)، وهو مناسب للغاية.

حكمة - قول مأثور.

1. بدء القلب أستخدم ICQ (للعملاء الرجوع) والركود (للحصول على المزيد من الحديثة).
2. أرغب في استخدام Jabber - لأسباب نفسها أن رومان بافلوفسكي أعلى.

فلاديمير كيريوشين

مرحبا فاديم!
اقرأ مقالك حول هذه المقالة حول كيفية قراءة التقرير قرص النظام فريق chkdsk. مقال ممتاز! بفضلها اليوم، بعد تناول أمر Chkdsk لقرص النظام، تلقيت تقرير ملف نصي. وتوضح هذه المقالة أيضا الكثير من الأشياء برنامج Powershellوبعد شيء بالنسبة لي المتقاعد غير مفهوم، لكنني أحاول عدم الذعر وقراءة بقوة حتى النهاية. شكرا لك على دراستك التي تنفقها معنا! كل ما هو جيد!

ليكرون

ما المتصفحات وبرامج التنزيل إنشاء هذا الدفق؟

ما هي الخيارات الأخرى لاستخدام التدفقات من قبل المستخدم؟ وعلى وجه الخصوص، المستخدم هو كاتب كتابي؟ منذ ذلك الحين، على الرغم من أنني أعرف عنها لفترة طويلة، إلا أنني لم أستخدمها أبدا. مع العمل الحقيقي مع الكمبيوتر، فإنهم ببساطة لا يتذكرونهم، وبسبب هذا، ربما العكازات، بدلا من ذلك أداة مريحة، دون هذا العمل، في الذاكرة، لا تفكر في أي شيء.
أدركت فقط عن إصدار واحد. التعليق على الملف، إذا لم يكن هناك احتمال أو رغبة في كتابة نص طويل في اسم الملف. ولكن بالنسبة لهذا تحتاج إلى دعم من ملف المدير، والذي في وقت سابق، والآن، يكتبها في descript.ions.bbs.

سرعة المعلم.

تقنية القمامة أخرى مثل مجلة USN. هل أنت الكثير من الاستخدام من المنطقة أو من الفيروس المرفقة بالقط أو المجلد؟ بالطبع لا. علاوة على ذلك، هذا نظام غير ضروري من قبل غير ضروري، بأي حال من الأحوال "الفرعية" ليست ضرورية. كل قراءة غير ضرورية في كتالوج MFT وغيرها من العمليات المتعلقة بصياغة ومحتوى التدفقات البديلة، هذه دورات معالج قضيب إضافي، ذاكرة الوصول العشوائيوالأهم من ذلك الحمل الزائد على القرص الثابت.
يمكنك أن تخبرني أن هذه التكنولوجيا تحتاج إلى حد كبير من قبل النظام. ولكن هذا هراء - سيعمل النظام بشكل مثالي بدون مؤشرات. ولكن لا أحد يسأل المستخدم - لقد تحولوا (كججل USN) والقدرة على تعطيل صيانة هذه التدفقات تماما. لكنني لا أحتاج إلى المستخدمين لأنفسنا، وأعتقد أنك ...
كل ما يمكننا فعله هو "تدفقات -S -D٪ SystemDrive٪". ولكن لا يسمح بإزالة التدفقات على قسم النظام.

الكليز كاديف.

تسمى التدفقات - الشيء الممتاز، وهناك، بقدر ما أتذكر من الإصدار الأول من NTFS. في التدفقات المسماة، من المريح المتجر، على سبيل المثال، إصدار المستند الذي إذا لم أكن مخطئا عددا من التطبيقات وفعلته. ولكن يبقى كمين مع نسخ إلى نظام ملف آخر - يتم إيقاف تشغيل التدفقات المسماة.

إنه لأمر مؤسف للنسخ من المستحيل أن يكون من المستحيل على العديد من الرسل: أستخدم بعضا، لأن بعض جهات الاتصال الخاصة بي تفضل بعض بعضها البعض. لذلك، أنا استخدم WhatsUp، ICQ (على الرغم من، بالطبع، ليس عميلا الأصلي)، سكايب، Skypeforbusiness (رعب هادئ، وليس عميلا، ومع ذلك، عندما كان يسمى Lync كان أسوأ) و Viber (SPAM هنا أكثر من آخر مرة واحدة على الأقل في 5).
وبشكل مثالي، استخدم بعضها مثاليا، مثل ميراندا مع المكونات الإضافية، لأنه إذا لزم الأمر، من، حيث، أين قلت / كتب شيئا ما في كل هذا الكومة غير واقعي. لكن للأسف، عدد من الشركات المصنعة تغلق بروتوكولاتهم وحمايتهم إبرةهم.

فلاديمير كوكاريف.

VSH.

فاديم ستيركين.: روماني، أنا لم أحاول جابر في المسح. قررت أن هناك عدد قليل من الناس يستخدمون ولا احتمالات.

بلا فائدة
على سبيل المثال، أستخدم OpenFire (Freeware XMPP) كإدارة مكتبية على عدة مجالات.

لذلك، لدي XMPP الرئيسية (pidgin.exe، spark.exe)، ولكن 99.8٪ من هذه الرسائل تتزايد.
سكايب - ل IM الخارجية
Whatsapp و Viber - ل "العلاقات العشوائية"، أشهر N أشهر فقط البريد المزعج، وأعتقد - لا تزيل؟

ارتيم

لدي كل شيء لسبب ما في Vaiber. وجودة الاتصالات مناسبة تماما. وهكذا فإن البرقال سوف. نعم فارغة هناك.

حازفة.

1. سكايب (على جهاز الكمبيوتر) و Viber (على الهاتف المحمول). والأسباب هي أساسا مثل معظم جهات الاتصال وبطبيعة الحال عدم رغبة هذه الاتصالات لهذه الاتصالات، للنقل إلى رسول آخر.
2.utox. مصغرة، لا شيء لا لزوم لها، عميل للفوز، لينكس، ماك واندرويد. وضعت كمحمية.
ملاحظة. سيقوم Shazhiz بمعالجة يجب أن يكون لها مثالية :-)

Evgeny Karelov.

شكرا لك على عملك!

فيما يتعلق بإجراء مسح، على جهاز كمبيوتر لاستخدام مراسلات QIP 2012 التي يتم فيها توصيل جهات اتصال ICQ و Vkontakte وغيرها. شخصيا، من المريح بالنسبة لي استخدام برنامج واحد للتواصل مع العديد من البروتوكولات. نعم، والقدرة على عرض أشرطة الشبكات الاجتماعية من مكان واحد سعداء للغاية. من الناحية المثالية، لا يوجد ما يكفي من دعم Skype، الذي أستخدمه للاتصال الصوتي، لكنه لن يظهر.
على الرغم من أن هذا البرنامج يبدو وكأنه "التخلي"، لأن التحديثات لم تذهب منذ وقت ليس ببعيد، فإن الوظائف المعينة تؤدي تماما.

شتوير.

مثيرة للاهتمام Messanine من موضوع النشر حول تدفقات البيانات والمسح على IM.

وفقا لمسح: Jabber / Jabber، الذي لم يدرك في القائمة، على الرغم من وجود OTCUP، بناء على XMPP، وحتى الذهاب إلى نجاح Asechka.

يحل Jabber بشكل عام جميع المشكلات المشار إليها بسبب انفتاح البروتوكول، وتوافر العملاء للعديد من المنصات وتوافر الخوادم التي يمكن رفعها بشكل مستقل. لكن الصبار المضغ أكثر تقليدا، نعم.

• في قائمة العملاء، وليس البروتوكولات.
  ICQ ... حسنا، لم أضع الرموز هناك، لأنه يجب أن يكون واضحا جدا.
  Jabber بالضبط لا يحل مشكلة واحدة - لا يوجد أحد.

  • شتوير.

    فاديم ستيركين.: في قائمة العملاء، وليس البروتوكولات.

    بسبب حقيقة أن البروتوكول و رموز المصدر يتم إغلاق العميل الرسمي، يتم إنشاء الهوية العادية بين العميل الوحيد والبروتوكول.

    فاديم ستيركين.: ICQ ... حسنا، لم أضع الرموز هناك، لأنه يجب أن يكون واضحا جدا.

    Rotina MailRushechka لا يكفي أن Aschek يموت الموت الطبيعي - فهي أيضا المزيد من الجهود لجعلها أسرع.

    فاديم ستيركين.: Jabber لا يحل مشكلة واحدة بالضبط - لا يوجد أحد.

    ومع ذلك، لكي كتب لك برقية نفسك

    يبدو رائعا، ولكن هناك فارغة (وهو قابل للتغيير)

    كان لدى Jabber كل فرص أن تصبح نفس الشيء من اليوم هو نظام بيئي للبريد الإلكتروني (الانفتاح الكامل للبروتوكول، والقدرة على رفع الخوادم الخاصة بك إلى أي شخص وضمان التفاعل بين الخوادم، وما إلى ذلك)، ولكن ليس من الضروري للشركات، وهو ممتاز في المعرض منه جوجل أو استعادة غلاف.

    • للبرقية - مثبت، ل Jabber - غير مرجح للغاية. لذلك، الأول في القائمة، ولكن الثاني ليس كذلك.

      • شتوير.

        بالطبع، برقية هي أنيقة، عصرية، شباب، وجابر لا أحد يحب باشا دوروف لا يتحرك. ما هي آفاق هنا.

        GM ... نعم، خرج من خزانك نظريات المؤامرة "العالم كله ضد البرمجيات الحرة". كل شىء أسهل بكثير

        

        إذا كانت غير مفهومة، فهي تبدو وكأنها تجربة أولى التفاعل مع عميل Jabber الموصى به رسميا على منصة المحمول الأكثر شيوعا.

        شتوير.

      • لم أفهم قليلا، حيث في تعليقاتي حول المؤامرة.

        نعم، في كل مكان :) أنت تحاول كتابة فشل Jabber لغير الجفاف وغير التواضع، في حين لا يتم تكييف عملائها من الشاشة الأولى للحصول على حقيقة حديثة.

        ماذا يجب أن أرى في لقطة الشاشة؟

        عرض أدخل رقم الهاتف ~~~ O ~

      شتوير.

      شتوير.: أنت تحاول كتابة فشل Jabber لغير الجفاف وسهولة

      حسنا، إذا كان الأمر كذلك.

      شتوير.: في حين لا يتم تكييف عملائها من الشاشة الأولى للواقع الحديث.

      أولئك. إلى الأزياء الحالية، مثل الكشف عن رقم هاتفك للجميع. لأنني لا أفهم لماذا من الضروري إدخاله، إذا لم يكن هناك حاجة لنظام النظام، فمن أجلك، فهو جميل تماما أنه لم يسأل هنا.

      في الواقع، تخلت عن Asechka، على الرغم من العديد من الاتصالات المتبقية هناك، كان لهذا السبب أن Mairushechka في شكل نهائي طالب بربط رقم هاتف للحساب، ونتيجة لذلك تم إرسالها وفقا للإحداثيات المعروفة.

      نعم، لا أفهم، حتى بعد التفسيرات مع الصور ... ليست هذه هي الطريقة الوحيدة لتبسيط التسجيل أجهزة محمولةالذي يشكل أساس جمهور الرسل الحديث والمصدر الوحيد لنموها.

      شتوير.

      في طلب لقطة شاشة باسم وكلمة المرور واللقب الاختياري. أين تبسط شيئا أقوى؟ أو بالإضافة إلى طلاب المدارس الإصلاحية، لم تعد هناك لم تعد هناك الاحتياطيات لنمو الجمهور، وينبغي أن "القيام به ليوم * باسم"؟
      لماذا يوجد رقم هاتف بشكل عام وأن المراسلة يجب أن يفعله برقم الهاتف؟