قائمة طعام
مجاني
التسجيل
الصفحة الرئيسية  /  النصيحة/ كيفية إخفاء البيانات في تدفقات NTFS. ميزات نظام الملفات NTFS

كيفية إخفاء البيانات في تدفقات NTFS. ميزات نظام الملفات NTFS

في هذا الموضوع ، سألقي نظرة على أربعة أنواع من البيانات الوصفية التي يمكن إرفاقها بملف أو دليل عن طريق نظام الملفات NTFS... سأصف الأغراض التي يمكن من أجلها استخدام هذا النوع أو ذاك من البيانات الوصفية ، وسأقدم مثالاً على تطبيقه في أي تقنية من تقنيات Microsoft أو برنامج تابع لجهة خارجية.

سنتحدث عن نقاط إعادة التوزيع ومعرفات الكائنات وأنواع أخرى من البيانات التي يمكن أن يحتوي عليها الملف بالإضافة إلى محتواه الرئيسي.

معرف الكائنيمكن إرفاقه بملف أو دليل 64 بايت. من بينها ، تتيح لك أول 16 بايتًا تحديد الملف بشكل فريد داخل المجلد والإشارة إليه ليس بالاسم ، ولكن بالمعرف. يمكن أن تحتوي البايتات الـ 48 المتبقية على بيانات عشوائية.

توجد معرفات الكائنات في NTFS مع مرات Windows 2000. في النظام نفسه ، يتم استخدامها لتتبع موقع الملف المشار إليه بواسطة الاختصار (.lnk). لنفترض أن الملف المشار إليه بالاختصار قد تم نقله داخل المجلد. عند تشغيل الاختصار ، سيظل مفتوحًا. مميز خدمة الويندوزإذا لم يتم العثور على الملف ، فسيحاول فتح الملف ليس باسمه ، ولكن بواسطة معرف تم إنشاؤه وحفظه مسبقًا. إذا لم يتم حذف الملف ولم يترك وحدة التخزين ، فسيتم فتحه وسيشير الاختصار إلى الملف مرة أخرى.

تم استخدام معرّفات الكائنات في تقنية iSwift لإصدار Kaspersky Anti-Virus 7. توصف هذه التقنية على النحو التالي: التكنولوجيا مصممة للملف أنظمة NTFS... في هذا النظام ، يتم تعيين معرف NTFS لكل كائن. تتم مقارنة هذا المعرف بقيم قاعدة بيانات iSwift الخاصة. إذا لم تتطابق قيم قاعدة البيانات مع معرف NTFS ، فسيتم فحص الكائن أو إعادة فحصه إذا تم تغييره.

ومع ذلك ، تسببت وفرة المعرفات التي تم إنشاؤها في حدوث مشكلات في فحص القرص باستخدام الأداة المساعدة القياسية شيكات chkdsk، فقد استغرق الأمر وقتًا طويلاً. في الإصدارات التالية من Kaspersky Anti-Virus ، لم يعد يتم استخدام معرف كائن NTFS.

نقطة إعادة التوزيع

في نظام الملفات NTFS ، يمكن أن يحتوي الملف أو الدليل على نقطة إعادة التوزيع ، والتي تُترجم إلى الروسية كـ نقطة إعادة التوزيع... تتم إضافة بيانات خاصة إلى الملف أو الدليل ، ويتوقف الملف عن أن يكون ملفًا عاديًا ويمكن فقط لبرنامج تشغيل مرشح نظام الملفات الخاص معالجته.

هناك نقاط إعادة توزيع على Windows يمكن للنظام نفسه معالجتها. على سبيل المثال ، يقوم Windows بتنفيذ الارتباطات الرمزية ونقاط الوصلات من خلال نقاط إعادة التوزيع ، بالإضافة إلى نقاط التحميل لوحدات التخزين في الدليل.
المخزن المؤقت لإعادة التوزيع المتصل بالملف عبارة عن مخزن مؤقت بحجم أقصى يبلغ 16 كيلو بايت. يتميز بوجود علامة تخبر النظام بنوع نقطة إعادة التوزيع. عند استخدام مخزن مؤقت لإعادة التوزيع من النوع الخاص بك ، تحتاج أيضًا إلى تحديد GUID فيه في حقل خاص ، وقد لا يكون موجودًا في المخازن المؤقتة لإعادة التوزيع من Microsoft.

ما هي أنواع نقاط الإصلاح الموجودة؟ سأقوم بإدراج التقنيات التي تستخدم نقطة إعادة التوزيع. وهي تخزين مثيل واحد (SIS) ووحدات تخزين جماعية مشتركة في Windows Storage Server 2008 R2 ، إدارة التخزين الهرمي ، نظام الملفات الموزعة (DFS) ، ويندوز هومموسع محرك الخادم. هذه هي تقنيات Microsoft ، ولا توجد تقنيات تابعة لجهات خارجية تستخدم نقاط إعادة التوزيع هنا ، على الرغم من وجود بعضها.

السمات الممتدة

سمات الملف الممتد... كان عنهم. وتجدر الإشارة هنا فقط إلى أن هذه التقنية لا تُستخدم عمليًا تحت Windows. من الذي أعرفه البرمجياتيستخدم Cygwin فقط السمات الموسعة لتخزين أذونات POSIX. يمكن أن يكون لملف واحد على NTFS سمات ممتدة أو مخزن مؤقت لنقطة إعادة التوزيع. التثبيت المتزامن لكليهما مستحيل. أكبر مقاسمن كافة السمات الموسعة لملف واحد هو 64 كيلو بايت.

تدفقات البيانات البديلة

تدفقات ملف إضافية.ربما يعرف الجميع بالفعل عنهم. سأدرج الميزات الرئيسية لهذا النوع من البيانات الوصفية: التسمية (أي ، يمكن أن يكون للملف عدة تدفقات ، ولكل منها اسم خاص به) ، والوصول المباشر من نظام الملفات (يمكن فتحها باستخدام التنسيق "اسم الملف ، القولون ، اسم الدفق ") ، حجم غير محدود ، القدرة على بدء العملية مباشرة من الخيط (والقدرة على التنفيذ من خلال ذلك).

تستخدم في تقنية iStream من Kaspersky Anti-Virus. يتم استخدامها في Windows نفسه ، على سبيل المثال ، عند تنزيل ملف من الإنترنت ، يتم إرفاق دفق المعرف به ، والذي يحتوي على معلومات حول المكان الذي تم استلامه منه هذا الملف... بعد تشغيل الملف القابل للتنفيذ ، يمكن للمستخدم رؤية الرسالة "تعذر التحقق من الناشر. هل أنت متأكد أنك تريد تشغيل هذا البرنامج؟ ".

لذلك يتم إعطاء المستخدم حماية إضافيةمن الإطلاق الطائش للبرامج التي تم الحصول عليها من الإنترنت. هذا مجرد استخدام واحد للتدفقات ، ويمكنهم تخزين مجموعة متنوعة من البيانات. قام برنامج Kaspersky Anti-Virus المذكور أعلاه بتخزين مجاميع اختبارية لكل ملف هناك ، ولكن تم التخلي عن هذه التقنية لاحقًا لسبب ما.

أي شيء آخر؟

هل هناك المزيد معرّف الأمان، بالإضافة إلى سمات الملفات القياسية التي لا يمكن الوصول إليها بشكل مباشر ، على الرغم من تنفيذها أيضًا كتدفقات ملفات. وهي والسمات الموسعة وإعادة التوزيع ومعرف الكائن كلها تدفقات ملفات من وجهة نظر النظام. لا فائدة من تغيير SEC مباشرة ، كما هو موضح في الصورة التالية على النحو التالي: $ SECURITY_DESCRIPTOR ، دع النظام يقوم بالتغيير. لا يوفر النظام نفسه وصولاً مباشرًا إلى أنواع التدفقات الأخرى. هذا كل شيء.

يمكن عرض محتويات معرف الكائن ونقاط إعادة التوزيع وكذلك العمل مع السمات الموسعة وتدفقات الملفات البديلة باستخدام البرنامج

غير مرئي بشكل مرئي

لم يتمكن قارئ المدونة فيكتور من تشغيل برنامج PowerShell النصي الذي تم تنزيله من الإنترنت. أدت القراءة المتأنية لتعليماتي إلى تجنب المشكلة ، لكنها لم تكن متجذرة في سياسات الأمان الصارمة الخاصة بـ PowerShell.

قام فيكتور بتنزيل الأرشيف من معرض TechNet باستخدام البرنامج النصي PSWindowsUpdate.zip لـ إدارة النوافذالتحديث الذي كنت أتحدث عنه. ومع ذلك ، رفض البرنامج النصي الذي تم فك حزمه العمل. عندما اقترحت على القارئ أن الفقرة الأولى من تعليماتي تنص على الحاجة إلى فتح الأرشيف ، سار كل شيء كالساعة.

طلب فيكتور شرح سبب حظر النظام للبرنامج النصي ، وكيف يعرف أن الأرشيف قد تم تنزيله من كمبيوتر آخر.

لأكون صادقًا ، موضوع اليوم ليس جديدًا ، لكنني قررت تغطيته في مدونتي لعدة أسباب:

  • تمت كتابة العديد من المقالات مرة أخرى مرات Windows XP أو Windows 7 ولا تأخذ في الاعتبار الإمكانات المضمنة لأنظمة تشغيل Microsoft الأحدث.
  • في إحدى المقالات المخطط لها في المستقبل القريب ، تم التطرق إلى هذا الموضوع ، ومن الأسهل بالنسبة لي أن أشير إلى المادة ، لأهميتها وصحتها التي أنا مسؤول عنها.
  • المدونة لديها جمهور كبير ، وبالنسبة للعديد من القراء سيظل هذا الموضوع جديدًا :)

اليوم في البرنامج

تدفقات بيانات NTFS

يقوم Windows برسم معلومات حول مصدر الملف من دفق البيانات البديل (ADS) لنظام ملفات NTFS. في خصائص الملف ، كتبت بتواضع أنه من جهاز كمبيوتر آخر ، لكنها في الحقيقة تعرف أكثر قليلاً ، كما سترى أكثر.

من منظور NTFS ، الملف عبارة عن مجموعة من السمات. محتوى الملف هو سمة بيانات تسمى $ DATA. على سبيل المثال ، ملف نصي يحتوي على السطر "Hello، World!" لديه سمة البيانات "Hello، World!"

في NTFS ، السمة $ DATA هي دفق بيانات وتسمى أساسية أو بدون اسم لأنها ... ليس لها اسم. رسميًا ، يبدو كما يلي:

بيانات $: ""

  • البيانات دولار- اسم ينسب
  • : - محدد
  • "" - اسم تدفق(في هذه الحالة ، الاسم مفقود - لا يوجد شيء بين الاقتباسات)

ميزات مثيرة للاهتمام لتدفقات البيانات البديلة

في سياق الأمثلة أعلاه ، أود أن أشير إلى بعض النقاط المثيرة للاهتمام.

تغييرات غير مرئية

بعد إنشاء ملف نصي باستخدام الأمر الأول ، يمكنك فتحه بتنسيق محرر النصوتأكد من أن جميع عمليات التلاعب الإضافية لا تؤثر على محتويات الملف بأي شكل من الأشكال.

يصبح مثيرًا للاهتمام عند فتح الملف ، على سبيل المثال ، في Notepad ++. هذا المحرر قادر على التحذير من تغييرات الملف. وسيقوم بذلك عندما تكتب دفقًا بديلًا للملف ، لكن المحتوى سيبقى كما هو!

تسجيل وعرض الإعلانات من CMD

يمكن إنشاء ADS وعرضه من سطر الأوامر. تكتب الأوامر التالية نصًا مخفيًا إلى إعلان ثانٍ باسم MyStream2 ثم تعرضه.

صدى النص المخفي> C: \ temp \ test.txt: MyStream2 أخرى< C:\temp\test.txt:MyStream2

عرض الإعلانات في برامج تحرير النصوص

سيُظهر لك Notepad ++ نفسه محتويات ADS ، إذا حددت اسم الدفق في سطر الأوامر

"C: \ Program Files (x86) \ Notepad ++ \ notepad ++. Exe" C: \ temp \ test.txt: MyStream1

نتيجة:

مع المفكرة ، لن تعمل هذه الخدعة إلا إذا كان هناك اسم في نهاية الدفق .رسالة قصيرة... الأوامر أدناه تضيف ADS ثالثًا وتفتحه في المفكرة.

صدى النص المخفي> C: \ temp \ test.txt: MyStream3.txt المفكرة C: \ temp \ test.txt: MyStream3.txt

نتيجة:

حظر الملفات التي تم تنزيلها

دعنا نعود إلى السؤال الذي طرحه عليّ أحد القراء. يعتمد ما إذا كان سيتم حظر الملف بشكل أساسي على البرنامج الذي تم تنزيله فيه ، وثانيًا على معلمات نظام التشغيل. لذلك ، تدعم جميع المتصفحات الحديثة ميزة الحظر ، وهي مضمن في Windows.

تذكر أنه عندما يتم تأمين الأرشيف ، سيتم تأمين جميع الملفات غير المضغوطة "بالوراثة". لا تنس أيضًا أن ADS هي إحدى ميزات NTFS ، أي لا يحدث قفل عند حفظ أو تفريغ أرشيف على FAT32.

عرض معلومات حول مصدر ملف مقفل

في PowerShell ، انتقل إلى المجلد الذي يحتوي على الملف الذي تم تنزيله واطلع على معلومات حول جميع التدفقات.

Get-Item. \ PSWindowsUpdate.zip -Stream * FileName: C: \ Users \ Vadim \ Downloads \ PSWindowsUpdate.zip طول التدفق ------ ------: $ DATA 45730 Zone. معرف 26

كما تعلم بالفعل ، فإن $ Data هو محتوى الملف ، ولكن ADS يظهر أيضًا في القائمة. المنطقة... هذا تلميح واضح بأن الملف قد تم استلامه من منطقة ما. هل تعرف من أين تأتي هذه الصورة؟

لمعرفة المنطقة ، تحتاج إلى قراءة محتويات الإعلانات.

الحصول على المحتوى. \ PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId = 3

من الواضح أنه يهدف إلى فتح الدُفعات (على سبيل المثال ، عندما يكون الأرشيف مفكوكًا بالفعل). سيفتح الأمر أدناه في مجلد التنزيلات جميع الملفات التي تحتوي على الاسم ملاحظة:

Dir C: \ Downloads \ * PS * | رفع الحظر عن الملف

بالطبع ، هناك كل أنواع المرافق ذات الامتداد واجهة رسومية، حتى أولئك الذين يعرفون كيفية الاندماج قائمة السياق... ولكن ، في رأيي ، PowerShell أو في أسوأ التدفقات كافٍ.

كيفية منع ملف الحظر

نهج المجموعة مسؤول عن حظر عدم تخزين معلومات حول منطقة أصل المرفقات. كما يوحي الاسم ، فإن الحظر هو سلوك Windows القياسي والسياسة تسمح لك بتغييره.

ومع ذلك ، ليس من الواضح من الاسم أن السياسة لا تنطبق فقط على المرفقات البريدية، ولكن أيضًا الملفات التي تم تنزيلها من الإنترنت. اقرأ المزيد حول Attachment Manager في KB883260.

في الإصدارات الرئيسية للمحرر سياسات المجموعةلا ، لكن لم يقم أحد بإلغاء التسجيل: SaveZoneInformation.zip.

أمثلة أخرى لتطبيقات ADS العملية

لا يقتصر نطاق ADS على إضافة منطقة من الملف الذي تم تنزيله ، تمامًا كما أنه ليس من الضروري على الإطلاق تخزين النص فقط في ADS. يمكن لأي برنامج استخدام ميزة NTFS لتخزين أي نوع من البيانات ، لذلك سأقدم فقط بعض الأمثلة من مناطق مختلفة.

البنية التحتية لتصنيف الملفات

نبذة عن الكاتب

الاشياء الشيقة ، شكرا. لقد تعلمت شيئًا جديدًا عن PowerShell ، والذي ما زلت لا أعرف الكثير :)

للتواصل مع عائلتي ، غالبًا ما أستخدم WhatsApp - حتى الآن كانت هناك أقل المشاكل مع هذه الخدمة ، حتى والديّ قد اعتادوا عليها. جهة الاتصال هي أيضًا للعائلة بشكل أساسي ، على الرغم من أن تبادل الرسائل يتم بشكل أساسي حول الألبومات المنشورة مع الصور ومقاطع الفيديو. يظل بعض الأقارب مخلصين لـ Viber - لم ينجح الأمر معي بطريقة ما ، أنا فقط احتفظ بها لهم ، ولم أتخلى عن محاولات جرهم إلى WhatsApp.

للعمل بشكل أساسي على Slack ، عندما يكون هناك شيء عاجل هو WhatsApp ، فإن الرسائل القصيرة أمر ملح للغاية. فكونتاكتي للتواصل مع العالم الخارجي.

أنا أستخدم Skype لمكالمات الفيديو فقط ، ومعظمها مع عائلتي مرة أخرى. يسعدني استبداله بـ WhatsApp إذا كانت هناك مكالمات فيديو.

يوريكس

لدى Viber الآن مكالمات فيديو ، وحتى مكالمات فيديو لإصدار سطح المكتب. لذلك ربما يكون Viber هو سكايب التالي ... بطريقة جيدة

أندريه كوزنتسوف

المادة ممتعة ، شكرا. كنت أعرف عن وجود الخيوط ، لكن لم أكن أعرف أنه من السهل جدًا التعامل معها من خلال PowerShell.
بالنسبة إلى IM: بالنسبة إلى Skype ، لدي فقط شكاوى حول وقت الإطلاق هاتف ويندوز... لا توجد مثل هذه المشكلة على آيباد وويندوز. أنا أستخدمه للاتصال الصوتي ، عندما يكون من غير الملائم استخدام GSM لسبب ما.
والمراسلات عبر الواتس اب. إن وجوده فقط على الهاتف هو ميزة إضافية من وجهة نظر الخصوصية.

  • أندريه كوزنتسوف: والمراسلات عبر الواتس اب. إن وجوده فقط على الهاتف هو ميزة إضافية من وجهة نظر الخصوصية.

    أندريه ، اشرح ما هي الميزة الإضافية هنا

بافلوفسكي رومان

1. أستخدم في أغلب الأحيان: Skype و Hangouts - للعمل على جهاز كمبيوتر ، وبقية مراسلات VKontakte من أي جهاز ، حيث يستخدم العملاء عادةً Skype للعمل والأصدقاء والمعارف في الشبكات الاجتماعية.

2. من الناحية المثالية أود استخدام: Jabber - للمراسلات والمكالمات من أي جهاز. بالنسبة لي ، يمكن تثبيت العميل على أي جهاز والمراسلة ، أينما كان المستخدم ، حتى على اتصال إنترنت ضعيف + لهذا يمكنك نشر خادم jabber الخاص بك وتخزين جميع المراسلات على الخادم ، بحيث يمكنك لاحقًا بسرعة ابحث عن المراسلات المطلوبة. إذا كان العميل لا يعرف كيفية تخزين السجل ، ويمكن العثور على المكونات الإضافية للمكالمات عبر jabber (على سبيل المثال ، عبر نفس SIP Asterisk 1.8+)

أندري بياتاكوف

غالبًا ما أستخدم WhatsApp (بشكل أساسي للعمل) للمكالمات (الصوت / الفيديو / المكالمات الدولية) Skype. على الرغم من أن سكايب سطح المكتب يثير غضبًا رهيبًا (لدي محول وفي المنزل أستخدمه بشكل أساسي كجهاز لوحي) ... لم يتجذر فايبر. للاتصال عبر WhatsApp ، تحتاج فقط إلى أن يكون لديك أعصاب من حديد. قل شيئًا لمحاورك وانتظر دقيقة أو دقيقتين عندما يسمعك (اتصال 50 ميجابت) ...
سيكون من الممكن التبديل إلى Skype بالكامل. على Windows 10 Mobile ، بعد التحديث الأخير ، تنتقل الرسائل من Skype مباشرةً إلى تطبيق الرسائل المدمج (مثل SMS) ، وهو أمر مريح للغاية.

حكمة - قول مأثور

1. على مضض ، أستخدم ICQ (للعملاء الرجعيين) و Slack (للعملاء الأكثر حداثة).
2. أود استخدام Jabber - لنفس الأسباب التي استخدمها Roman Pavlovsky أعلاه.

فلاديمير كيريوشين

مرحبا فاديم!
قبل هذا المقال قرأت مقالتك عن كيفية قراءة تقرير التحقق من كل شيء قرص النظامباستخدام الأمر chkdsk. مقال رائع! بفضلها ، اليوم ، بعد فحص قرص النظام باستخدام الأمر chkdsk ، تلقيت ملف تقرير نصي. وتوضح هذه المقالة أيضًا الكثير من الأشياء في برنامج PowerShell... بعض الأشياء غير مفهومة بالنسبة لي كمتقاعد ، لكني أحاول ألا أصاب بالذعر وأقرأ بجد حتى النهاية. شكرا لك على دراستك معنا! اتمنى لك الافضل!

ليكرون

ما المتصفحات وأدوات التنزيل التي تنشئ هذا التدفق؟

ما هي الخيارات الأخرى المتاحة للمستخدم لاستخدام التدفقات؟ وعلى وجه الخصوص ، مستخدم كاتب السيناريو؟ منذ ذلك الحين ، على الرغم من أنني كنت أعرف عنها لفترة طويلة ، إلا أنني لم أستخدمها مطلقًا. في العمل الحقيقي باستخدام الكمبيوتر ، فأنت ببساطة لا تتذكرها ، ولهذا السبب ، قد تصنع عكازات ، بدلاً من أداة مريحة، وبدون هذا العمل ، من الذاكرة ، لا شيء يأتي منه.
لم أفكر إلا في خيار واحد. تعليق على الملف إذا لم يكن هناك احتمال أو رغبة في كتابة نص طويل في اسم الملف. لكن هذا يتطلب دعمًا من مدير الملفات ، الذي اعتاد ولا يزال يكتبها في descript.ion أو files.bbs.

جورو السرعة

تقنية قمامة أخرى مثل مجلة USN. إلى أي مدى ستستفيد من ZoneIdentifier أو فيروس مرفق بملف أو مجلد؟ بالطبع لا. علاوة على ذلك ، يؤدي هذا إلى ازدحام النظام بـ "ملفات فرعية" غير ضرورية وليست ضرورية بأي حال من الأحوال للمستخدم العادي. كل قراءة إضافية في دليل MFT والعمليات الأخرى المصاحبة لصيانة التدفقات البديلة وصيانتها هي دورات معالجة إضافية مستهلكة ، ذاكرة الوصول العشوائي، والأهم من ذلك ، حمولة إضافية على القرص الصلب.
يمكنك إخباري أن النظام يحتاج حقًا إلى هذه التكنولوجيا. لكن هذا هراء - سيعمل النظام بشكل جيد بدون خيوط. لكن لا أحد يسأل المستخدم - لقد تم إجبارهم (مثل مجلة USN) ولم يعطوا الفرصة لتعطيل صيانة هذه التدفقات تمامًا. لكنني ، كمستخدمين ، لست بحاجة إليهم على الإطلاق ، أعتقد نفس الشيء مثلك ...
كل ما يمكننا فعله هو "streams -s -d٪ systemdrive٪". ولكن حتى هذا لا يجعل من الممكن حذف المواضيع على قسم النظام.

أليكسيز كاديف

تعد التدفقات المسماة أمرًا رائعًا ، وقد كانت موجودة ، على حد ما أتذكر ، منذ الإصدار الأول من NTFS. في التدفقات المسماة ، من الملائم تخزين ، على سبيل المثال ، إصدارات المستندات ، والتي ، إذا لم أكن مخطئًا ، فقد قام بها عدد من التطبيقات. ولكن لا يزال هناك كمين للنسخ إلى نظام ملفات آخر - يتم قطع التدفقات المسماة ببساطة.

إنه لأمر مؤسف أنه كان من المستحيل اختيار العديد من الرسل في نظام التصويت: أستخدم العديد ، لأن بعض جهات الاتصال الخاصة بي يفضلون اتصالات معينة. لذلك ، أستخدم WhatsUp و ICQ (على الرغم من أنه ليس عميلًا أصليًا بالطبع) و Skype و SkypeforBusiness (رعب هادئ ، وليس عميلًا ، ولكن عندما كان يطلق عليه Lync كان أسوأ) و Viber (هنا يوجد بريد عشوائي أكثر من في الآخرين مرة واحدة على الأقل عند 5).
ومن الناحية المثالية ، استخدم واحدًا ، مثل Miranda مع المكونات الإضافية ، لأنه من غير الواقعي أن تجد ، إذا لزم الأمر ، من قال / كتب شيئًا في المكان وفي هذه الكومة بأكملها. لكن للأسف ، أغلق عدد من المصنّعين بروتوكولاتهم وحمايتهم مثل كاشي إبرتهم.

  • VSh

    فاديم ستركين: رومان ، أنا لم أشمل جابر في الاستطلاع. قررت أن قلة قليلة من الناس يستخدمونها ولا توجد آفاق.

    بلا فائدة
    على سبيل المثال ، أستخدم OpenFire (برنامج xmpp مجاني) كمتصل مكتب في مجالات متعددة.

    لذلك ، فإن رسالتي الرئيسية هي XMPP (Pidgin.exe ، Spark.exe) ، لكن 99.8 ٪ من هذه الرسائل هي داخل النطاق.
    سكايب - للرسائل الفورية الخارجية
    WhatsApp و Viber - بالنسبة إلى "جهات الاتصال غير الرسمية" ، في الأشهر الأخيرة من الرسائل الاقتحامية (SPAM) فقط ، على ما أعتقد - هل يجب حذفها؟

  • أرتيم

    لسبب ما ، كل شيء في شعوري. وجودة الاتصال مرضية تمامًا. وهكذا ستفعل البرقيات. نعم ، فارغة هناك.

    هازيت

    1. Skype (على الكمبيوتر الشخصي) و Viber (على الهاتف المحمول). الأسباب هي نفسها في الأساس كما هو الحال مع معظم الأشخاص - عدد جهات الاتصال الموجودة ، وبطبيعة الحال ، إحجام هؤلاء الأشخاص عن التغيير إلى رسول آخر.
    2. uTox. مصغرة ، لا شيء غير ضروري ، عميل Win و Linux و Mac و Android. صُنفت على أنها محمية.
    ملاحظة. ShchaZ ، سأبدأ في جذب جهات الاتصال الخاصة بي إليه بإحكام :-)

    يفجيني كاريلوف

    شكرا لك على عملك!

    فيما يتعلق بالمسح ، على جهاز كمبيوتر للمراسلات ، أستخدم QIP 2012 ، والذي تتصل به جهات اتصال من ICQ و VKontakte وآخرين. شخصيًا ، من الملائم بالنسبة لي استخدام برنامج واحد للتواصل عبر عدة بروتوكولات. والقدرة على مشاهدة موجز الوسائط الاجتماعية من مكان واحد أمر مشجع للغاية. من الناحية المثالية ، الشيء الوحيد المفقود هو دعم Skype ، والذي أستخدمه للاتصال الصوتي ، ولكن من الواضح أنه لن يظهر.
    على الرغم من أن هذا البرنامج يبدو "مهجورًا" ، نظرًا لعدم وجود تحديثات لفترة طويلة ، فإنه يؤدي الوظائف المعينة على أكمل وجه.

    سترفر

    مزيج مثير للاهتمام من موضوع المنشور حول تدفقات البيانات والاستطلاع على الرسائل الفورية.

    وفقًا للاستطلاع: Jabber / Jabber ، والذي لم يكن يجب عليك تضمينه في القائمة ، على الرغم من وجود WhatsApp على أساس XMPP ، وحتى البحث عن النجاح.

    جابر بشكل عام يحل كل هذه المشاكل بسبب انفتاح البروتوكول ووجود عملاء للعديد من المنصات ووجود خوادم يمكنك رفعها بنفسك. لكن من الأكثر تقليدية مضغ الصبار ، نعم.

    • يتم سرد العملاء ، وليس البروتوكولات.
      ICQ ... حسنًا ، لم أضع الرموز هناك ، لأنه يجب أن يكون واضحًا على أي حال.
      لا يحل Jabber مشكلة واحدة بالضبط - لا يوجد أحد هناك.

      • سترفر

        فاديم ستركين: العملاء مدرجون ، وليس البروتوكولات.

        يرجع ذلك إلى حقيقة أن البروتوكول و أكواد المصدريتم إغلاق العميل الرسمي ، ويتم إنشاء هوية طبيعية بين العميل الوحيد والبروتوكول.

        فاديم ستركين: ICQ ... حسنًا ، لم أضع الرموز هناك ، لأنه يجب أن يكون واضحًا.

        لا يكفي لطوفان البريد الفاسد أن يموت asechka موتًا طبيعيًا - فهم يبذلون أيضًا جهودًا إضافية لجعله ينحني بشكل أسرع.

        فاديم ستركينلا يحل Jabber مشكلة واحدة بالضبط - لا أحد موجود.

        ومع ذلك ، بالنسبة إلى Telegram ، أنت نفسك تكتب

        تبدو رائعة ، لكنها فارغة (وهي قابلة للإصلاح)

        كان لدى Jabber كل الفرص ليصبح ما هو عليه نظام البريد الإلكتروني اليوم (الانفتاح الكامل للبروتوكول ، والقدرة على رفع خوادمهم إلى أي شخص وتوفير التفاعل بين الخوادم ، وما إلى ذلك) ، لكن الشركات لا تحتاج إلى هذا ، وهو ما يُرى بوضوح في مثال الخروج منه google أو ملكية Whatsapp.

        • بالنسبة إلى Telegram - قابل للإصلاح ، بالنسبة إلى Jabber - من غير المحتمل جدًا. لذلك ، الأول موجود في القائمة ، والثاني ليس كذلك.

          • سترفر

            بالطبع ، Telegram أنيق وعصري وشبابي ، ولا يوجد شخص رائع مثل باشا دوروف يتحرك جابر. ما هي الاحتمالات هنا.

            اممم ... اخرج من دبابتك من نظريات المؤامرة "العالم كله ضد البرمجيات الحرة". كل شىء أسهل بكثير

            إذا لم يكن الأمر واضحًا ، فهذه هي الطريقة التي تبدو بها التجربة الأولى للتفاعل مع عميل Jabber الموصى به رسميًا على النظام الأساسي للجوّال الأكثر شيوعًا بالنسبة لشخص ما.

            سترفر

          • لم أفهم قليلاً أين في تعليقي حول المؤامرة.

            نعم ، في كل مكان :) أنت تحاول شطب إخفاقات جابر باعتبارها غير عصرية وليست صغيرة ، في حين أن عملائه من الشاشة الأولى لا يتكيفون مع الواقع الحديث.

            ما الذي يجب أن أراه في لقطة الشاشة؟

            موجه لإدخال رقم الهاتف ~~~ O ~

            • سترفر

            سترفر: أنت تحاول شطب إخفاقات جابر باعتبارها غير عصرية وليست شبابية

            حسنًا ، إذا كان الأمر كذلك.

            سترفر: بينما عملائه من الشاشة الأولى لا يتكيفون مع الواقع الحديث.

            أولئك. للموضة الحالية ، مثل الكشف عن رقم هاتفك للجميع. لأنني لا أفهم سبب تقديمه إذا لم يكن هناك حاجة إلى عمل النظام ، بالنسبة لي فهو جيد تمامًا لدرجة أنهم لا يطلبونه هنا.

            في الواقع ، لقد رفضت التحقق ، على الرغم من جهات الاتصال القليلة التي بقيت هناك ، لهذا السبب بالذات - طالبت meyrushechka في شكل إنذار بربط رقم الهاتف بالحساب ، ونتيجة لذلك تم إرسالها إلى إحداثيات معروفة.

            نعم ، أنت لا تفهم ، حتى بعد الشروحات بالصور ... هذه ليست موضة ، هذه هي الطريقة الوحيدة لتبسيط التسجيل قدر الإمكان مع أجهزة محمولةالتي تشكل أساس جمهور برامج المراسلة الفورية الحديثة والمصدر الوحيد لنموها.

            سترفر

            في لقطة الشاشة ، طلب للحصول على اسم وكلمة مرور واسم مستعار اختياري. أين تبسيط شيء أكثر؟ أو ، إلى جانب طلاب المدارس الإصلاحية ، لم يعد هناك احتياطي متبقي لتنمية الجمهور ، ومن الضروري أن يكون هناك زر واحد فقط "اجعله من أجل * ق"؟
            لماذا يوجد رقم هاتف على الإطلاق وماذا يجب أن يفعل الرسول برقم هاتف؟

    • يحتوي نظام الملفات NTFS على العديد من الميزات المثيرة للاهتمام ، أحدها هو توفر تدفقات البيانات البديلة (ADS). جوهرها هو أن كل ملف في NTFS هو مجموعة من التدفقات التي يتم تخزين البيانات فيها. بشكل افتراضي ، تكون جميع البيانات في الدفق الرئيسي ، ولكن إذا لزم الأمر ، يمكن إضافة بيانات إضافية إلى الملف ، تيارات بديلةالبيانات.

    ملحوظة.ظهرت تدفقات البيانات البديلة في NTFS منذ وقت طويل ، مرة أخرى في Windows NT. تم إنشاؤها للتوافق مع نظام ملفات HFS ، والذي تم استخدامه بعد ذلك على نظام MacOS. احتفظ نظام HFS ببيانات الملف على تدفق موارد مخصص.

    تنقسم الملفات في NTFS إلى سمات ، أحدها $ DATA ، أو سمة البيانات. التدفقات هي خصائص إضافية للسمة $ DATA. افتراضيا ، هناك واحد ، الموضوع الرئيسي بيانات دولار: ″ ″... كما ترى ، ليس لها اسم ، لذلك يطلق عليها غير مسمى... أيضًا ، إذا كنت ترغب في ذلك ، يمكنك إنشاء تدفقات إضافية مسماة ، على سبيل المثال. البيانات $: ″ Stream1 ″... يمكن أن يحتوي كل ملف في NTFS على العديد من تدفقات البيانات التي تحتوي على بيانات مختلفة غير مرتبطة.

    تنتقل جميع البيانات المكتوبة إلى الملف إلى دفق البيانات الرئيسي افتراضيًا. عندما نفتح الملف ، نرى الدفق الرئيسي بالضبط ، بينما يتم إخفاء التدفقات البديلة عن المستخدم ولا يتم عرضها باستخدام الوسائل التقليدية. لا يمكن رؤيتهم الطرق القياسيةعلى الرغم من أن بعض البرامج يمكنها قراءة البيانات المخفية فيها. أيضًا ، للعمل مع التدفقات ، يمكنك استخدام سطر الأوامر.

    على سبيل المثال ، لنفتح وحدة التحكم ونستخدم الأمر echo لإنشاء ملف نصي streams.txt وكتابة النص فيه:

    صدى هذا هو التدفق الرئيسي> streams.txt

    وباستخدام الأمر التالي ، اكتب النص إلى الدفق البديل 1:

    صدى هذا تيار بديل> streams.txt: stream1

    إذا فتحنا الآن ملف streams.txt في أي محرر نصوص ، فسنرى السجل الأول فقط ، وسيظل النص "هذا دفق بديل" مخفيًا. يمكنك قراءة المعلومات المخفية في الدفق 1 باستخدام الأمر:

    أكثر

    يمكن إضافة التدفقات البديلة ليس فقط إلى الملفات الفردية ، ولكن أيضًا إلى الدلائل. على سبيل المثال ، دعنا نضيف تيارًا بديلاً Stream2 يحتوي على النص "إخفاء الدفق في التدفقات" إلى دليل Streams الحالي:

    صدى إخفاء الدفق في التدفقات>: stream2

    وسنعرض الدفق stream2 بالأمر التالي:

    أكثر<:stream2

    يمكن فتح محتوى التدفقات البديلة في أكثر من مجرد وحدة التحكم. على سبيل المثال ، يمكن لـ Notepad أيضًا الوصول إلى البيانات المخفية في التدفقات إذا قمت بتحديد اسم دفق بديل في اسم الملف مفصولاً بنقطتين. دعنا نكرر المثال السابق ، ونغير قليلاً اسم الدفق إلى stream1.txt:

    صدى هذا تيار بديل> streams.txt: stream1.txt

    وافتح دفقًا بديلًا في المفكرة باستخدام الأمر:

    المفكرة streams.txt: stream1.txt

    ملحوظة.يتطلب Standard Notepad امتداد txt في اسم الدفق ، وإلا فلن يتمكن من فتحه. يمكن للمحررين الأكثر تقدمًا ، على سبيل المثال نفس Notepad ++ ، إظهار محتوى الدفق البديل بغض النظر عن اسمه.

    لا يتم عرض وجود تدفقات بديلة في الملف بأي شكل من الأشكال في Explorer وغيره مديري الملفات... أسهل طريقة للعثور عليهم هي استخدام الأمر دير / ص(تبدأ بـ نظام التشغيل Windows Vista) ، والذي يُظهر جميع تدفقات البيانات ، بما في ذلك التدفقات البديلة.

    قد تعتقد أن استخدام التدفقات البديلة يقتصر على البيانات النصية. هذا ليس هو الحال على الإطلاق ، ويمكن تخزين أي معلومات على الإطلاق في تدفقات بديلة. على سبيل المثال ، لنقم بإنشاء ملف picture.txt وإضافة تدفق pic1.jpg إليه ، حيث نضع الصورة التي تحمل الاسم نفسه:

    صدى الصورة> picture.txt
    اكتب pic1.jpg> picture.jpg: pic1.jpg

    وهكذا ، ظاهريًا لدينا ملف نصي عادي ، وفتح صورة من دفق بديل في محرر الرسومالرسام نستخدم الأمر:

    mspaint picture.txt: pic1.jpg

    وبالمثل ، يمكنك إضافة أي بيانات إلى أي نوع من الملفات - إضافة صور إلى ملفات نصية ، وإضافة معلومات نصيةإلخ. ومن المثير للاهتمام ، أن المحتوى البديل لا يزيد من حجم الملف المرئي ، على سبيل المثال إضافته إلى 1 كيلوبايت ملف نصيفيديو عالي الدقة بحجم 30 جيجابايت ، سيظل المستكشف يعرض حجم الملف 1 كيلو بايت.

    يمكنك أيضًا الاختباء في التدفقات البديلة الملفات القابلة للتنفيذ... على سبيل المثال ، لنأخذ ملف test.txt ونضيف تطبيق المفكرة (notepad.exe) إلى دفق note.exe البديل:

    اكتب notepad.exe> ​​test.txt: note.exe

    ولإطلاق مفكرة مخفية ، استخدم الأمر:

    ابدأ. \ test.txt: note.exe

    بالمناسبة ، تستغل بعض البرامج الضارة هذه الفرصة عن طريق إضافة تعليمات برمجية قابلة للتنفيذ إلى تدفقات NTFS البديلة.

    فائدة تيارات

    للعمل مع تيارات بديلة ، هناك العديد مرافق الطرف الثالث، على سبيل المثال الأداة المساعدة لوحدة التحكم التي تدفقات من Sysinternals. يمكنه اكتشاف وجود تيارات بديلة وحذفها. الأداة لا تتطلب التثبيت ، يكفي فكها وتشغيلها. على سبيل المثال ، دعنا نتحقق من وجود التدفقات في مجلد Streams باستخدام الأمر:

    Streams.exe -s C: \ Streams

    وإزالة التدفقات البديلة من ملف streams.txt:

    Streams.exe -d C: \ Streams \ streams.txt

    بوويرشيل

    يعرف PowerShell أيضًا كيفية العمل مع التدفقات البديلة - إنشاء المحتوى واكتشافه وعرضه وحتى حذفه. على سبيل المثال ، لنقم بإنشاء ملف نصي:

    عنصر جديد - نوع الملف - المسار C: \ Streams \ stream.txt

    دعنا نضيف إدخالًا إلى الدفق الرئيسي:

    Set-Content -Path C: \ Streams \ stream.txt -Value ″ تيار رئيسي ″

    وإلى تيار بديل اسمه الثاني:

    Set-Content -Path C: \ Streams \ stream.txt -Value ″ Second Stream ″ -Stream Second

    ثم سنعرض محتويات الرئيسي

    Get-Content -Path C: \ Streams \ stream.txt

    وتيارات بديلة:

    Get-Content -Path C: \ Streams \ stream.txt -Stream Second

    لاكتشاف وجود تدفقات بديلة ، يمكنك استخدام الأمر:

    Get-Item -Path C: \ Streams \ stream.txt -Stream *

    ويمكنك إزالة التدفقات غير الضرورية باستخدام الأمر:

    إزالة العنصر - المسار C: \ Streams \ streams.txt -Stream *

    إستعمال

    يتم استخدام التدفقات البديلة بواسطة كل من Windows نفسه وبعض البرامج. على سبيل المثال، متصفح الانترنتيقسم الشبكة إلى 4 مناطق أمان ، وعند تحميل الملفات ، يضيف إليها تسميات تحتوي على معلومات حول المنطقة التي تم تنزيلها منها.

    يتم تخزين هذه الملصقات في التدفق البديل وتمثل رقمًا من 0 إلى 4:

    الإنترنت (3)
    شبكة محلية (1)
    المواقع الموثوقة (2)
    المواقع الخطرة (4)
    كمبيوتر محلي (0)

    للتحقق من ذلك ، دعنا ننتقل إلى مجلد التنزيلات ، ونأخذ الملف الذي تم تنزيله من الإنترنت وتحقق من وجود تدفقات بديلة. كما ترى ، يحتوي على دفق اسمه المنطقةالذي يحتوي على الخط معرف المنطقة = 3.

    هذا يعني أن الملف ينتمي إلى منطقة الإنترنت غير الموثوق بها ، وعليك توخي الحذر عند فتحه. تقرأ بعض البرامج ، مثل Word ، هذه البيانات عند فتح الملف وإصدار تحذير.

    أيضًا ، تستند البنية التحتية لتصنيف الملفات (FCI) إلى استخدام التدفقات البديلة. من عند برامج الجهات الخارجيةاستخدام تيارات بديلة بعض برامج مكافحة الفيروسات، على وجه الخصوص ، يقوم برنامج Kaspersky Anti-Virus بتخزين المجموع الاختباري الذي تم الحصول عليه نتيجة الفحص.

    ومع ذلك ، فإن استخدام التدفقات البديلة لا يقتصر على هذا ، يمكنك أن تبتكر أي استخدام لها بنفسك. على سبيل المثال ، بمساعدتهم ، يمكنك إخفاء المعلومات الشخصية عن أعين المتطفلين. يمكن نسخ الملفات التي تحتوي على تدفقات بديلة بحرية أو نقلها من قرص إلى قرص ، وسيتم نسخ جميع التدفقات مع الملف.

    ومع ذلك ، عند استخدام التدفقات البديلة ، تذكر أنها مرتبطة بشكل صارم بنظام الملفات NTFS. من أجل استخدامها ، يجب أن تكون الملفات موجودة على أقراص مع NTFS ، على التوالي ، يمكنك العمل معهم فقط من خلال Windows. إذا قمت بنقل الملف إلى أي نظام ملفات آخر ، فستفقد جميع التدفقات باستثناء النظام الرئيسي. يتم أيضًا اقتطاع التدفقات البديلة عند نقل الملفات عبر FTP أو عند الإرسال كمرفق بريد إلكتروني.
    مأخوذة من http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/

    بعد:
    ADS هي ميزة مضمنة في نظام ملفات NTFS لا يمكن إيقاف تشغيلها بأي شكل من الأشكال.

    يسمح لك ADS بإضافة أي ملفات إلى ملفات أخرى وحتى الدلائل (!). يستخدم نظام التشغيل نفسه هذا من وقت لآخر ، مضيفًا تدفق "Zone.Identifier" إلى الملفات التي تم تنزيلها من الإنترنت

    بالمناسبة ، يمكن تحرير Zone.Identifier للتخلص من التحذيرات "تم تنزيل هذا الملف من الإنترنت. فتح في الوضع الآمن؟ "

    يمكنك إضافة دفق إلى أي ملف مثل هذا:
    اكتب file1> file2: file3

    في محاولة لايجاد
    دير / ص

    تشغيل exe مثل هذا:
    بدء file2: file3

    إذا لم تنجح ، فحينئذٍ مثل هذا:
    mklink file4 ملف 2: file3
    بدء file4

    سيؤدي هذا ، على سبيل المثال ، إلى ربط الآلة الحاسبة بمحرك الأقراص الجذر C (!) وتشغيلها من خلال الرابط

    تم تقديمها في Windows NT 4.0 وكانت موجودة حول جميع المتحدرين (باستثناء أحفاد win-95: 98 ، Me). لا تزال موجودة في XP و Vista و Win 7. وداعا إصدارات Windowsدعم NTFS ، سوف يدعمون تدفقات الملفات. سوف يدعمون NTFS لفترة طويلة.

    الخطأ الذي نشرته موصوف في الصفحة التي تراها في سؤالك. الأمر type لا يفهم التدفقات. استعمال:

    أكثر< 1013.pdf:Zone.Identifier

    العمل مع تيارات

    لدى Microsoft فقط عدد قليل من الأوامر التي تعمل مع مؤشرات الترابط ، في الواقع فقط< , >العمل مع التدفقات ، وبالتالي يمكن فقط استخدام الأوامر التي يمكنها العمل مع عوامل إعادة التوجيه هذه. لقد كتبت عن كيف لا يزال بإمكانك التحكم في سلاسل الرسائل باستخدام هذه الأوامر فقط.

    ستعمل التدفقات فقط مع البرامج المصممة للعمل معها ، وذلك ببساطة لأنه يجب التعامل معها على وجه التحديد (قارن نقاط الوصلات بالإضافة إلى وظيفة NTFS ، لكن السائق يخفي التفاصيل والبرامج لا تحتاج إلى القيام بأي شيء خاص: هم فقط يحسبون ملف نقطة التقاطع الحقيقي).

    عند محاولة فتح دفق ملف باسم بدء الملف: اسم الدفق والبرنامج يقول شيئًا مثل "اسم الملف غير القانوني" أو "الملف غير موجود" وأنت متأكد من صحة اسم الدفق ، فعلى الأرجح لا يدعم البرنامج التدفقات ... لقد لاحظت أن Notepad و Wordpad و Word / Excel تعمل بشكل صحيح مع التدفقات ، على الرغم من أن Word و Excel يعتبران الملفات خطيرة. فيما يلي بعض التجارب.

    ملاحظة: تعتقد أن تدفقات البيانات البديلة غريبة. إنها غريبة لأنها مخفية للغاية ، لكن العديد من أنظمة الملفات الرئيسية (HFS ، NSS) لديها هذا ، ويعود المفهوم إلى أوائل الثمانينيات. في الواقع ، تمت إضافة التدفقات في الأصل إلى NTFS للتفاعل مع أنظمة الملفات الأخرى.

    الغرض من هذه المقالة هو شرح معنى
    تدفقات البيانات البديلة
    الخامس أنظمة التشغيلشبابيك،
    شرح كيفية إنشائها و
    المساومة على السيارة ، وكيفية العثور عليها
    الملفات المخفية باستخدام الملفات العامة
    خدمات. الخطوة الأولى هي أن تدرك
    معنى ADS والتهديد الذي تشكله إذن
    دعونا نرى كيف يتم استخدامها للقرصنة
    وأخيرًا سننظر في الأدوات
    لاكتشاف النشاط وكيف
    وقف المزيد من العمل غير القانوني مع
    معهم.

    لأي غرض؟

    ظهرت تدفقات البيانات الإضافية في
    Windows مع NTFS. في الواقع ، بقدر ما أنا
    أنا أفهم ، لم يكن هناك معنى معين فيهم - هم
    تم صنعه للتوافق مع HFS ، القديم
    نظام ملفات ماكنتوش - نظام الملفات الهرمي. عمل
    هو أن نظام الملفات هذا يستخدم
    كل من مفترق البيانات وشوكة الموارد لـ
    تخزين المحتوى. شوكة البيانات
    وفقًا لذلك ، مسؤول عن المحتوى
    المستند وفرع الموارد لـ
    تحديد الملف - نوعه وغيره
    البيانات. في الوقت الحاضر عن الوجود
    تدفقات إضافية من المستخدمين العاديين
    قلة من الناس يعرفون. ومع ذلك ، في عالم الكمبيوتر
    الأمن تلقوا بعض
    الانتشار. على سبيل المثال المتسللين الأشرار
    استخدم ADS لتخزين الملفات على
    أجهزة الكمبيوتر المخترقة ، وأحيانًا أيضًا
    تستخدم من قبل الفيروسات والبرامج الضارة الأخرى. عمل
    لأن بيت القصيد هو أن هذه التيارات ليست كذلك
    ينظر إليها بالطرق التقليدية ، نفس الشيء
    مستكشف أو سطر الأوامر. كيف
    هل هذه التيارات مثيرة للاهتمام؟ وحقيقة ذلك في القضية
    تحقيقات السطو لا تدفع دائما
    الانتباه إليهم ، إلى جانب ذلك ، ليس كل برامج مكافحة الفيروسات
    بشكل افتراضي ، يتم عرض التدفقات بتنسيق
    البحث عن البرامج الضارة.

    الى حد، الى درجة

    لفهم الخطر الحقيقي
    ستوضح ADS بشكل أفضل كيفية العمل معهم.
    في المثال ، نستخدم Metasploit Framework لاختراق
    داخل السياره. للقيام بذلك ، نستخدم الثغرة الأمنية
    MS04-011 (lsass). بعد ذلك ، باستخدام TFTP ، سنقوم بتحميل الملفات ،
    التي سنضعها في تيارات إضافية
    البيانات. بمجرد الانتهاء
    قم بتشغيل الآلة البعيدة من الأمر
    الماسح الضوئي للسلسلة الذي سيفحص الشبكة بحثًا عن
    وجود سيارات أخرى. ملحوظة،
    التي قدمها مؤلفو Metasploit Framework الخاصة بهم
    إنشاء مع METASPLOIT التوقيع ، بحيث المبدعين
    يمكن أن تحدد برامج الأمان الحزمة ،
    المنتهية ولايته من MF. انتبه للحزمة ،
    قادم من المهاجم:

    هنا 192.168.1.102 هو كمبيوتر المهاجم
    الذي يحتوي على Metasploit Framework ، و 192.168.1.101 هو
    جهاز كمبيوتر ضعيف مع Win2K الأستاذ. في هذه الحالة ، المحور
    يتم تسليمها بدون تصحيحات وحزم خدمة ،
    لأغراض العرض فقط
    :). يرجى ملاحظة أن ADS وحدها ليست كذلك
    مفيدة للغاية ، فهي مبهجة بشكل طبيعي
    المهاجم فقط إذا كان هناك
    الوصول إلى الجهاز ، ضعف النظام في
    نظام التشغيل. على شبكة حقيقية ، أنت
    من غير المحتمل أن تجد W2K غير مصحح ، لذلك
    يجب أن نبحث عن مبادئ أخرى
    اختراق.

    أدناه نرى أن الهجوم كان ناجحًا ومتواصلًا
    آلة الهجوم لديها قذيفة عكسية مفتوحة ،
    تم التخلي عنها من قبل الضحية. الافتراضي لهذا
    تستخدم ثغرة Metasploit المنفذ 4321 ،
    ومع ذلك يمكن تغييره:

    بعد أن اخترقت السيارة ، تحتاج إلى النقل هناك
    الملفات. لهذا نستخدم TFTP في هذا
    إذا حصلنا على ipeye.exe.

    بنفس الطريقة ، قم بتنزيل psexec.exe و pslist.exe و
    برنامج klogger.exe. لنقم بعمل قائمة بالدليل C: \ Compaq \ ،
    حيث أقسم كل شيء:

    الآن دعنا نخرج ipeye.exe من الدفق ،
    المرتبطة بملف موجود
    ملف_اختبار.

    ثم يمكن فعل الشيء نفسه مع الرِّكاب
    الملفات الأخرى اللازمة للعمل.
    يرجى ملاحظة أن البديل
    يمكن تنظيم التدفق ليس فقط من أجل
    الملفات ، ولكن أيضًا للأدلة ، نفس C: \ k
    مثال. دعنا نطلق الماسح الذي نتحدث عنه
    تحدث في البداية ، ipeye.exe ، على المصابين
    الحاسوب:

    ج: Compaq test_file: ipeye.exe

    (يتبع)