EntradaAbrir carpeta en flujo alternativo. Cuatro tipos de metadatos NTFS
Los CIO dedican mucho tiempo y recursos a proyectos relacionados con el procesamiento analítico de información de ventas y otros datos comerciales estándar. Al mismo tiempo, se crean cuadros de mando para los gerentes, que muestran los indicadores de desempeño de la empresa y ayudan a hacer pronósticos para el futuro. Dichos sistemas brindan beneficios significativos a las empresas, pero de hecho, las oportunidades que se abren gracias a ellos son solo una pequeña parte de lo que se puede hacer con los datos disponibles para la organización, dice Krishna Nathan, CIO de S&P Global (anteriormente McGraw Hill Financiero), que se ocupa de la gestión de las calificaciones crediticias, así como de la prestación de servicios de consultoría y análisis para el mercado de valores. Bajo el liderazgo de Nathan, se diseñó e implementó un nuevo sistema de procesamiento de datos para toda la empresa, y se está implementando una estrategia para acelerar el crecimiento comercial y crear nuevas ofertas para los clientes.
Algunas empresas están comenzando a recopilar datos adicionales, denominados alternativos, no convencionales u ortogonales. Esta es una nueva dirección por ahora, pero los CIO deberían estar explorando la tecnología hoy. Después de todo, muy pronto los datos alternativos se convertirán en una herramienta imprescindible para muchas empresas.
Sin embargo, no se apresure a contratar a los próximos especialistas costosos. Veamos de qué, de hecho, estamos hablando.
¿Qué son los "datos alternativos"?
Nathan define los datos alternativos de esta manera: son datos que provienen de fuentes no tradicionales, y su análisis puede extraer información útil además de lo que obtiene de la manera habitual.
Digamos que tienes red comercial y tienes la intención de abrir nueva tienda en otra ciudad. Por lo general, esta decisión se basa en el desempeño de sus tiendas en una ciudad en particular y otras áreas metropolitanas.
La fuente de datos alternativos aquí podrían ser imágenes de estacionamientos de supermercados tomadas durante varios meses; las tasas de ocupación de los estacionamientos pueden correlacionarse con las ventas. Así como información sobre el tráfico peatonal en la zona donde está prevista la apertura de la tienda. Al combinar este conocimiento, puede aprender algo nuevo que lo ayudará en su negocio.
S&P Global también brinda servicios de análisis para intercambios de productos básicos, y el CIO tiene que pensar constantemente en cómo ayudar fuentes alternativas Los datos ofrecen a los clientes más información sobre cómo combinar información diferente para brindarles información que no podrían obtener en ningún otro lugar.
Digamos que S&P Global tiene información de que una refinería de petróleo en Rotterdam puede producir 100.000 barriles de productos petrolíferos por día. Pero debido a la escasez de suministros procesa alrededor de 70 mil barriles, es decir, se dispone de capacidad libre para otros 30 mil ¿Qué pasará después de que ingrese al puerto un petrolero con 30 mil barriles? “Si el informe sobre la capacidad disponible de la refinería tiene una semana de antigüedad, entonces no sabremos que se acaba de descargar el petróleo”, explica Nathan. - Es decir, los datos tradicionales están desactualizados. Y aquí es donde una fuente de datos alternativa como las imágenes de satélite resulta útil. Si analizamos las imágenes de satélite junto con otras fuentes, obtenemos una imagen más precisa de las existencias y la producción casi en tiempo real ".
Datos alternativos y CIO
Incluso si no tiene casos de uso listos para usar, familiarícese con las nuevas tecnologías. Planifique sistemas que combinarán múltiples fuentes de datos para su análisis. Aprenda a administrar la cadena de entrega de datos, protéjala, tenga en cuenta los derechos de uso. Y contrate al personal adecuado: necesita científicos de datos experimentados que puedan analizarlos y extraer información útil.
Para comida rápida de un proyecto en el campo de datos alternativos, puede utilizar una solución lista para usar. Esto es lo que hizo S&P Global cuando Platts, una subsidiaria de la compañía, adquirió cFlow, un juego de herramientas de interpretación de imágenes satelitales. CFlow ofrece herramientas de visualización de datos que le permiten realizar un seguimiento de los cambios en los flujos comerciales a lo largo de las rutas de los buques, proporciona información sobre el volumen y la naturaleza de la carga de los buques tanque.
Convenza a la gerencia de que es hora de invertir en datos alternativos: comprar soluciones existentes o crear las suyas propias. Algunos de sus proyectos de datos alternativos valdrán la pena, pero muchos no funcionarán. Bueno, si los datos alternativos aportan información realmente valiosa, utilícelos para recaudar fondos para nuevos proyectos.
- Martha Heller. ¿Qué son los "datos alternativos" y cómo se pueden utilizar? CIO. 3 de enero de 2017
Los sistemas operativos Windows están dotados de dos características poco conocidas ocultar datos: arroyos Datos NTFS(también conocido como flujos de datos alternativos) y acceso a una lista de recursos basada en permisos de enumeración basada en acceso (ABE). Los flujos de datos alternativos brindan la capacidad de agregar información oculta, como información de archivo, a un archivo. Probablemente no necesite usar flujos de datos ocultos, pero los atacantes pueden usar esta tecnología en su contra, por lo que debe conocerla y saber cómo podría funcionar.
En cuanto al método ABE, puede aumentar su arsenal. Este método te permite hacer carpetas invisibles y archivos de recursos compartidos para aquellos usuarios que no tienen permiso para acceder a ellos.
Esto es lo que necesita saber sobre estos productos.
Ríos que alimentan el mar de datos
Los flujos de datos alternativos son una función del archivo Sistemas NTFS... Una vez se les dio a Windows NT 3.1 para permitir que los usuarios de NT y Macintosh compartieran archivos.
Un archivo NTFS se compone de flujos de datos. Este es el flujo de datos estándar $ DATA y posiblemente uno o más flujos de datos alternativos. Cualquiera con los permisos necesarios para trabajar en el archivo puede ver el flujo de datos $ DATA existente, abrirlo y leer y escribir datos en ese flujo.
El flujo de datos alternativo es información adicional o archivos que un usuario o una aplicación pueden adjuntar a un archivo NTFS. Solo el usuario que lo creó conoce la existencia de un flujo de datos alternativo. Por lo general, los usuarios no saben si se adjunta un flujo de datos alternativo al archivo; el caso es que ni el contenido de este flujo ni su nombre son visibles. Además, no hay forma de ver el cambio en el tamaño del archivo.
Hay muchas formas de utilizar flujos de datos alternativos. V Sistema de Windows Estos flujos se utilizan para almacenar datos resumidos de documentos generados por aplicaciones que no están incluidas. Microsoft Office como archivos de texto sin formato (.txt). Puede ingresar información resumida como título, tema e información del autor en la pestaña Resumen del cuadro de diálogo Propiedades del archivo. Estos datos de resumen se almacenan en el flujo de datos alternativo de SummaryInformation.
Las aplicaciones de Windows como el Sistema de cifrado de archivos (EFS) y el Explorador de Windows utilizan flujos de datos alternativos para adjuntar datos específicos de archivo a archivos almacenados en unidades con formato NTFS. EFS utiliza flujos de datos alternativos para adjuntar información de codificación y decodificación a archivos cifrados para permitir el cifrado y descifrado descentralizados a través de EFS.
Implementado en Windows XP Service Pack 2 (SP2) Aplicación de Microsoft explorador de Internet(IE) utiliza el flujo de datos alternativo Security.Zone para proporcionar una clasificación de zona de seguridad para los archivos escritos en un volumen NTFS. Como resultado, IE tiene la capacidad de bloquear los ataques de explotación que pueden ocurrir en situaciones en las que un usuario descarga código malicioso desde una zona de Internet insegura y almacena este código en el disco duro local. IE categoriza el contenido almacenado localmente en la zona de seguridad de la máquina local, que proporciona más privilegios que la zona de seguridad de Internet. XP SP2 siempre verifica el flujo de datos Security.Zone antes de permitir que el código cargado realice alguna acción en el sistema local.
Canal para inyectar código malicioso
Los flujos de datos alternativos se vuelven notables y peligrosos porque sus nombres y contenidos no aparecen en el Explorador de Windows. Por lo tanto, los organizadores de varios tipos de ataques consideran que dichos flujos son un medio conveniente para ocultar datos o códigos maliciosos que han ingresado al sistema. Un ejemplo del uso de estos hilos es el gusano [correo electrónico protegido] Los piratas informáticos utilizaron un flujo de datos alternativo para adjuntar varios scripts en el idioma a un archivo ODBC .ini existente Visual básico(VB).
Cuando se activa, el gusano crea cuenta con facultades administrativas y se reenvía a las direcciones que él mismo encuentre en la libreta de direcciones de Microsoft Outlook.
Otro peligro radica en el hecho de que el espacio en disco asignado para flujos de datos alternativos no se muestra en los datos sobre tamaños (archivos) y sobre el espacio en disco no asignado del Explorador de Windows. Un pirata informático puede usar flujos de datos alternativos para llenar el espacio en disco del servidor de archivos, y el administrador solo tendrá que pensar en intentar llegar al fondo del problema. Además, debe tenerse en cuenta que la utilidad de línea de comandos Dir no tiene en cuenta los flujos de datos alternativos al calcular los datos de tamaño (archivos y carpetas). Actualmente, solo hay una herramienta de Microsoft que puede dar cuenta de flujos de datos alternativos al calcular tamaños: la utilidad Chkdsk.
Agregar una nueva transmisión
Cualquiera que tenga acceso de escritura a un archivo NTFS puede usar los comandos habituales sistema operativo para adjuntar un flujo de datos alternativo al archivo. Por ejemplo, el siguiente comando crea un flujo de datos alternativo mystream, concatena mystream a un archivo llamado file.txt y almacena la frase "ultrasecreto" en mystream.
echo top secret> file.txt: mystream
Puede ver el contenido de mystream stream usando el comando
Como se señaló anteriormente, puede agregar a flujos de datos alternativos archivos ejecutables... Entonces, es posible agregar copia ciega Calculadora de Windows(calc.exe) al archivo file.txt. Para hacer esto, solo necesita ingresar el comando
escriba calc.exe> archivo.txt: calc.exe
Para iniciar la calculadora oculta, ingrese el comando
iniciar .file.txt: calc.exe
Puede comprobar por sí mismo que los flujos de datos alternativos y su contenido no se muestran en instrumental. Herramientas de Microsoft... Abrir Programa de Windows Explorer y vea las propiedades del archivo file.txt que contiene. De hecho, el tamaño del archivo es de 112 KB (este es el espacio que ocupa el archivo calc.exe incrustado), pero el programa mostrará el tamaño del archivo como 0 KB: no hay información sobre el archivo incrustado en $ DATA flujo de datos, y Aplicación de Windows Explorer no tiene la capacidad de leer información del flujo de datos alternativo.
Está claro que existen muchas amenazas asociadas con los flujos de datos alternativos, especialmente en las redes donde el trabajo sobre la emisión de permisos para acceder a los recursos NTFS no recibe la debida atención y no se controla estrictamente el acceso a los mismos. Servidores de Windows... Existe un mecanismo de seguridad simple que puede disuadir a los piratas informáticos de explotar flujos de datos alternativos, el sistema de control de acceso NTFS. Si los atacantes no tienen permiso para escribir datos en el archivo, no podrán crear flujos de datos alternativos y adjuntarlos a este archivo.
Identificando cambios
Si tiene la sensación de que los piratas informáticos lograron sortear la barrera establecer permisos, use uno de los desarrollados hasta ahora instrumentos descubrimiento del contenido de flujos de datos alternativos. Los verificadores de integridad del sistema, como Tripwire Enterprise y Tripwire for Servers, pueden detectar todos los cambios de NTFS que han tenido lugar en Windows, incluidas las adiciones o cambios al contenido de un flujo de datos.
Streams de Sysinternal es una utilidad de línea de comandos gratuita que determina los nombres de los flujos de datos alternativos adjuntos a los archivos. La Figura 1 muestra cómo usar la utilidad Streams para ver el nombre del flujo de datos calc.exe, que agregamos a file.txt anteriormente. Esta utilidad se puede descargar desde http://www.sysinternals.com/utilities/streams.html.
Otra forma sencilla de detectar un flujo de datos alternativo es con usando Windows Explorer copie el archivo sospechoso a la unidad desde sistema de archivos que no sea NTFS (digamos, una unidad FAT). Otros sistemas de archivos no están equipados con funciones de flujo de datos alternativo. Por lo tanto, si intenta copiar un archivo NTFS con flujos de datos alternativos adjuntos para colocarlo en un sistema de archivos diferente, NTFS mostrará una advertencia similar a la Figura 2. Pero tenga en cuenta que si copia el archivo desde la ventana del símbolo del sistema usando el comando Copiar, Windows lo copiará a algo que no sea Archivo NTFS sistema y sin previo aviso eliminará el flujo de datos.
Ocultar recursos compartidos con con ABE
ABE es funcion adicional capa de intercambio de archivos que Microsoft implementó por primera vez en un paquete Servidor de windows 2003 SP1. Se puede utilizar en cualquier recurso compartido de Windows, independientemente del sistema de archivos donde se almacenan los datos compartidos. ABE permite a los administradores ocultar carpetas y archivos almacenados en recursos compartidos de los usuarios que no tienen los permisos adecuados de nivel NTFS para acceder a ellos. En otras palabras, se trata de seguridad a nivel de carpeta.
En los casos en los que no se aplica ABE, los usuarios que se conectan a un directorio compartido ven todos los archivos y carpetas ubicados en el recurso compartido, incluidos los que no tienen permiso para leer y los que no tienen acceso a ellos. Cuando un usuario intenta abrir un archivo o carpeta a la que no tiene permiso de acceso, el sistema muestra un mensaje de error que explica que el acceso está denegado. Estos mensajes de error pueden resultar confusos para los usuarios, por lo que habilitar ABE puede reducir la carga de trabajo de la mesa de ayuda.
Sin embargo, el uso de ABE tiene sus inconvenientes. Antes de devolver la lista de objetos en la carpeta al cliente que se conecta al recurso compartido, el servidor debe verificar todas las ACL para esos objetos para poder determinar qué datos devolver. Esto puede resultar en una disminución significativa en el rendimiento del sistema, especialmente cuando se accede a recursos compartidos que contienen muchos objetos.
Las herramientas ABE son útiles, por ejemplo, para configurar recursos compartidos en los directorios de inicio de los usuarios. En lugar de crear un recurso compartido público oculto para el directorio de inicio de cada usuario, puede crear uno recurso compartido que contiene los directorios de inicio de todos los usuarios en el directorio de inicio raíz. Los usuarios se conectarán a este directorio raíz y puede usar ABE y permisos NTFS para controlar la visibilidad de los directorios de inicio de todos los usuarios.
Activar la función ABE
Esta función aplica el nuevo indicador de nivel de recurso compartido SHI1005_FLAGS_ENFORCE_NAMESPACE_ ACCESS; en el momento en que se escriben estas líneas, solo se implementa en Paquetes de Windows 2003 SP1 y versión 2 (R2). Esta bandera significa que está aplicando la función ABE a una de las carpetas.
Las extensiones de propiedad se pueden usar para establecer la bandera Carpetas de Windows Explorer o la herramienta de línea de comandos abecmd.exe. Microsoft distribuye la extensión ABE Explorer y abecmd.exe en el paquete de instalación ABE, que es módulo adicional por Plataformas Windows Servidor 2003 SP1. El paquete de instalación se puede descargar del sitio de Microsoft en http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D 9-78D9-4342-A485-B030AC442084. Dado que ABE es una extensión del lado del servidor, se puede usar sin importar qué Versión de Windows instalado en el cliente.
Después de instalar las herramientas ABE en el servidor, puede configurar este indicador para una carpeta en particular. Haga clic con el botón derecho en la carpeta, seleccione Propiedades, vaya a la pestaña Enumeración basada en acceso y seleccione la casilla de verificación Habilitar enumeración basada en acceso en esta carpeta compartida, como muestra la Figura 3. Para aplicar la función ABE a todos los recursos compartidos en el sistema , seleccione la opción Aplicar marcar esta carpeta a todas las carpetas compartidas existentes en esta computadora.
El segundo método consiste en utilizar la herramienta de línea de comandos abecmd.exe. Para aplicar la función ABE al recurso compartido de shareddocs, ingrese el siguiente comando:
abecmd / enable shareddocs
Puede usar la opción / all para habilitar ABE en todos los recursos disponibles y / deshabilitar para deshabilitar ABE.
Control de acceso
ABE es una herramienta simple que le permite restringir los permisos de los usuarios para acceder solo a los archivos que necesitan para funcionar. Los usuarios pueden encontrar fácilmente archivos requeridos porque no tienen que abrirse paso a través de carpetas irrelevantes y no se preocupan por el soporte con preguntas sobre por qué los archivos que no tienen permiso para abrir no se abren.
Para protegerse contra los piratas informáticos que utilizan flujos de datos alternativos, los administradores deben supervisar la configuración de control de acceso a los recursos públicos y utilizar una de las utilidades que he descrito para identificar los flujos de datos alternativos ocultos, así como los cambios de NTFS.
Jean de Klerk(declercq @hp .com) es un empleado de la oficina de seguridad de Hewlett-Packard. Comprometidos con la gestión de identidades y la seguridad Productos de Microsoft... autor Libros de Windows Infraestructuras de seguridad Server 2003 (Prensa digital). Se agregó compatibilidad con flujos de datos alternativos (AltDS) a NTFS para lograr compatibilidad con el sistema de archivos HFS de Macintosh, que usaba un flujo de recursos para almacenar iconos y otra información de archivo. El uso de AltDS está oculto para el usuario y no es accesible por medios convencionales. Explorer y otras aplicaciones funcionan con flujo estándar y no pueden leer datos de alternativas. Con AltDS, puede ocultar fácilmente los datos que no pueden ser detectados por las comprobaciones estándar del sistema. Este artículo proporcionará información básica sobre cómo funciona AltDS y cómo se define.Creación de AltDS
Es muy fácil crear AltDS. Para esto usaremos línea de comando... Primero, creemos archivo base al que adjuntaremos nuestros arroyos.C: \> echo Solo un archivo de texto del plan> sample.txtC: \> escriba sample.txt
Solo un archivo de texto del plan
A continuación, usaremos dos puntos como operador para indicar que usaremos AltDS:
C: \\> echo No puedes verme> sample.txt: secret.txt
Puede utilizar los siguientes comandos para ver el contenido:
C: \ más< sample.txt:secret.txt
o
C: \ notepad sample.txt: secret.txt
Si todo funciona bien, verá el texto: No puede verme, pero cuando lo abra desde el explorador, este texto no será visible. AltDS también se puede adjuntar no solo al archivo, sino también a la carpeta. . Para hacer esto, cree una carpeta y adjunte un poco de texto:
C: \> md cosas
C: \> cd cosas
C: \ cosas> echo Ocultar cosas en cosas>: hide.txt
C: \ cosas> dir
El volumen de la unidad C no tiene etiqueta.
El número de serie del volumen es 40CC-B506 Directorio de C: \ cosas
28/09/2004 10:19 a. M..
28/09/2004 10:19 a. M.…
0 Archivo (s) 0 bytes 2 Dir (s) 12,253,208,576 bytes libres
C: \ cosas> bloc de notas: hide.txt
Ahora sabe cómo ver y editar el AltDS adjunto con el bloc de notas, así como cómo adjuntarlo a archivos y carpetas.
Ocultar y ejecutar aplicaciones
Ocultar aplicaciones usando AltDS es tan fácil como probar archivos. Primero, creemos el archivo base nuevamente:A continuación, pongamos nuestra aplicación en una secuencia, por ejemplo, usé notepad.exe:
C: \ WINDOWS> escriba notepad.exe> test.txt: note.exe
Ahora asegurémonos de que todo en nuestro archivo también sea texto:
C: \ WINDOWS> escriba test.txt
Prueba
Ahora, para la parte divertida, iniciemos nuestra aplicación oculta:
C: \ WINDOWS> iniciar. \ Test.txt: note.exe
C: \ VENTANAS>
Dado que este artículo no es una traducción completa del artículo tomado, se enmarca como un tema simple. Se pueden encontrar técnicas adicionales en el enlace especificado.
UPD:
Utilidades AltDS (la lista se toma del artículo en el enlace anterior):
LADS - Listar flujos de datos alternativos por Frank Heyne
www.heysoft.de/Frames/f_sw_la_en.htm
Streams.exe de SysInternals.
El sistema de archivos NTFS tiene muchas características interesantes, una de las cuales es la disponibilidad de flujos de datos alternativos (ADS). Su esencia es que cada archivo en NTFS es un conjunto de secuencias en las que se almacenan datos. De forma predeterminada, todos los datos están en el flujo principal, pero se pueden agregar flujos de datos alternativos adicionales al archivo si es necesario.
Nota. Los flujos de datos alternativos en NTFS aparecieron hace mucho tiempo, en Windows NT. Fueron creados para ser compatibles con el sistema de archivos HFS, que luego se usó en MacOS. HFS mantuvo los datos de los archivos en un flujo de recursos dedicado.
Los archivos en NTFS se dividen en atributos, uno de los cuales es $ DATA o atributo de datos. Las secuencias son propiedades adicionales del atributo $ DATA. Por defecto, hay uno, el hilo principal $ DATA: ″ ″... Como puede ver, no tiene nombre, por eso se llama sin nombre... Además, si lo desea, puede crear transmisiones con nombre adicionales, por ejemplo. $ DATA: ″ Stream1 ″... Cada archivo en NTFS puede tener varios flujos de datos que contienen datos diferentes y no relacionados.
Todos los datos escritos en el archivo van al flujo de datos principal de forma predeterminada. Cuando abrimos el archivo, vemos exactamente el flujo principal, mientras que los flujos alternativos están ocultos para el usuario y no se muestran por medios convencionales. No pueden ser vistos formas estándar, aunque algunos programas pueden leer los datos ocultos en ellos. También puede utilizar la línea de comandos para trabajar con transmisiones.
Por ejemplo, abramos la consola y usemos el comando echo para crear un archivo de texto streams.txt y escribir el texto en él:
echo Esto es flujo principal> streams.txt
Y con el siguiente comando, escriba el texto en la secuencia alternativa stream1:
echo Esto es flujo alternativo> streams.txt: stream1
Si ahora abre el archivo streams.txt en cualquier editor de texto, luego veremos solo la primera entrada, el texto "Esta es una secuencia alternativa" permanecerá oculto. Puede leer la información oculta en stream1 con el comando:
más Se pueden agregar secuencias alternativas no solo a archivos individuales, sino también a directorios. Por ejemplo, agreguemos una secuencia de transmisión alternativa2 que contenga el texto "Ocultar transmisión en transmisiones" al directorio de transmisiones actual: echo Ocultar flujo en Streams>: stream2 Y mostraremos la secuencia stream2 con el siguiente comando: más<:stream2 El contenido de las transmisiones alternativas se puede abrir en algo más que en la consola. Por ejemplo, el Bloc de notas también puede acceder a datos ocultos en secuencias, si especifica el nombre de una secuencia alternativa en el nombre del archivo separado por dos puntos. Repitamos el ejemplo anterior, cambiando ligeramente el nombre de la secuencia a stream1.txt: echo Esta es una secuencia alternativa> streams.txt: stream1.txt Y abra una secuencia alternativa en el bloc de notas con el comando: bloc de notas streams.txt: stream1.txt Nota. El Bloc de notas estándar requiere la extensión txt en el nombre de la transmisión; de lo contrario, no podrá abrirlo. Los editores más avanzados, por ejemplo, el mismo Notepad ++, pueden mostrar el contenido de la secuencia alternativa independientemente de su nombre. La presencia de secuencias alternativas en un archivo no se muestra de ninguna manera en Explorer y otros administradores de archivos... Para encontrarlos, la forma más sencilla es utilizar el comando dir / R(empezando con Windows Vista), que muestra todos los flujos de datos, incluidos los alternativos. Podría pensar que el uso de transmisiones alternativas se limita a los datos textuales. Este no es el caso en absoluto, y absolutamente cualquier información se puede almacenar en flujos alternativos. Por ejemplo, creemos un archivo picture.txt y agreguemos la secuencia pic1.jpg, en la que colocamos la imagen del mismo nombre: echo Imagen> imagen.txt Por lo tanto, externamente tenemos un archivo de texto normal y para abrir una imagen de una secuencia alternativa en editor grafico Paint usamos el comando: mspaint picture.txt: pic1.jpg Del mismo modo, puede agregar cualquier dato a cualquier tipo de archivo: agregue imágenes a archivos de texto, agregue información de texto etc. Curiosamente, el contenido alternativo no aumenta el tamaño aparente del archivo, por ejemplo, agregando 1kB Archivo de texto Vídeo HD de 30 GB, el explorador de archivos seguirá mostrando un tamaño de archivo de 1 kB. También puede ocultar archivos ejecutables en secuencias alternativas. Por ejemplo, tomemos el archivo test.txt y agreguemos la aplicación Bloc de notas (notepad.exe) a la secuencia de note.exe alternativa: escriba notepad.exe> test.txt: note.exe Y para iniciar el bloc de notas oculto, use el comando: iniciar. \ test.txt: note.exe Por cierto, algunos programas maliciosos aprovechan esta oportunidad para agregar código ejecutable a secuencias alternativas de NTFS. Para trabajar con flujos alternativos, hay varios utilidades de terceros, por ejemplo, la utilidad de consola Streams from Sysinternals. Puede detectar la presencia de secuencias alternativas y eliminarlas. La utilidad no requiere instalación, basta con descomprimirla y ejecutarla. Por ejemplo, verifiquemos la presencia de streams en la carpeta Streams con el comando: Streams.exe -s C: \ Streams Y elimine las secuencias alternativas del archivo streams.txt: Streams.exe -d C: \ Streams \ streams.txt PowerShell también sabe cómo trabajar con flujos alternativos: crear, detectar, mostrar su contenido e incluso eliminarlo. Por ejemplo, creemos un archivo de texto: New-Item -Type file -Path C: \ Streams \ stream.txt Agreguemos una entrada a la transmisión principal: Set-Content -Path C: \ Streams \ stream.txt -Value ″ Main stream ″ Y a una secuencia alternativa llamada Second: Set-Content -Path C: \ Streams \ stream.txt -Value ″ Second stream ″ -Stream Second Luego mostraremos el contenido de la principal Get-Content -Path C: \ Streams \ stream.txt y corrientes alternativas: Get-Content -Path C: \ Streams \ stream.txt -Stream Second Para detectar la presencia de flujos alternativos, puede utilizar el comando: Get-Item -Path C: \ Streams \ stream.txt -Stream * Y puede eliminar transmisiones innecesarias con el comando: Eliminar-elemento -Ruta C: \ Streams \ streams.txt -Stream * Windows y algunos programas utilizan secuencias alternativas. Por ejemplo, Internet Explorer divide la red en 4 zonas de seguridad y, al descargar archivos, les agrega etiquetas que contienen información sobre la zona desde la que se descargaron. Estas etiquetas se almacenan en la secuencia alternativa y representan un número del 0 al 4: Internet (3) Para verificar esto, vayamos a la carpeta de descargas, tome el archivo descargado de Internet y verifique si hay transmisiones alternativas. Como puede ver, contiene una secuencia denominada Identificador de zona que contiene la línea ZoneID = 3. Esto significa que el archivo pertenece a la zona no confiable de Internet y debe tener cuidado al abrirlo. Algunos programas, como Word, leen estos datos cuando abre el archivo y emiten una advertencia. Además, la infraestructura de clasificación de archivos (FCI) se basa en el uso de flujos alternativos. De programas de terceros las corrientes alternativas utilizan algunos software antivirus En particular, Kaspersky Anti-Virus almacena en ellos la suma de comprobación obtenida como resultado del análisis. Sin embargo, el uso de flujos alternativos no se limita a esto, usted mismo puede idear cualquier uso para ellos. Por ejemplo, con su ayuda, puede ocultar información personal de miradas indiscretas. Los archivos que contienen secuencias alternativas se pueden copiar o mover libremente de un disco a otro; todas las secuencias se copiarán junto con el archivo. Y, sin embargo, cuando utilice secuencias alternativas, recuerde que están rígidamente vinculadas al sistema de archivos NTFS. Para usarlos, los archivos deben estar ubicados en discos con NTFS, respectivamente, puede trabajar con ellos solo desde Windows. Si mueve el archivo a cualquier otro sistema de archivos, se perderán todas las secuencias excepto la principal. Las transmisiones alternativas también se truncan cuando se transfieren archivos a través de FTP o cuando se envían como un archivo adjunto de correo electrónico. Todavía: ADS le permite agregar cualquier archivo a otros archivos e incluso directorios (!). El propio sistema operativo usa esto de vez en cuando, agregando el flujo "Zone.Identifier" a los archivos descargados de Internet. Zone.Identifier, por cierto, se puede editar para eliminar las advertencias “este archivo se descargó de Internet. ¿Abrir en modo seguro? " Puede agregar una secuencia a cualquier archivo como este: tratar de encontrar ejecutar exe así: si no funcionó, entonces así: Esto, por ejemplo, vinculará la calculadora a la unidad raíz C (!) Y la lanzará a través del enlace C: \> escriba sample.txt UPD: LADS - Listar flujos de datos alternativos por Frank Heyne Streams.exe de SysInternals.
escriba pic1.jpg> imagen.jpg: pic1.jpg
Utilidad Streams
Potencia Shell
Uso
Red local (1)
Sitios de confianza (2)
Sitios peligrosos (4)
Computadora local (0)
Tomado de http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/
ADS es una función incorporada del sistema de archivos NTFS que no se puede desactivar de ninguna manera.
escriba file1> file2: file3
dir / r
iniciar archivo2: archivo3
mklink archivo4 archivo2: archivo3
iniciar file4
Creación de AltDS
Es muy fácil crear AltDS. Para hacer esto, usaremos la línea de comando. Primero, creemos un archivo base al que adjuntaremos nuestras transmisiones. C: \> echo Solo un archivo de texto del plan> sample.txt
Solo un archivo de texto del plan
A continuación, usaremos dos puntos como operador para indicar que usaremos AltDS: C: \\> echo No puedes verme> sample.txt: secret.txt
Puede utilizar los siguientes comandos para ver el contenido: C: \ más< sample.txt:secret.txt
o C: \ notepad sample.txt: secret.txt
Si todo funciona bien, verá el texto: No puede verme, pero cuando lo abra desde el explorador, este texto no será visible. AltDS también se puede adjuntar no solo al archivo, sino también a la carpeta. . Para hacer esto, cree una carpeta y adjunte un poco de texto: C: \> md cosas
C: \> cd cosas
C: \ cosas> echo Ocultar cosas en cosas>: hide.txt
C: \ cosas> dir
El volumen de la unidad C no tiene etiqueta.
El número de serie del volumen es 40CC-B506 Directorio de C: \ cosas
28/09/2004 10:19 a. M.
28/09/2004 10:19 a. M.
0 Archivo (s) 0 bytes 2 Dir (s) 12,253,208,576 bytes libres
C: \ cosas> bloc de notas: hide.txt
Ahora sabe cómo ver y editar el AltDS adjunto con el bloc de notas, así como cómo adjuntarlo a archivos y carpetas. Ocultar y ejecutar aplicaciones
Ocultar aplicaciones usando AltDS es tan fácil como probar archivos. Primero, creemos el archivo base nuevamente:
A continuación, pongamos nuestra aplicación en una secuencia, por ejemplo, usé notepad.exe: C: \ WINDOWS> escriba notepad.exe> test.txt: note.exe
Ahora asegurémonos de que todo en nuestro archivo también sea texto: C: \ WINDOWS> escriba test.txt
Prueba
Ahora, para la parte divertida, iniciemos nuestra aplicación oculta: C: \ WINDOWS> iniciar. \ Test.txt: note.exe
C: \ VENTANAS>
Dado que este artículo no es una traducción completa del artículo tomado, se enmarca como un tema simple. Se pueden encontrar técnicas adicionales en el enlace especificado. Utilidades AltDS (la lista se toma del artículo en el enlace anterior):
www.heysoft.de/Frames/f_sw_la_en.htm