el principal / Problemas / Mover un archivo con un flujo alternativo. Corrientes de datos alternativos en NTFS

Mover un archivo con un flujo alternativo. Corrientes de datos alternativos en NTFS

Los sistemas operativos de Windows están dotados de dos funciones poco conocidas Ocultaciones de datos: flujos de datos NTFS (también conocidos como flujos de datos alternativos) y acceso a la lista de recursos basados \u200b\u200ben la base de datos de permisos de enumeración basada en acceso (ABE). Corrientes alternativos Los datos se les permite agregar a la información oculta del archivo, como la información del archivo. Sin embargo, es más probable que no tiene que usar flujos de datos ocultos, sin embargo, los atacantes pueden usar esta tecnología en su contra, para que sea necesario tener una idea sobre ella y cómo puede funcionar.

En cuanto al método Abe, puede reponer su arsenal. Este método le permite hacer carpetas invisibles y los archivos compartidos los recursos para aquellos usuarios que no tienen permisos para acceder a ellos.

Eso es lo que necesitas saber sobre estos fondos.

Ríos alimentando el mar de datos.

Los flujos de datos alternativos son la función del sistema de archivos NTFS. El sistema Windows NT 3.1 se energizó con ellos para permitir que los usuarios de NT y Macintosh compartan archivos.

El archivo NTFS consiste en flujos de datos. Este es un flujo de datos de datos estándar $, y quizás una o más flujos de datos alternativos. Cualquier usuario que tenga los permisos necesarios para trabajar con el archivo ve un flujo de datos de datos $ existente, puede abrirlo, así como leer y escribir datos a este hilo.

El flujo de datos alternativos es información adicional o archivos que el usuario o la aplicación pueden adjuntar al archivo NTFS. Solo el usuario que lo creó sabe sobre la existencia de un flujo de datos alternativos. Por lo general, los usuarios no saben si se adjunta un flujo de datos alternativo al archivo; El hecho es que ni los contenidos de este flujo ni su nombre son visibles. Además, no es posible ver el cambio en el tamaño del archivo.

Hay muchas maneras de usar flujos alternativos de datos. EN sistema de Windows Estas corrientes se utilizan para almacenar datos de resumen creados por aplicaciones que no están incluidas en el kit. Microsoft Office., como archivos de texto simples (.txt). Los datos consolidados, como el título, el tema y los datos sobre el autor, se pueden ingresar en el cuadro de diálogo Propiedades de la pestaña Resumen del archivo correspondiente. Estos datos de resumen se almacenan en un flujo de datos de resumen alternativo.

Las aplicaciones de Windows, como el cifrado del sistema de archivos (EFS) y el Explorador de Windows, usan flujos de datos alternativos para adjuntarlos relacionados con estos u otros archivos de datos a los archivos que se almacenan en las unidades formateadas en el sistema NTFS. El programa EFS que utiliza flujos de datos alternativos se une a la información de archivos cifrados sobre la codificación y decodificación, lo que garantiza la posibilidad de que el cifrado y descifrado descentralizado por medio de este programa.

Implementado en el paquete Windows XP Service Pack 2 (SP2) aplicación de Microsoft Explorador de Internet. (Es decir,) utiliza un Security Alternative.Zone Stream de datos para proporcionar clasificación por las zonas de seguridad registradas en el volumen NTFS. Como resultado, es decir, tiene la capacidad de bloquear la expansión del alcance de los derechos de los ataques de los ataques del usuario que pueden ocurrir en situaciones donde el usuario carga código malicioso De la seguridad de la zona de seguridad no confiable y guarda este código en un disco duro local. Es decir, relaciona el contenido guardado localmente a la zona de seguridad de la máquina local, que prevé la provisión de derechos más largos que el área de seguridad de Internet. El paquete XP SP2 siempre verifica el Security.Zone Data Stream antes de permitir que el código descargado tome cualquier acción en el sistema local.

Canal para código malicioso

Los flujos de datos alternativos dibujados y peligrosos se convierten en la razón de que sus nombres y contenido no se muestran en la ventana Programa de Windows Explorer. Por lo tanto, los organizadores de diversos tipos de ataques consideran tales flujos con un medio conveniente para ocultar los datos o un código malicioso que ha caído en el sistema. Un ejemplo de usar estos hilos puede ser un gusano. [Correo electrónico protegido] Los hackers utilizaron un flujo de datos alternativos para conectarse a un archivo ODBC de un archivo existente de múltiples scripts en Visual Basic (VB).

Al activar el gusano crea cuenta Con la autoridad administrativa y se envía a las direcciones que la propia Outlook de Microsoft detecta en la libreta de direcciones.

Otro peligro radica en el hecho de que el espacio en disco asignado para flujos de datos alternativos no se muestra en los datos de tamaño (archivos) y el espacio no en disco del programa de Windows Explorer. El hacker puede usar flujos de datos alternativos para llenar el espacio del disco del servidor de archivos, y el administrador solo permanecerá para romper la cabeza, tratando de llegar a la causa del problema. Además, debo decir que la utilidad de línea de comandos DIR no tiene en cuenta los flujos de datos alternativos al contar datos en tamaños (archivos y carpetas). Hoy en día, solo hay una herramienta de Microsoft que puede tener en cuenta los flujos de datos alternativos al contar los tamaños: esta es la utilidad ChKDSK.

Añadiendo un nuevo flujo

Cualquier persona que tenga derecho a escribir al archivo NTFS puede usar los comandos habituales del sistema operativo para adjuntar el archivo de flujo de datos alternativo. Por ejemplo, el siguiente comando crea un flujo de datos de Mistream alternativo, conecta MyStream al archivo llamado File.txt y guarda la frase "Top Secret" en la corriente de Mystream.

echo Top Secret\u003e File.txt: Mystream

Ver los contenidos de la corriente de Mystream usando el comando.

Como ya se señaló anteriormente, se pueden agregar archivos ejecutables a flujos alternativos de datos. Entonces, hay una oportunidad para agregar una copia oculta. calculadora de Windows (Calc.exe) a archivo file.txt. Para hacer esto, solo ingrese el comando

escriba calc.exe\u003e \u200b\u200bfile.txt: calc.exe

Para iniciar una calculadora oculta, ingrese el comando

iniciar .file.txt: calc.exe

Usted mismo puede asegurarse de que los flujos de datos alternativos y sus contenidos no se muestren en el instrumental productos de Microsoft. Abierto programa de Windows Explorer y vea las propiedades del archivo File.txt en él. De hecho, el tamaño del archivo es de 112 kb (tanto espacio ocupa el archivo de CALC.EXE incorporado), pero el programa mostrará el tamaño del archivo a 0 KB: En el flujo de datos de datos $ no hay información sobre la incorporada. en el archivo, y aplicación de Windows Explorer no tiene la capacidad de leer información del flujo de datos alternativos.

Está claro que muchas amenazas están asociadas con flujos alternativos de datos, especialmente en redes donde el trabajo sobre los permisos de emisión para apelar a los recursos de NTFS no se le paga la atención por la atención y no se instala el control de acceso duro. servidores de Windows. Existe un simple mecanismo de protección capaz de evitar intentos de piratas informáticos usar flujos de datos alternativos: sistema de control de acceso NTFS. Si los atacantes no tienen permiso para escribir datos en un archivo, no podrán crear flujos de datos alternativos y adjuntarlos a este archivo.

Detección de cambios.

Si tiene la sensación de que los hackers lograron moverse por el cómplice de los permisos establecidos, use uno de los desarrollados actualmente. herramientas Detección de flujos de datos alternativos. Los programas para probar la integridad del sistema, como Tripwire Enterprise y Tripwire para servidores, le permiten identificar todos los cambios en el sistema de archivos NTFS que se produjo en el sistema de Windows, que incluyen agregar o cambiar el contenido de flujo de datos.

El programa de programas Sysinternal Streams es una utilidad de línea de comandos gratuita que define los nombres de los flujos de datos alternativos adjuntos a los archivos. En la pantalla 1 muestra cómo usar la utilidad Streams para ver el nombre de flujo de datos de Calic.exe, que previamente hemos agregado al archivo File.txt. Esta utilidad se puede descargar en http://www.sysinternals.com/utens.streams.html.

Otra forma sencilla de detectar un flujo de datos alternativo, con usando Windows Explorer Copie un archivo sospechoso a un archivo con un sistema de archivos que no sea NTFS (por ejemplo, en la unidad de grasa). Otros sistemas de archivos no están equipados con medios para trabajar con flujos de datos alternativos. Por lo tanto, si intenta copiar el archivo NTFS con flujos de datos alternativos adjuntos para colocarlo en otro sistema de archivos, NTFS mostrará una advertencia similar a la que se muestra en la pantalla 2. Pero tenga en cuenta que si copia este archivo en el comando La ventana de línea con el comando de copia Windows lo copiará a diferentes de NTFS sistema de archivos Y sin previo aviso eliminará el flujo de datos.

Ocultando los recursos compartidos utilizando Abe

Abe es característica adicional Niveles de intercambio de archivos que Microsoft implementó por primera vez en el paquete Servidor de windows 2003 SP1. Se puede utilizar en cualquier directorio general de Windows, independientemente del cual se almacenan los datos compartidos del sistema de archivos. Abe permite a los administradores ocultar las carpetas almacenadas en los recursos públicos y los archivos de aquellos usuarios que no tienen permisos adecuados para acceder a ellos en el nivel NTFS. En otras palabras, estamos hablando de garantizar la seguridad a nivel de carpeta.

En los casos en que Abe no se aplica, los usuarios, se conectan a un directorio común, consulte todos los archivos y carpetas publicados en el recurso general, incluidos los para leerlos, no hay permisos, y aquellos que están bloqueados. Cuando el usuario intenta abrir un archivo o carpeta, acceda a la que no está permitido, el sistema emite un mensaje de error con una explicación de la prohibición de acceso. Estos mensajes de error pueden confundir a los usuarios, de modo que la activación ABE le permita reducir el soporte del servicio de soporte.

Sin embargo, el uso de Abe tiene sus propias minuses. Antes de devolver una lista de objetos contenidos en la carpeta de objetos conectados a un recurso común, el servidor debe verificar todas las listas de control de acceso a estos objetos: solo después de eso, puede determinar qué datos deben devolverse. Como resultado, se puede observar una disminución significativa en el rendimiento del sistema, especialmente cuando se accede a los recursos comunes que contienen muchos objetos.

Las herramientas ABE son apropiadas para aplicar, por ejemplo, para configurar los recursos públicos en los directores de usuarios de usuarios. En lugar de crear un recurso público oculto para el directorio de inicio de cada usuario, puede crear uno recurso compartidoque contiene directorios de viviendas de todos los usuarios en la carpeta de directorio de inicio de la raíz. Los usuarios se conectarán a este directorio raíz, y puede usar ABE, así como los permisos de NTFS para controlar la visibilidad del directorio de inicio de todos los usuarios.

Activación de la función ABE.

Esta característica utiliza un nuevo shi1005_flags_enforce_namespace_ Access; En ese momento, cuando estas líneas están escritas, se implementa solo en paquetes de Windows 2003 SP1 y versión 2 (R2). Esta bandera significa que usa la función ABE a una de las carpetas.

Para instalar la bandera, puede usar las extensiones de propiedades. carpetas de Windows Línea de comando Explorer o ABECMD.EXE. Microsoft distribuye la extensión ABE Explorer y ABECMD.EXE en el paquete de instalación de Abe, que es módulo adicional por plataformas de Windows Servidor 2003 SP1. El paquete de instalación se puede descargar desde el nodo Microsoft en http://www.microsoft.com/downloads/details.aspx?familyid\u003d04A563D 9-785-B03042-A485-B030AC442084. Dado que ABE es una extensión del servidor, se puede usar independientemente de qué versión de Windows esté instalada en el cliente.

Después de instalar las herramientas ABE en el servidor, puede configurar esta marca para una carpeta en particular. Haga clic en la carpeta de clic derecho, seleccione Propiedades, vaya a la pestaña de enumeración basada en el acceso y configure la enumeración a base de acceso en esta bandera de carpeta compartida, como se muestra en la pantalla 3. Para aplicar la función ABE a todos los recursos públicos de El sistema, instale el ajuste de la configuración de esta carpeta en todas las carpetas compartidas existentes en esta computadora.

La segunda forma es usar la herramienta de línea de comandos ABECMD.EXE. Para aplicar la función ABE al recurso público de ShareDDocs, ingrese el siguiente comando:

aBECMD / Habilitar SharedDocs

Para activar la función ABE en todos los recursos disponibles, puede usar el parámetro / todos los parámetros, y para deshabilitar ABE: el parámetro / desactivación.

Control de acceso

ABE es una herramienta simple que le permite limitar los poderes de los usuarios solo a los archivos que se necesitan para funcionar. Los usuarios pueden encontrar fácilmente archivosDebido a que no tienen que navegar a través de las carpetas que no están relacionadas con el caso, y no molestan el servicio de soporte con preguntas sobre por qué no hay archivos, permisos para trabajar con los que no tienen.

Para proteger contra piratas informáticos que utilizan flujos alternativos de datos, los administradores deben seguir la configuración de control de acceso para los recursos públicos y usar una de las utilidades descritas por ME para detectar flujos de datos alternativos ocultos, así como cambios en el sistema NTFS.

Jean de Secretario (Declercq @hp .com) - Oficina de seguridad de los empleados Hewlett -Packard. Participado en la gestión de la identificación y seguridad. productos de Microsoft. El autor de las infraestructuras de seguridad de Windows Server 2003 (Press Digital Press, press). Se agregó soporte para flujos de datos alternativos (ALTD) a NTFS para compatibilidad con el sistema de archivos HFS de Macintosh, que utilizó el flujo de recursos para almacenar los iconos y otra información de archivo. El uso de ALTDS está oculto del usuario y no está disponible por medios convencionales. El conductor y otras aplicaciones funcionan con un flujo estándar y no pueden leer datos de la alternativa. Con ALTDS, puede ocultar fácilmente los datos que no pueden ser detectados por las verificaciones estándar del sistema. Este artículo le dará información básica sobre el trabajo y la definición de ALTDS.

Creando altas.

Crear alts es muy fácil. Para hacer esto, usamos la línea de comandos. Para empezar, creando archivo básico.A los cuales adjuntaremos nuestros arroyos.

C: \\\u003e Echo solo un archivo de texto de plan\u003e Sample.txt
C: \\\u003e Tipo Sample.txt
Solo un archivo de texto del plan

A continuación, usaremos el colon como operador para indicar que usaremos ALTDS:

C: \\\\\u003e echo No puedes verme\u003e Sample.txt: Secret.txt

Puede usar los siguientes comandos para ver los contenidos:

C: \\ más< sample.txt:secret.txt

C: \\ Notepad Sample.txt: Secret.txt

Si todo funciona bien, entonces verá el texto: no puede verme, y cuando se abre desde el conductor, este texto no será visible. Las altas se pueden conectar no solo al archivo, sino también a la carpeta. Para hacer esto, crearemos una carpeta y nos reiremos Sette:

C: \\\u003e MD 'MD
C: \\\u003e CD
C: \\ Stuff\u003e Echo Ocultar cosas en cosas\u003e: hide.txt
C: \\ cosas\u003e dir
El volumen en la unidad C no tiene etiqueta.
El número de serie de volumen es 40CC-B506Directory de C: \\ Stuff
28/09/2004 10:19 am. .
28/09/2004 10:19 am.…
0 archivo (s) 0 bytes2 dir (s) 12,253,208,576 bytes gratis
C: \\ Stuff\u003e Bloc de notas: hide.txt

Ahora, usted sabe cómo ver y editar las ALTD adjunta, así como cómo adjuntarlo a archivos y carpetas.

Ocultar y lanzar aplicaciones

Oculte aplicaciones utilizando ALTDS de forma fácil como archivos de prueba. Para empezar, cree un archivo básico nuevamente:

A continuación, coloque nuestra aplicación en el flujo, por ejemplo, utilicé notepad.exe:

C: \\ Windows\u003e Type Notepad.exe\u003e \u200b\u200btest.txt: note.exe

Ahora asegúrese de que en nuestro archivo también sea el texto:

C: \\ Windows\u003e Type Test.txt
Prueba

Y ahora lo más interesante, lanza nuestra aplicación oculta:

C: \\ Windows\u003e Inicio. \\ Test.txt: note.exe
C: \\ Windows\u003e

Dado que este artículo no es una traducción completa del artículo tomado, está decorado como un tema simple. Se pueden encontrar recepciones adicionales en el enlace indicado.

UPP:

Utilidades para trabajar con ALTDS (lista tomada del artículo sobre el enlace anterior):

LIGTOS - LISTA LLIQUE LOS CLUCOS DE DATOS ALTERNOS POR FRANK HEYNE
www.heysoft.de/frames/f_sw_la_en.htm.

Streams.exe de Sysinternals.

El artículo está escrito para la revista "Hacker" en 2004. Salió en la habitación 09/04 (69) llamados "flujos destructivos".

Captando el siguiente sistema NT y estableciendo su software de espía casero, es necesario resolver el problema de almacenar la información recopilada en la computadora de la víctima. Generalmente el registro está escrito en un archivo simple en el catálogo con gran cantidad Archivos, por ejemplo, en System32.

Características de NTFS

Esto es común, pero lejos de la mejor manera Ocultar información sobre computadora local. Existe la posibilidad de que el usuario notará un archivo adicional y actualizado constantemente, que de repente apareció repentinamente en su directorio del sistema. Agregar un registro a un archivo existente? Primero, debe encontrar dicho archivo, agregar a qué información no arruinará su contenido. ¿Qué pasa con mantener la información en un lugar así que no será visible desde el conductor, ni desde la línea de comandos, ni de ninguna administrador de archivos? Esta característica nos proporciona el sistema de archivos NTFS. Rara vez lo cumplirá en la persona habitual de la persona doméstica, ya que la mayoría de los usuarios aún prefieren FAT32, incluso aquellos que están sentados bajo XP. Pero en la red local de cualquier empresa que trabaja en Win2K / XP, NTFS se usa casi seguramente, porque este sistema de archivos proporciona funciones, como asignar derechos de acceso a los usuarios, cifrado y compresión de archivos. Además, NTFS es mucho más confiable que FAT32. Por lo tanto, el método de ocultar los datos que describiré es ideal para el espionaje industrial. Con la llegada de Longhorn, NTFS tiene la oportunidad de establecerse y en los componentes domésticos, ya que el próximo sistema de archivos WINFS, basado en NTFS, promesas características adicionales en el pedido y búsqueda de información que debe atraer a los usuarios ordinarios.

Capping al archivo cualquier dato

El método es guardar los datos que no al archivo, como de costumbre, y en el archivo Stream NTFS. La corriente se puede adjuntar a otro archivo (en este caso, su tamaño no cambia, y los datos permanecen intactos y, por lo tanto, las utilidades que verifique que los CAMPS de los archivos no notarán cambios) al catálogo o al disco. Los flujos alternativos de archivos NTFS son una de las posibilidades de NTF, presentes en ella desde la primera vez versiones de Windows NUEVO TESTAMENTO. Se encuentra en el hecho de que un archivo puede tener varias transmisiones que contienen datos, con solo el hilo principal en el que se almacena el contenido del archivo. Algo similar se encuentra en el sistema de archivos HFS en Macs. Hay hilos (flujos) se llaman ramificación (horquillas). Hasta hace poco, se utilizaron como un repositorio de recursos de archivos o información contenida sobre el tipo de archivo. Con la llegada de MacOS X, Apple recomendó colocar recursos en archivos separadosy tipos de archivos para determinar las extensiones. Pero el apoyo de la ramificación permanece de todos modos. En Windows, los arroyos se usan generalmente para almacenar cualquier para más información Sobre el archivo. Por ejemplo, un flujo puede contener un resumen de documentos. Si el sistema está en el disco con NTFS, el archivo explorer.exe probablemente contiene un resumen. Dependiendo de los contenidos del resumen, las transmisiones con los nombres de laformación de resumen, documentosUnformeInformación y otros pueden adjuntarse al archivo. En mi computadora, encontré un arroyo llamado $ MOUNTMGRRREMOTATIADABASA, unido a la unidad C.

En los arroyos adjuntos al archivo de flujo solo puede aprender en algunos casos, por ejemplo, al copiar un archivo con un flujo adjunto a un disco con FAT / FAT32. Estos sistemas de archivos no los apoyan, por lo que el sistema le dará una solicitud para confirmar la pérdida de información en los flujos, lo que indica su nombre. Por supuesto, esta situación nunca surgirá si el hilo está conectado al disco o a la carpeta del sistema. No es necesario usar arroyos de spyware. Si usted es un desarrollador de programas shareware, puede usar fácilmente las transmisiones de información de flujo, el número de días antes de la expiración del término de uso, la palabra, todo lo que debe estar oculto a partir de su programa.

Trabajando con flujos

Al trabajar con archivos y flujos, hay similitudes y diferencias. Parece que no tanto. Tanto los archivos como sus flujos se crean y eliminan por las mismas funciones de Winapi CreateFile y DeleteFile. La lectura y la escritura se implementan, respectivamente, FUNCIONES FUNCIONES READESFILES Y WREDFILE. Hay similitudes sobre esta similitud, entonces se van algunas diferencias. En los nombres de los hilos pueden contenidos especialivers, que no pueden ser parte del nombre del archivo normal: como "*", "?", "<”, “>"," | " y símbolo de cotización. En general, cualquier nombre de la corriente se guarda en formato Unicode. Los horarios del rango 0x01 - 0x20 todavía se pueden utilizar. No hay una copia de flujo estándar y la función de transferencia: MoveFile y CopyFile no funcionan con hilos. Pero nadie se molesta para escribir sus funciones. Los hilos no tienen atributos, creación y fechas de acceso. Se heredan del archivo al que se adjunta. Si hay datos en el archivo en sí, también pueden representarse como un flujo. Los nombres de flujo se muestran como "Nombre de archivo: nombre de interior: atributo". El atributo de flujo estándar en el que se llaman los datos $ DATA. Hay muchos otros atributos cuyos nombres también están a partir del signo "$". Los contenidos del archivo se encuentran en el flujo sin nombre (Name_Name :: $ Datos). Con esta propiedad del sistema de archivos, representa el contenido del archivo en forma de un flujo, se conectó un error en el más viejo versiones de Microsoft IIS, cuando un hacker que quisiera conocer el texto de un script en un servidor vulnerable, simplemente agregó a su nombre ":: $ DATOS", y el servidor, en lugar de ejecutar el script, emitió su código fuente. Trabajar con arroyos es similar a trabajar con archivos. Listado 1. Este es un ejemplo simple de un programa que crea un archivo con un flujo y la información que le escribe. Después de iniciar el programa, aparecerá un archivo vacío "TestFile" en su directorio. Puedes ver los contenidos de la corriente adjunta escribiendo línea de comando "Más< testfile:stream». Как видишь, имя потока указывается после имени файла, отделенное от него знаком двоеточия. Самое трудное при работе с потоками – это получить их список для archivo específico.. No hay función estándar, y por lo tanto tienes que escribirlo tú mismo. Escribe pequeño programa de consolaque devolvería una lista de flujos por nombre de archivo. Tal programa es los chicos de Sysinternals, con fuente abiertaY ella trabaja, pero no me gustó su camino. Utilizan llamadas API nativas, y por lo tanto, su código es grande y difícil de entender. Escribiremos su PROG que funcionará desde la línea de comandos, con el algoritmo más simple y con las características de API estándar.

Recibimos una lista de flujos.

El algoritmo se basa en la aplicación de la función Backupread. Está destinado a copia de reserva archivos. Cuando tu lo hagas respaldo Archivo, es importante guardar la mayor cantidad de datos posible, incluidas las transmisiones de archivos. La información se toma de la estructura Win32_Stream_ID. Desde allí puede obtener el nombre de la corriente, su tipo y tamaño. Solo necesitaremos hilos como Backup_alternate_Data. Todas las funciones y estructuras se describen en el archivo de encabezado Winnt.h. Primero, necesita abrir un archivo de lectura usando CreateFile. En el parámetro DWFLAGSANDATTRIBUTETRIBUTY, debe especificar la bandera FILE_FLAG_BACHUP_SEMANTICS, que le permitirá abrir no solo archivos, sino también directorios. Luego ejecute el ciclo del tiempo, que lee la información del archivo en la estructura SID, desde la cual obtendremos información sobre cada flujo. Antes del siguiente ciclo pase, limpiamos la estructura y cambiamos el puntero del archivo al siguiente hilo usando la función BackupseEk. Después de que se encuentren todos los arroyos, limpiamos LPContext que contiene información de servicio y cierre el archivo. El código fuente del programa se enumera al listado 2. Ya compilado PROG puede llevar de nuestro disco. Trabajar con hilos opcionales para escribir. programas especiales. Puedes hacer algo directamente desde la línea de comandos. Se muestran varios ejemplos en la inserción.

Detección

Adjuntando el flujo con información a cualquier cosa, es difícil llegar a su contenido, sin saber su nombre. Si la corriente adjunta a lo lógico, entonces no hay herramientas estándarpara detectarlo. Dado que el nombre de flujo puede contener caracteres, no válido en los nombres de los archivos ordinarios, crea dificultades adicionales cuando intenta averiguar los contenidos del flujo utilizando la línea de comandos. Los contenidos de los informes de documentos generalmente se almacenan en un flujo con un título que contiene un símbolo con un código 0x05. Este símbolo se puede escribir en la consola (CTRL + E), pero si fuera un símbolo 0x10 o 0x13 (Transporte de devolución y traducción de fila), entonces serían imposibles de marcarlos. Teóricamente, puede conocer las transmisiones adjuntas por casualidad, utilizando algún software, que es probable que tenga en su computadora. WinRAR tiene una opción, y si está habilitada, puede notar que el tamaño de un pequeño archivo ubicado en el archivo no solo se reduce, sino que incluso aumenta (debido al hecho de que los datos en las transmisiones también se colocan en el archivo). Esto puede causar sospechas. Un programa para rastrear llamadas al sistema de archivos: el filemonitor de los mismos sistemas, no hace diferencias entre archivos o hilos. En consecuencia, se emitirá el estudio atento del registro de las apelaciones al disco de un programa sospechoso (su keylogger) y el nombre del flujo donde se escribe el registro, y el nombre del archivo al que se adjunta.

Virus

En septiembre de 2000, hubo un primer virus que utiliza flujos alternativos de archivos para su distribución. W2K.Stream fue el primer representante del nuevo tipo de virus - Stream Companion. Él está buscando archivos en su directorio .exe, y si encuentra, comienza el proceso de infección. Se adjunta un flujo adicional al archivo al que el virus transfiere el contenido del archivo original, y luego el cuerpo del virus se copia en la transmisión del archivo principal. Después de iniciar el archivo infectado, el virus vuelve a intentar infectar archivos en su directorio y luego inicia el programa desde el flujo adicional. De hecho, utilizando la función CreateProcess, puede ejecutar un proceso desde la secuencia. Además, el archivo con la corriente se puede eliminar con calma, y \u200b\u200bel proceso permanecerá. ¡Solo un cuento de hadas para Trojanov! A pesar de que, dado que la aparición de W2K.STREAM ha pasado casi cuatro años, no todos los antivirus son capaces de detectar un código malicioso en flujos de archivos. Por lo tanto, la aparición de nuevos gusanos y virus que los usan puede ser un peligro grave.

Otros virus usando hilos.

Además de W2K.Stream, los arroyos encontraron uso en otros virus y gusanos. El primer gusano usado los flujos de archivos fue I-Worm.Potok. Este pequeño animal adjunta varios hilos al archivo ODBC.INI en el directorio de Windows y almacena los scripts para enviarle por correo. Otro virus es w2k.team. Descripción de estos y otros virus similares que puede encontrar en el sitio http://www.viruslist.com/

Trabajar con flujos de consola.

Creación de un archivo de transmisión:
Tipo NUL\u003e ALGANEFILE.TXT: STROP

Entrada de la corriente:
Echo "algo" \u003e\u003e someFile.txt: Stream

Lectura de flujo:
Más< somefile:Stream

Copie el contenido de un archivo existente en la transmisión:
Escriba file1.txt \u003e\u003e someFile.txt: Stream

Copiando el contenido de la transmisión al archivo:
Más< somefile.txt:Stream >\u003e File2.txt

Eliminación de arroyos

Existe una opinión de que el flujo solo se puede eliminar con el archivo al que se adjunta. Esto no es verdad. Si conoce el nombre de la secuencia, siempre puede eliminarlo con una función de Función de acceso aleteo estándar.

Listado 1. Ejemplo de creación de un flujo.

#Incluir. INT principal () (DWORD DWRET; manejar hstream \u003d CreateFile ("TestFeFile: Stream", Generic_Write, File_Share_Write, Null, Open_always, Null, Null); WriteFile (HFile, "Este es un arroyo", 17, & Dwret, Null) ; Closehandle (Hstream); devolver 0;)

Listado 2. X-Stream: Programa que muestra una lista de flujos

#Incluir. #Incluir. #Incluir. #Incluir. int _tmain (int argc, _tchar * argv) (win32_stream_id sid; zeromemory (& sid, sizeof (win32_stream_id)); DWORD DW1, DW2, DREADOS; INT Numofstreams \u003d 0; // Búfer para el nombre del flujo en Unicode WCHAR WSZStreamName ; lpvoid lpcontext \u003d null; / * * Abra el archivo para leer con el parámetro * file_flag_backup_semantics, que nos permite abrir no solo archivos, sino también directorios con discos. * / manejar hfile \u003d createfile (Argv, Generic_Read, File_Share_Read, NULL, open_existing, file_flag_backup_semantics, null); if (hfile \u003d\u003d inválido_handle_value) (Printf ("\\ NError: podría" abrir el archivo, el directorio o el disco% s \\ n ", ARGV); salida (0);) DWORD DWStreamHeadersize \u003d (LPBYTE ) & sid.cstreamname - (lpbyte) & sid + sid.dwstreamnamesize; printf ("\\ Nstreams información para% s: \\ n", argv); mientras (Backupread (HFile, (LPBYTE) & SID, DWSTEAMHEADERSIZE, & DREAD Falso, VERDADERO, & LPContext)) (/ / Si el tipo de flujo es incorrecto, luego interrumpe el ciclo IF (sid.dwstreamid \u003d\u003d backup_invalid) Break; Zeromemory (& wszstreamname, sizeof (Wszstreamname)); // Obtenga el nombre de la flecha de IF (! Backupread (HFile, LPBYTE) WszStreamName, Sid.Dwstreamnamesize, & DREADE, FALSE, TRUE, & LPContext)) Break; if (sid.dwstreamid \u003d\u003d backup_data || sid.dwstreamid \u003d\u003d backup_alternate_data) (numofstreams ++; printf ("\\ n \\ nstream \\ t \\ t #% u", numofstreams); interruptor (sid.dwstreamid) (Casas Backup_Data : Printf ("\\ nname: \\ t \\ t :: $ DATOS"); ROTAZA; CASO BACKUP_ALERNATE_DATA: PRUPTF ("\\ NNAME: \\ t \\ t% s", wszstreamname); romper;) printf ("\\ nesize: \\ nesize T \\ t% u \\ n ", sid.size);) // Muévete a la siguiente secuencia de backupseek (hfile, sid.size.lowpart, sid.size.highpart, & dw1, & dw2, & lpcontext); // Limpie la estructura antes del siguiente paso del ciclo Zeromemory (& SID, STEEDOF (SID)); ) // limpiar LPContext que contiene información de servicio // para trabajar Backupead Backupead (HFile, NULL, NULL, & DRESE, VERDADERO, FALSO, & LPContext); // cerrar el archivo CloseHandle (HFile); Return 0; )

El tema de los flujos de archivos también tiene lo siguiente:

Programa de NTFS Stream Explorer 2.00 para trabajar con Streams NTFS y

El propósito de este artículo para explicar el significado.
Corrientes de datos adicionales (flujos de datos alternativos)
en sistemas operativos Ventanas
Demuestra cómo crearlos y
comprometer el coche, cómo encontrar
Archivos ocultos usando públicamente disponibles
Utilidades. El primer paso tendrá que ser consciente
el significado de los anuncios y lo que amenazan llevan, entonces
Veamos cómo se usan para hackear.
Y finalmente, considere las herramientas.
Para detectar la actividad y cómo
deja de más trabajo ilegal con
con ellos.

¿Para qué?

Aparecieron flujos de datos adicionales en
Windows con NTFS. De hecho, por lo que yo
Entiendo, no había un punto particular en ellos, ellos
fueron hechos para la compatibilidad con HFS, VIEJOS
Sistema de archivos Macintosh - Sistema de archivos hierachical. Un negocio
que utiliza este sistema de archivos
tanto la rama de datos como la rama de recursos para
Almacenamiento de contenido. Rama de datos
En consecuencia, responsable del contenido.
documento, y la rama de los recursos para
Identificación de archivos - su tipo y otro
datos. Por ahora el tiempo de la existencia.
Corrientes adicionales de usuarios ordinarios.
Pocas personas lo saben. Sin embargo, en el mundo de la computadora.
seguridad tienen un cierto
Propagar. Por ejemplo, hackers malvados
Use anuncios para almacenar archivos en
computadoras hackeadas, así como a veces
Aplicar virus y otros malware. Un negocio
Después de todo, todo es que estas corrientes no son
visto por métodos convencionales, los mismos
Conductor o a través de la línea de comandos. Que
¿Están interesándose estas corrientes? Y que en el caso de
Las investigaciones de piratería no siempre pagan.
Atención sobre ellos, además, no todos los antivirus.
De forma predeterminada, mira a través de los arroyos en
Buscar software malicioso.

A negociar

Para entender un peligro real.
Los anuncios mejor demuestran trabajo con ellos.
En el ejemplo, utilizando el marco de Metasploit penetre
en el carro. Para esto usamos la vulnerabilidad.
MS04-011 (LSASS). Luego con la ayuda de los archivos de llenado TFTP,
que y ponen flujos adicionales
datos. Tan pronto como se complete en
Máquina remota corre desde el comando
escáner de filas que escanea la red en
Disponibilidad de otras máquinas. Nota,
que los autores del marco metasploit proporcionaron su
Creación firma metasploit, para que los creadores.
Los programas de protección podrían determinar el paquete.
Saliente de MF. Presta atención al paquete,
Saliente del atacante:

Aquí 192.168.1.102 Atacante de PC en
que es el marco de Metasploit, y 192.168.1.101 -
Vulnerable comp con Win2K Prof. En este caso, el eje.
Set sin parches y SPARS,
exclusivamente para objetivos de demostración
:). Tenga en cuenta que los anuncios en sí mismos no son
demasiado útil, naturalmente, por favor
Atacante solo si hay
Acceso al coche, vulnerabilidad del sistema en
sistema operativo. En esta red tu
Es poco probable que pueda encontrar W2K sin escrúpulo, por lo que
Tendrá que buscar otros principios.
penetración.

A continuación vemos que el ataque fue exitoso y en
La máquina de atacantes está abierta shell reversible,
Entregado. Predeterminado para esto
Vulnerabilidades en Metasploit Use Port 4321,
Sin embargo, se puede cambiar:

Penetrando el coche debe ser pasado allí.
Archivos. Para hacer esto, use TFTP, en este
Caso que obtenemos ipheye.exe.

De la misma manera, descargamos psexec.exe, pslist.exe y
klogger.exe. Hagamos la lista del directorio C: \\ Compaq \\,
Donde todo se derrumbó:

Dispara ahora Ipeye.exe con Stream,
asociado con un archivo existente
test_file.

Entonces lo mismo se puede hacer y agitar.
Otros archivos necesarios.
Tenga en cuenta que alternativa
La corriente se puede organizar no solo para
archivos, pero también para directorios, la misma C: \\ K
Ejemplo. Ejecutar el escáner sobre el que nos
habló al principio, ipeye.exe, en infectado
Ordenador:

c: \\ compaq \\ test_file: ipeye.exe

(Continuará)

Aparentemente invisible

El lector del blog de Victor no pudo ejecutar la script de PowerShell descargada desde Internet. La lectura atenta de mis instrucciones hizo posible evitar un problema, pero su raíz no estaba en absoluto en las políticas de seguridad estrictas PowerShell.

Victor descargado del archivo de la Galería TechNet con un script PSWINDOWSUPDATE.ZIP para controlar Actualizacion de Windows.Me conté. Sin embargo, el guión desempaquetado se negó a trabajar. Cuando solicité al lector que en el primer párrafo de mis instrucciones, se dice acerca de la necesidad de desbloquear el archivo, todo fue como aceite.

Víctor solicitó explicar por qué el sistema bloqueó el script, y donde sabe que el archivo se descargó de otra computadora.

Honestamente, el tema de hoy no es NOVA, pero decidí resaltarlo en mi blog por varias razones:

Muchos artículos están escritos en tiempos de Windows XP o Windows 7 y no tenga en cuenta las funciones integradas de Microsoft OS más nuevos.
En uno de los artículos planeados para el futuro cercano, se aborda este tema, y \u200b\u200bes más fácil para mí referirse al material, por la relevancia y la corrección de los que me respito.
El blog tiene una gran audiencia, y para muchos lectores, este tema todavía estará en una novedad :)

Hoy en el programa

Corrientes de datos NTFS

Windows dibuja información sobre la fuente del archivo desde el flujo de datos alternativo (flujo de datos alternativo, siguiendo los anuncios) Sistema de archivos NTFS. En las propiedades del archivo, escribe modestamente que es de otra computadora, pero de hecho se sabe un poco más, como verá.

Desde el punto de vista NTFS, el archivo es un conjunto de atributos. El contenido del archivo es un atributo de datos con los datos de nombre $. Por ejemplo, archivo de texto Con la línea "Hola, mundo!" Tiene el atributo de datos "¡Hola, mundo!"

En el atributo NTFS $ Los datos son un flujo de datos y se llama básico o sin nombre, porque ... no tiene un nombre. Formalmente, se ve así:

$ DATOS: ""

$ Datos. - Nombre atribuacion
: - Delimitador
"" - Nombre inundación (En este caso, falta el nombre, no hay nada entre comillas)

Características interesantes de los flujos de datos alternativos.

En el contexto de los ejemplos, quiero mencionar algunos momentos curiosos.

Cambios invisibles

Habiendo creado el primer comando de archivo de texto, puede abrirlo en editor de texto Y asegúrese de que todas las manipulaciones adicionales no afecten los contenidos del archivo.

Se vuelve interesante cuando el archivo está abierto, digamos, en Notepad ++. Este editor puede advertir acerca de cambiar el archivo. ¡Y él lo hará cuando escriba un flujo alternativo al archivo, sin embargo, el contenido seguirá siendo el mismo!

Grabación y vista Anuncios de CMD

Los anuncios se pueden crear y mostrar desde la línea de comandos. Los siguientes comandos registran el texto oculto en los segundos anuncios llamados MyStream2, y luego mostrarlo.

Echo Texto oculto\u003e C: \\ Temp \\ Test.txt: Mystream2 Más< C:\temp\test.txt:MyStream2

Ver anuncios en editores de texto

El mismo bloc de notas ++ le mostrará el contenido de los anuncios, si especifica el nombre del flujo en la línea de comandos

"C: \\ Archivos de programa (X86) \\ Notepad ++ \\ Notepad ++. EXE" C: \\ TEMP \\ Test.txt: Mystream1

Resultado:

Con un bloc de notas, tal enfoque se mantendrá solo si hay al final del nombre del flujo .TXT. Los equipos se agregan por debajo de los terceros anuncios y lo abren en el cuaderno.

Echo Texto oculto\u003e C: \\ Temp \\ test.txt: mystream3.txt Notepad C: \\ Temp \\ test.txt: mystream3.txt

Resultado:

Bloquear archivos descargados

Volvamos a la pregunta que me pregunté al lector. Si el archivo se bloqueará principalmente en el programa en el que se descargó, y en el segundo, desde los parámetros del sistema operativo. Por lo tanto, todos los navegadores modernos soportan el bloqueo, y está habilitado en Windows.

Recuerde que cuando se bloquee el archivo, todos los archivos desempaquetados se bloquearán "por herencia". Además, no olvide que los anuncios son la función NTFS, es decir. Al guardar o desembalar el archivo en FAT32, no se produce ningún bloqueo.

Ver información sobre la fuente del archivo bloqueado.

En PowerShell, vaya a la carpeta con el archivo descargado y consulte la información sobre todos los hilos.

Get-item. \\ PSWINDOWSUPDATE.ZIP -STEAM * Nombre de archivo: C: \\ Usuarios \\ VADIM \\ Descargas \\ PSWINDOWSUPDATE.ZIP Longitud de flujo ------ ------: $ DATA 45730 ZONA.identifier 26

Como ya sabe, $ DATA son los contenidos del archivo, pero la lista aparece en la lista Zona.identificador. Esta es una pista transparente que el archivo se obtiene de algún tipo de zona. Ya sabes, ¿de dónde viene esta foto?

Para descubrir la zona, debe leer los contenidos de los anuncios.

Obtener contenido. \\ PSWINDOWSUPDATE.ZIP -STEAM ZONE.Identifier ZoneID \u003d 3

Obviamente, está dirigido a desbloquear por lotes (por ejemplo, cuando el archivo ya está desempaquetado). El comando a continuación desbloquea todos los archivos que contienen en la carpeta de descargas PD.:

Dir C: \\ Descargas \\ * PS * | Desbloqueo de archivo.

Por supuesto, hay todo tipo de utilidades con una interfaz gráfica, incluso capaz de integrarse en menú de contexto. Pero, en mi opinión, PowerShell o en los peores endams es bastante suficiente.

Cómo prevenir el bloqueo de archivos

El bloqueo es responsable de la política de grupo para no almacenar información sobre la zona de origen de los archivos anidados. Desde el título, se deduce que el bloqueo es el comportamiento estándar de Windows, y la política le permite cambiarla.

Sin embargo, no es obvio a partir del nombre que la política se aplica no solo a inversiones postalesPero los archivos descargados desde internet. Lea más sobre la inversión del despachador en KB883260.

En las ediciones para el hogar del Político del Grupo, no hay, pero el Registro no se ha cancelado: SaveZoneinFormation.zip.

Otros ejemplos de aplicaciones de anuncios prácticos.

El área de ADS de ADS no se limita a la adición de la zona del archivo descargado, ya que no necesariamente almacenamiento en los anuncios solo texto. Cualquier programa puede usar esta función NTFS para almacenar los datos, por lo que daré solo un par de ejemplos de diferentes áreas.

Infraestructura de clasificación de archivos

Sobre el Autor

Material interesante, gracias. Aprendí algo nuevo sobre PowerShell, que todavía tengo poco familiar :)

Para comunicarse con la familia, usamos WhatsApp a menudo, mientras que este servicio tiene menos problemas, incluso los padres han dominado allí. El contacto también es principalmente para la familia, aunque hay un intercambio de mensajes, existen principalmente álbumes publicados con fotos y videos. Algunos familiares mantienen la lealtad a Viber: no lo tuve de alguna manera, solo lo guardo por ellos, sin dejar intentos de arrastrarlos y en WhatsApp.

Trabajar en su mayoría holgura, cuando algo urgente, WhatsApp, muy urgente - SMS. Vkontakte para comunicarse con el mundo exterior.

Skype utilizo solo las llamadas de video, principalmente con la familia nuevamente. Me encantaría reemplazarlo en WhatsApp, ya sea una videollamada.

uIX.

Viber ahora tiene llamadas de video, e incluso videollamadas para la versión de escritorio. Por lo que puede ser, Viber será el siguiente Skype ... en un buen sentido

Andrey kuznetsov

Material interesante, gracias. Sabía sobre la existencia de arroyos, pero no lo sabía con ellos tan fáciles de trabajar a través de PowerShell.
En cuanto a IM: Tengo quejas sobre el tiempo de lanzamiento en Windows Phone. No hay tales problemas en el iPad y las ventanas. Yo uso para la comunicación de voz cuando por alguna razón es inconveniente usar GSM.
Y la correspondencia a través de WhatsApp. La presencia de ella solo en el teléfono es bastante plus, en términos de privacidad.

Andrey kuznetsov: Y la correspondencia a través de WhatsApp. La presencia de ella solo en el teléfono es bastante plus, en términos de privacidad.

Andrei, explica lo que es el plus

Pavlovsky romano

1. Yo uso más a menudo: Skype y Hangouts: en trabajar en una PC, por el resto de la correspondencia vkontakte de cualquier dispositivo, ya que los clientes por trabajo generalmente se sientan en Skype, y amigos y conocidos en las redes sociales.

2. Me gustaría usar idealmente: Jabber, por correspondencia y llamadas desde cualquier dispositivo. En cuanto a mí, el cliente se puede instalar en cualquier dispositivo y reescribir donde el usuario no estaría, incluso en una conexión a Internet débil +, puede implementar su servidor Jabber a esto y almacenar toda la correspondencia en el servidor para que pueda Encuentre la correspondencia necesaria, si el cliente no sabe cómo almacenar la historia, y se pueden encontrar los complementos para llamadas a través de Jabber (por ejemplo, a través del mismo SIP Asterisk 1.8+)

Andrei bayatakov

La mayoría de las veces uso WhatsApp (principalmente para el trabajo), para llamadas (llamadas de audio / video / internacional) Skype. Aunque el escritorio Skype es terriblemente enfuriado (tengo un transformador y en casa, lo uso principalmente como una tableta) ... Viber, no encajé. Para llamar a WhatsApp, debe tener simplemente nervios de hierro. Le dirás algo al interlocutor y esperarás un minuto o dos cuando te escuche (conexión de 50Mbit) ...
Tendría la oportunidad de ir completamente en Skype. En Windows 10 Mobile, después de una actualización reciente del mensaje de Skype, vendrá directamente a la aplicación de mensajes incorporada (como SMS), que es muy conveniente.

Máxima.

1. Comenzando el corazón utilizo ICQ (para clientes retrógrados) y holgura (para más moderno).
2. Me gustaría usar Jabber, por las mismas razones que Roman Pavlovsky es más alto.

Vladimir Kiryushin

Hola Vadim!
Lea su artículo sobre este artículo sobre cómo leer el Total de la Comprobación del Informe disco del sistema Team Chkdsk. Excelente artículo! Gracias a ella hoy, después de comprender el comando de CHKDSK del disco del sistema, recibí un informe de archivo de texto. Y este artículo también aclara muchas cosas en programa PowerShell. Algo para mí, el jubilado es incomprensible, pero trato de no entrar en pánico y leer duro hasta el final. ¡Gracias por sus estudios que nos pasa con nosotros! ¡Todo lo que eres bueno!

Lecron

¿Qué programas de navegadores y descargas crean este flujo?

¿Qué otras opciones para usar los flujos por parte del usuario? ¿Y en particular, el usuario es un escritor scriptivo? Desde entonces, aunque sabía de ellos durante mucho tiempo, nunca usé. Con un trabajo real con la computadora, simplemente no los recuerdan, y debido a esto, quizás las muletas, en su lugar. herramienta cómoda, sin este trabajo, en la memoria, no pienses en nada.
Me di cuenta solo en una versión. Comenta al archivo, si no hay posibilidad ni deseo de escribir texto largo en el nombre del archivo. Pero para esto, necesita apoyo del archivo del gerente, que antes, y ahora, los escribe en la descripción o los archivos.bbs.

Gurú de velocidad.

Otra tecnología de basura como la revista USN. ¿Está un montón de uso de Zoneidentifier o de un virus unido al FAL o la carpeta? Por supuesto que no. Además, este es un sistema innecesario por innecesario, de ninguna manera, los "subfiles" no son necesarios. Cada lectura innecesaria en el catálogo MFT y otras operaciones relacionadas con el mantenimiento y el contenido de flujos alternativos, este es un proceso de procesador adicional, memoria de acceso aleatorioy, lo más importante, la carga excesiva en el disco duro.
Puede decirme que esta tecnología es muy necesaria por el sistema. Pero esto no tiene sentido, el sistema funcionaría perfectamente sin hilos. Pero nadie le pregunta al usuario: se han desplazado (como una revista USN) y la capacidad de deshabilitar completamente el mantenimiento de estas corrientes no dio. Pero no necesito a los usuarios como nosotros, pienso como tú ...
Todo lo que podemos hacer es "Streams -s -D% SystemDrive%". Pero no permite eliminar los flujos en la sección del sistema.

Alexiz Kadev.

Flujos nombrados: la cosa es excelente, y existía, por lo que recuerdo de la primera versión de NTFS. En los arroyos con nombre, es conveniente almacenar, por ejemplo, una versión de documento que si no estoy equivocada en una serie de aplicaciones y lo hice. Pero una emboscada permanece con la copia a otro sistema de archivos, los flujos nombrados simplemente se cortan.

Es una pena para el votante, era imposible solucionar varios mensajeros: uso algunos, ya que algunos de mis contactos prefieren algunos ciertos. Entonces, uso WhatsUp, ICQ (aunque, por supuesto, no un cliente nativo), Skype, Skypeforbusiness (horror silencioso y no un cliente, sin embargo, cuando se llamó Lync fue aún peor) y Viber (aquí Spam más que en Otros al menos una vez al 5).
E idealmente use alguien, como Miranda con complementos, porque, si es necesario, quién, dónde, cuando dije, escribí algo en todo este montón es simplemente poco realista. Pero Aloy, varios fabricantes cierran sus protocolos y los protegen con su aguja.

Vladimir Kokarev

VAh.

Vadim Sterkin.: Roman, no encendí el Jabber en la encuesta. Decidí que hay pocas personas que usan y no hay perspectivas.

En vano
Por ejemplo, utilizo OpenFire (Freeware XMPP) como comunicador de oficina en varios dominios.

Por lo tanto, tengo el XMPP principal (Pidgin.exe, Spark.exe), pero el 99.8% de estos mensajes son intraubricados.
Skype - para IM externo
WhatsApp y Viber: para "relaciones aleatorias", los últimos n meses son solo spam, creo: no retirar?

Artem

Tengo todo por alguna razón en Vaiber. Y la calidad de la comunicación es bastante adecuada. Y así los telegramas lo harían. Sí vacío allí.

hazet.

1. Skype (en PC) y Viber (en el móvil). Las razones son principalmente como la mayor parte del número de contactos y, naturalmente, la falta de voluntad de estos contactos más, para transferir a otro mensajero.
2.utox. Miniatura, nada superfluo, cliente para ganar, Linux, Mac y Android. Posicionado como protegido.
PD Shazhiz le dará un tratamiento para tener que para su perfecto :-)

Evgeny Karelov

¡Gracias por tu trabajo!

Con respecto a una encuesta, en una PC para la correspondencia, utilizo el QIP 2012 al que están conectados los contactos de ICQ, Vkontakte y otros. Personalmente, es conveniente para mí usar un programa para comunicarse para varios protocolos. Sí, y la capacidad de ver las cintas de las redes sociales de un lugar está muy satisfecho. Idealmente, no hay suficiente apoyo de Skype, que uso para la comunicación de voz, pero no aparecerá.
Aunque este programa se ve como "abandonado", porque las actualizaciones no han sido hace mucho tiempo, las funciones asignadas se desempeñan perfectamente.

strafing.

Interesante mesanín del tema de la publicación sobre los flujos de datos y la encuesta sobre IM.

Según una encuesta: Jabber / Jabber, que en vano no encendió la lista, aunque hay una OTCUP, basada en XMPP, e incluso ir al éxito de ASechka.

Jabber en general resuelve todos los problemas indicados debido a la apertura del protocolo, la disponibilidad de clientes para muchas plataformas y la disponibilidad de servidores que se pueden levantar de forma independiente. Pero los cactus mastican más tradicionalmente, sí.

En la lista de clientes, no los protocolos.
ICQ ... Bueno, no puse emoticones allí, porque debería ser tan claro.
Jabber exactamente no resuelve un problema, no hay nadie.
- strafing.
  
  Vadim Sterkin.: En la lista de clientes, no los protocolos.
  
  Debido al hecho de que el protocolo y códigos de origen El cliente oficial está cerrado, se establece la identidad regular entre el único cliente y el protocolo.
  
  Vadim Sterkin.: ICQ ... Bueno, no puse los emoticonos allí, porque debería ser tan claro.
  
  Rotina MailRushechka no es suficiente que Aschek esté muriendo la muerte natural: también son más esfuerzos para hacerlo más rápido.
  
  Vadim Sterkin.: Jabber no resuelve exactamente un problema, no hay nadie.
  
  Sin embargo, para el telegrama usted mismo escribió
  
  se ve genial, pero hay vacío (que es fijable)
  
  Jabber tuvo que todas las posibilidades de convertirse en la misma que hoy es un ecosistema de correo electrónico (apertura total del protocolo, la capacidad de elevar sus servidores a cualquier persona y garantizar la interacción entre servidores, etc.), pero no es necesario para las corporaciones, Lo que es excelente en la exposición de él Google o recuperando una envoltura.
  - Para el telegrama - fijable, para Jabber, muy poco probable. Por lo tanto, el primero está en la lista, pero el segundo no lo es.
    - strafing.
      
      Por supuesto, el telegrama es elegante, de moda, juventud, y Jabber a nadie como Pasha Durov no se mueve. ¿Cuáles son las perspectivas aquí?
      
      GM ... Sí, salga de su tanque las teorías de la conspiración "El mundo entero contra el software libre". Todo más fácil
      
      Si es incomprensible, parece una primera experiencia de interacción con el cliente de Jabber recomendado oficialmente en la plataforma móvil más común.
      
      strafing.
    - No entendí un poco, donde en mis comentarios sobre la conspiración.
      
      Sí, en todas partes :) Estás tratando de escribir un fracaso de Jabber por no aridez y no modestia, mientras que sus clientes de la primera pantalla no están adaptados para la realidad moderna.
      
      ¿Qué debo ver en la captura de pantalla?
      
      Oferta Ingrese el número de teléfono ~~~ o ~