Menú
Está libre
registrarse
el principal  /  Consejo / Cómo ocultar datos en los flujos de NTFS. Características del sistema de archivos NTFS

Cómo ocultar datos en los flujos de NTFS. Características del sistema de archivos NTFS

En este tema, consideraré cuatro tipos de metadatos que se pueden adjuntar a un archivo o herramientas de directorio sistema de archivos Ntfs. Describiré, en qué propósitos puede usar uno u otro tipo de metadatos, daré un ejemplo de su aplicación a cualquier tecnología de Microsoft Technology o Third-Party.

El discurso continuará en los puntos de reproducción (puntos de repartes), identificadores de objetos (ID de objeto) y otros tipos de datos que pueden contener un archivo además de su contenido principal.

Objeto de identificador Este es 64 bytes que se pueden adjuntar al archivo o directorio. De estos, los primeros 16 bytes le permiten identificar inequívocamente el archivo dentro del volumen y el contacto, no se llama, sino por el identificador. Los 48 bytes restantes pueden contener datos arbitrarios.

Identificadores de objetos existen en NTFS con times Windows 2000. En el propio sistema, se utilizan para rastrear la ubicación del archivo al que se refiere la etiqueta (.lnk). Supongamos que el archivo referenciado por la etiqueta se ha movido dentro del volumen. Cuando empiezas un atajo, todavía se abrirá. Especial servicio de Windows En caso de que no se encuentre el archivo, intentará abrir el archivo no por su nombre, sino de acuerdo con un identificador predeterminado y guardado. Si el archivo no se ha eliminado y no dejó los límites de volumen, se abrirá, y la etiqueta volverá a apuntar al archivo.

Se utilizaron identificadores de objetos en la tecnología ISWIFT de la versión 7ª de Kaspersky Anti-Virus. Así es como se describe esta tecnología: La tecnología está diseñada para el archivo. sistemas NTFS. En este sistema, se asigna un índice NTFS a cada objeto. Este índice se compara con los valores de la base de datos especial de ISWIFT. Si los valores de la base de datos con la interfaz NTFS no coinciden, el objeto está marcado o se vuelve a verificar si se ha cambiado.

Sin embargo, la sobremesa de los identificadores creados causó problemas con el escaneo de discos de la utilidad estándar comprueba chkdsk.Ella tuvo lugar por mucho tiempo. En las siguientes versiones de Kaspersky Anti-Virus, abandonó el uso de ID de objeto NTFS.

Repare

En el sistema de archivos NTFS, el archivo o directorio puede contener un punto de repartes, que se traduce en ruso como "Punto de re-procesamiento". Se agregan datos especiales al archivo o directorio, el archivo deja de ser un archivo regular y solo el controlador de filtro del sistema de archivos especiales puede procesarlo.

Windows contiene tipos de puntos reparados, que pueden ser procesados \u200b\u200bpor el propio sistema. Por ejemplo, a través de puntos de re-procesamiento en Windows, se implementan enlaces de símbolos (SymLink) y conexiones (punto de unión), así como puntos de montaje de volumen al directorio (puntos de montaje).
Reparse Buffer Adjunto al archivo es un búfer que tiene un tamaño máximo de 16 kilobytes. Se caracteriza por la presencia de una etiqueta que habla el sistema al que pertenece el tipo de punto de re-procesamiento. Cuando se utiliza el búfer REPARASE de su propio tipo, aún debe configurar el GUID en un campo especial en un campo especial, y en los búferes de Microsoft Reparase se puede faltar.

¿Qué tipos de puntos de re-procesamiento existen? Enumeraré las tecnologías en las que se usan Reparse Point ". Es un almacenamiento de una sola instancia (SIS) y los volúmenes compartidos de clúster en Windows Storage Server 2008 R2, administración de almacenamiento jerárquico, sistema de archivos distribuidos (DFS), Windows Home. Extensión de la unidad del servidor. Estas son las tecnologías de Microsoft, no hay tecnologías de terceros que usen puntos de re-procesamiento, aunque también hay.

Atributos extendidos.

Atributos de archivo extendidos. Sobre ellos fue. Vale la pena mencionar aquí que en Windows, esta tecnología prácticamente no es aplicable. Del famoso yo software Solo Cygwin utiliza atributos avanzados para almacenar los derechos de acceso POSIX. Un archivo en NTFS puede tener atributos avanzados o un búfer de puntos de re-procesamiento. La instalación simultánea y la otra son imposibles. Talla máxima Todos los atributos extendidos en un archivo son de 64 kb.

Corrientes de datos alternativos.

Corrientes de archivos adicionales. Sobre ellos ya sabe, probablemente todos. Listaré los signos básicos de este tipo de metadatos: Nombre (es decir, un archivo puede tener varias transmisiones, y cada uno de su nombre), acceso directo desde el sistema de archivos (se pueden abrir utilizando el nombre del archivo ", el colon, Nombre de la corriente "), tamaño ilimitado, la capacidad de iniciar el proceso directamente desde la secuencia (y la capacidad de implementarlo a través de él).

Utilizado en la tecnología del IsTream Antivirus Kaspersky. Utilizado en Windows, por ejemplo, al descargar un archivo de Internet, el flujo de Identifier está capacitado para él, que contiene información sobre qué lugar recibido de este archivo. Después de iniciar el archivo ejecutable, el usuario puede ver el mensaje. "No es posible revisar el editor. ¿De verdad quieres ejecutar este programa?.

Así que el usuario se le da protección adicional Del lanzamiento rápido de los programas recibidos de Internet. Este es solo un uso de arroyos, por lo que puede almacenar una variedad de datos. Mencionado a Kaspersky Anti-Virus mantuvo las sumas de suma de verificación de cada archivo allí, pero más tarde de esta tecnología, por alguna razón, se negó.

¿Algo más?

¿Hay algo más? iD de seguridad, más atributos de archivo estándar a los que no hay acceso directo, a pesar de que también se implementan como flujos de archivos. Y ellos, y los atributos mejorados, y las identificaciones de repartes y objetos, todos estos flujos de archivos desde el punto de vista del sistema. Cambie directamente el identificador de seguridad que se muestra en la siguiente imagen como :: $ Security_Descriptor sin sentido, deje que el sistema se ocupe de él. A otros tipos de flujos, el sistema no da acceso directo. Así que eso es todo.

Ver contenidos de ID de objeto, puntos de re-procesamiento, así como trabajar con atributos avanzados y flujos alternativos de archivos son posibles utilizando el programa

Aparentemente invisible

El lector del blog de Victor no pudo ejecutar la script de PowerShell descargada desde Internet. La lectura atenta de mis instrucciones hizo posible evitar un problema, pero su raíz no estaba en absoluto en las políticas de seguridad estrictas PowerShell.

Victor descargado de la Galería de TechNet Archivo con un script PSWINDOWSUPDATE.ZIP para gestión de Windows Actualización de la que dije. Sin embargo, el guión desempaquetado se negó a trabajar. Cuando solicité al lector que en el primer párrafo de mis instrucciones, se dice acerca de la necesidad de desbloquear el archivo, todo fue como aceite.

Víctor solicitó explicar por qué el sistema bloqueó el script, y donde sabe que el archivo se descargó de otra computadora.

Honestamente, el tema de hoy no es NOVA, pero decidí resaltarlo en mi blog por varias razones:

  • Muchos artículos están escritos en tiempos de Windows XP o Windows 7 y no tenga en cuenta las funciones integradas de Microsoft OS más nuevo.
  • En uno de los artículos planeados para el futuro cercano, se aborda este tema, y \u200b\u200bes más fácil para mí referirse al material, por la relevancia y la corrección de los que me respito.
  • El blog tiene una gran audiencia, y para muchos lectores, este tema todavía estará en una novedad :)

Hoy en el programa

Corrientes de datos NTFS

Windows dibuja información sobre la fuente del archivo desde el flujo de datos alternativo (flujo de datos alternativo, siguiendo los anuncios) Sistema de archivos NTFS. En las propiedades del archivo, escribe modestamente que es de otra computadora, pero de hecho se sabe un poco más, como verá.

Desde el punto de vista NTFS, el archivo es un conjunto de atributos. El contenido del archivo es un atributo de datos con los datos de nombre $. Por ejemplo, un archivo de texto con una puntada "¡Hola, mundo!" Tiene el atributo de datos "¡Hola, mundo!"

En el atributo NTFS $ Los datos son un flujo de datos y se llama básico o sin nombre, porque ... no tiene un nombre. Formalmente, se ve así:

$ DATOS: ""

  • $ Datos. - Nombre atribuacion
  • : - Delimitador
  • "" - Nombre inundación (En este caso, falta el nombre, no hay nada entre comillas)

Características interesantes de los flujos de datos alternativos.

En el contexto de los ejemplos, quiero mencionar algunos momentos curiosos.

Cambios invisibles

Habiendo creado el primer comando de archivo de texto, puede abrirlo en editor de texto Y asegúrese de que todas las manipulaciones adicionales no afecten los contenidos del archivo.

Se vuelve interesante cuando el archivo está abierto, digamos, en Notepad ++. Este editor puede advertir acerca de cambiar el archivo. ¡Y él lo hará cuando escriba un flujo alternativo al archivo, sin embargo, el contenido seguirá siendo el mismo!

Grabación y vista Anuncios de CMD

Los anuncios se pueden crear y mostrar desde la línea de comandos. Los siguientes comandos registran el texto oculto en los segundos anuncios llamados MyStream2, y luego mostrarlo.

Echo Texto oculto\u003e C: \\ Temp \\ Test.txt: Mystream2 más< C:\temp\test.txt:MyStream2

Ver anuncios en editores de texto

El mismo bloc de notas ++ le mostrará el contenido de los anuncios, si especifica el nombre del flujo en la línea de comandos

"C: \\ Archivos de programa (X86) \\ Notepad ++ \\ Notepad ++. EXE" C: \\ TEMP \\ Test.txt: Mystream1

Resultado:

Con un bloc de notas, tal enfoque se mantendrá solo si hay al final del nombre del flujo .TXT. Los equipos se agregan por debajo de los terceros anuncios y lo abren en el cuaderno.

Echo Texto oculto\u003e C: \\ Temp \\ test.txt: mystream3.txt Notepad C: \\ Temp \\ test.txt: mystream3.txt

Resultado:

Bloquear archivos descargados

Volvamos a la pregunta que me pregunté al lector. Si el archivo se bloqueará principalmente en el programa en el que se descargó, y en el segundo, desde los parámetros del sistema operativo. Por lo tanto, todos los navegadores modernos soportan el bloqueo, y está habilitado en Windows.

Recuerde que cuando se bloquee el archivo, todos los archivos desempaquetados se bloquearán "por herencia". Además, no olvide que los anuncios son la función NTFS, es decir. Al guardar o desembalar el archivo en FAT32, no se produce ningún bloqueo.

Ver información sobre la fuente del archivo bloqueado.

En PowerShell, vaya a la carpeta con el archivo descargado y consulte la información sobre todos los hilos.

Get-item. \\ PSWINDOWSUPDATE.ZIP -STEAM * Nombre de archivo: C: \\ Usuarios \\ VADIM \\ Descargas \\ PSWINDOWSUPDATE.ZIP Longitud de flujo ------ ------: $ DATA 45730 ZONA.identifier 26

Como ya sabe, $ DATA son los contenidos del archivo, pero la lista aparece en la lista Zona.identificador. Esta es una pista transparente que el archivo se obtiene de algún tipo de zona. Ya sabes, ¿de dónde viene esta foto?

Para descubrir la zona, debe leer los contenidos de los anuncios.

Obtener contenido. \\ PSWINDOWSUPDATE.ZIP -STEAM ZONE.Identifier ZoneID \u003d 3

Obviamente, está dirigido a desbloquear por lotes (por ejemplo, cuando el archivo ya está desempaquetado). El comando a continuación desbloquea todos los archivos que contienen en la carpeta de descargas PD.:

Dir C: \\ Descargas \\ * PS * | Desbloqueo de archivo.

Por supuesto, hay todo tipo de utilidades con interfaz gráficaincluso capaz de integrarse en menú de contexto. Pero, en mi opinión, PowerShell o en los peores endams es bastante suficiente.

Cómo prevenir el bloqueo de archivos

El bloqueo es responsable de la política de grupo para no almacenar información sobre la zona de origen de los archivos anidados. Desde el título, se deduce que el bloqueo es el comportamiento estándar de Windows, y la política le permite cambiarla.

Sin embargo, no es obvio a partir del nombre que la política se aplica no solo a inversiones postalesPero los archivos descargados desde internet. Lea más sobre la inversión del despachador en KB883260.

In Home Editions Editor política de grupo No, pero el Registro no ha sido cancelado: SAVEZONEINFORMATION.ZIP.

Otros ejemplos de aplicaciones de anuncios prácticos.

El área de ADS de ADS no se limita a la adición de la zona del archivo descargado, ya que no necesariamente almacenamiento en los anuncios solo texto. Cualquier programa puede usar esta función NTFS para almacenar los datos, por lo que daré solo un par de ejemplos de diferentes áreas.

Infraestructura de clasificación de archivos

Sobre el Autor

Material interesante, gracias. Aprendí algo nuevo sobre PowerShell, que todavía tengo poco familiar :)

Para comunicarse con la familia, usamos WhatsApp a menudo, mientras que este servicio tiene menos problemas, incluso los padres han dominado allí. El contacto también es principalmente para la familia, aunque hay un intercambio de mensajes, existen principalmente álbumes publicados con fotos y videos. Algunos familiares mantienen la lealtad a Viber: no lo tuve de alguna manera, solo lo guardo por ellos, sin dejar intentos de arrastrarlos y en WhatsApp.

Trabajar en su mayoría holgura, cuando algo urgente, WhatsApp, muy urgente - SMS. Vkontakte para comunicarse con el mundo exterior.

Skype utilizo solo las llamadas de video, principalmente con la familia nuevamente. Me encantaría reemplazarlo en WhatsApp, ya sea una videollamada.

uIX.

Viber ahora tiene llamadas de video, e incluso videollamadas para la versión de escritorio. Por lo que puede ser, Viber será el siguiente Skype ... en un buen sentido

Andrey kuznetsov

Material interesante, gracias. Sabía sobre la existencia de arroyos, pero no lo sabía con ellos tan fáciles de trabajar a través de PowerShell.
En cuanto a IM: Tengo quejas sobre el tiempo de lanzamiento en el Skype Telefono windows. No hay tales problemas en el iPad y las ventanas. Yo uso para la comunicación de voz cuando por alguna razón es inconveniente usar GSM.
Y la correspondencia a través de WhatsApp. La presencia de ella solo en el teléfono es bastante plus, en términos de privacidad.

  • Andrey kuznetsov: Y la correspondencia a través de WhatsApp. La presencia de ella solo en el teléfono es bastante plus, en términos de privacidad.

    Andrei, explica lo que es el plus

Pavlovsky romano

1. Yo uso más a menudo: Skype y Hangouts: en trabajar en una PC, por el resto de la correspondencia vkontakte de cualquier dispositivo, ya que los clientes por trabajo generalmente se sientan en Skype, y amigos y conocidos en las redes sociales.

2. Me gustaría usar idealmente: Jabber, por correspondencia y llamadas desde cualquier dispositivo. En cuanto a mí, el cliente se puede instalar en cualquier dispositivo y reescribir donde el usuario no estaría, incluso en una conexión a Internet débil +, puede implementar su servidor Jabber a esto y almacenar toda la correspondencia en el servidor para que pueda Encuentre la correspondencia necesaria, si el cliente no sabe cómo almacenar la historia, y se pueden encontrar los complementos para llamadas a través de Jabber (por ejemplo, a través del mismo SIP asterisk 1.8+)

Andrei bayatakov

La mayoría de las veces uso WhatsApp (principalmente para el trabajo), para llamadas (llamadas de audio / video / internacional) Skype. Aunque el escritorio Skype es terriblemente enfuriado (tengo un transformador y en casa, lo uso principalmente como una tableta) ... Viber, no encajé. Para llamar a WhatsApp, debe tener simplemente nervios de hierro. Le dirás algo al interlocutor y esperarás un minuto o dos cuando te escuche (conexión de 50Mbit) ...
Tendría la oportunidad de ir completamente en Skype. En Windows 10 Mobile, después de una actualización reciente del mensaje de Skype, vendrá directamente a la aplicación de mensajes incorporada (como SMS), que es muy conveniente.

Máxima.

1. Comenzando el corazón utilizo ICQ (para clientes retrógrados) y holgura (para más moderno).
2. Me gustaría usar Jabber, por las mismas razones que Roman Pavlovsky es más alto.

Vladimir Kiryushin

Hola Vadim!
Lea su artículo sobre este artículo sobre cómo leer el Total de la Comprobación del Informe disco del sistema Team Chkdsk. Excelente artículo! Gracias a ella hoy, después de comprender el comando de CHKDSK del disco del sistema, recibí un informe de archivo de texto. Y este artículo también aclara muchas cosas en programa PowerShell. Algo para mí, el jubilado es incomprensible, pero trato de no entrar en pánico y leer duro hasta el final. ¡Gracias por sus estudios que nos pasa con nosotros! ¡Todo lo que eres bueno!

Lecron.

¿Qué programas de navegadores y descargas crean este flujo?

¿Qué otras opciones para usar los flujos por parte del usuario? ¿Y en particular, el usuario es un escritor scriptivo? Desde entonces, aunque sabía de ellos durante mucho tiempo, nunca usé. Con un trabajo real con la computadora, simplemente no los recuerdan, y debido a esto, quizás las muletas, en su lugar. herramienta cómoda, sin este trabajo, en la memoria, no pienses en nada.
Me di cuenta solo en una versión. Comenta al archivo, si no hay posibilidad ni deseo de escribir texto largo en el nombre del archivo. Pero para esto, necesita apoyo del archivo del gerente, que antes, y ahora, los escribe en la descripción o los archivos.bbs.

Gurú de velocidad.

Otra tecnología de basura como la revista USN. ¿Está un montón de uso de Zoneidentifier o de un virus unido al FAL o la carpeta? Por supuesto que no. Además, este es un sistema innecesario por innecesario, de ninguna manera, los "subfiles" no son necesarios. Cada lectura innecesaria en el catálogo MFT y otras operaciones relacionadas con el mantenimiento y el contenido de flujos alternativos, este es un proceso de procesador adicional, memoria de acceso aleatorioy, lo más importante, la carga excesiva en el disco duro.
Puede decirme que esta tecnología es muy necesaria por el sistema. Pero esto no tiene sentido, el sistema funcionaría perfectamente sin hilos. Pero nadie le pregunta al usuario: se han desplazado (como una revista USN) y la capacidad de deshabilitar completamente el mantenimiento de estas corrientes no dio. Pero no necesito a los usuarios como nosotros, pienso como tú ...
Todo lo que podemos hacer es "Streams -s -D% SystemDrive%". Pero no permite eliminar los flujos en la sección del sistema.

Alexiz Kadev.

Flujos nombrados: la cosa es excelente, y existía, por lo que recuerdo de la primera versión de NTFS. En los arroyos con nombre, es conveniente almacenar, por ejemplo, una versión de documento que si no estoy equivocada en una serie de aplicaciones y lo hice. Pero una emboscada permanece con la copia a otro sistema de archivos, los flujos nombrados simplemente se cortan.

Es una pena para el votante, era imposible solucionar varios mensajeros: uso algunos, ya que algunos de mis contactos prefieren algunos ciertos. Entonces, uso WhatsUp, ICQ (aunque, por supuesto, no un cliente nativo), Skype, Skypeforbusiness (horror silencioso y no un cliente, sin embargo, cuando se llamó Lync fue aún peor) y Viber (aquí Spam más que en Otros al menos una vez en 5).
E idealmente use alguien, como Miranda con complementos, porque, si es necesario, quién, dónde, cuando dije, escribí algo en todo este montón es simplemente poco realista. Pero Aloy, varios fabricantes cierran sus protocolos y los protegen con su aguja.

  • VAh.

    Vadim Sterkin.: Roman, no encendí el Jabber en la encuesta. Decidí que hay pocas personas que usan y no hay perspectivas.

    En vano
    Por ejemplo, utilizo OpenFire (Freeware XMPP) como comunicador de oficina en varios dominios.

    Por lo tanto, tengo el XMPP principal (Pidgin.exe, Spark.exe), pero el 99.8% de estos mensajes son intraubricados.
    Skype - para IM externo
    WhatsApp y Viber: para "relaciones aleatorias", los últimos n meses son solo spam, creo: no retirar?

  • Artem

    Tengo todo por alguna razón en Vaiber. Y la calidad de la comunicación es bastante adecuada. Y así los telegramas lo harían. Sí vacío allí.

    hazet.

    1. Skype (en PC) y Viber (en el móvil). Las razones son principalmente como la mayor parte del número de contactos y, naturalmente, la falta de voluntad de estos contactos más, para transferir a otro mensajero.
    2.utox. Miniatura, nada superfluo, cliente para ganar, Linux, Mac y Android. Posicionado como protegido.
    PD Shazhiz le dará un tratamiento para tener que para su perfecto :-)

    Evgeny Karelov

    ¡Gracias por tu trabajo!

    Con respecto a una encuesta, en una PC para la correspondencia, utilizo el QIP 2012 al que están conectados los contactos de ICQ, Vkontakte y otros. Personalmente, es conveniente para mí usar un programa para comunicarse para varios protocolos. Sí, y la capacidad de ver las cintas de las redes sociales de un lugar está muy satisfecho. Idealmente, no hay suficiente apoyo de Skype, que uso para la comunicación de voz, pero no aparecerá.
    Aunque este programa se ve como "abandonado", porque las actualizaciones no han sido hace mucho tiempo, las funciones asignadas se desempeñan perfectamente.

    strafing.

    Interesante mesanín del tema de la publicación sobre los flujos de datos y la encuesta sobre IM.

    Según una encuesta: Jabber / Jabber, que en vano no encendió la lista, aunque hay una OTCUP, basada en XMPP, e incluso ir al éxito de ASechka.

    Jabber en general resuelve todos los problemas indicados debido a la apertura del protocolo, la disponibilidad de clientes para muchas plataformas y la disponibilidad de servidores que se pueden levantar de forma independiente. Pero los cactus mastican más tradicionalmente, sí.

    • En la lista de clientes, no los protocolos.
      ICQ ... Bueno, no puse emoticones allí, porque debería ser tan claro.
      Jabber exactamente no resuelve un problema, no hay nadie.

      • strafing.

        Vadim Sterkin.: En la lista de clientes, no los protocolos.

        Debido al hecho de que el protocolo y códigos de origen El cliente oficial está cerrado, se establece la identidad regular entre el único cliente y el protocolo.

        Vadim Sterkin.: ICQ ... Bueno, no puse los emoticonos allí, porque debería ser tan claro.

        Rotina MailRushechka no es suficiente que Aschek esté muriendo la muerte natural: también son más esfuerzos para hacerlo más rápido.

        Vadim Sterkin.: Jabber no resuelve exactamente un problema, no hay nadie.

        Sin embargo, para el telegrama usted mismo escribió

        se ve genial, pero hay vacío (que es fijable)

        Jabber tuvo que todas las posibilidades de convertirse en la misma que hoy es un ecosistema de correo electrónico (apertura total del protocolo, la capacidad de elevar sus servidores a cualquier persona y garantizar la interacción entre servidores, etc.), pero no es necesario para las corporaciones, Lo que es excelente en la exposición de él Google o recuperando una envoltura.

        • Para el telegrama - fijable, para Jabber, muy poco probable. Por lo tanto, el primero está en la lista, pero el segundo no lo es.

          • strafing.

            Por supuesto, el telegrama es elegante, de moda, juventud, y Jabber a nadie como Pasha Durov no se mueve. ¿Cuáles son las perspectivas aquí?

            GM ... Sí, salga de su tanque las teorías de la conspiración "El mundo entero contra el software libre". Todo más fácil

            Si es incomprensible, parece una primera experiencia de interacción con el cliente de Jabber recomendado oficialmente en la plataforma móvil más común.

            strafing.

          • No entendí un poco, donde en mis comentarios sobre la conspiración.

            Sí, en todas partes :) Estás tratando de escribir un fracaso de Jabber por no aridez y no modestia, mientras que sus clientes de la primera pantalla no están adaptados para la realidad moderna.

            ¿Qué debo ver en la captura de pantalla?

            Oferta Ingrese el número de teléfono ~~~ o ~

            • strafing.

            strafing.: Estás tratando de escribir un fracaso Jabber por la no aridez y facilidad.

            Bueno, si lo es así.

            strafing.: Mientras que sus clientes de la primera pantalla no están adaptados para la realidad moderna.

            Esos. A la moda actual, como revelar su número de teléfono a todos. Porque no entiendo por qué es necesario ingresarlo, si no es necesario para el sistema del sistema, como para mí es tan perfectamente hermoso que no se le pregunte aquí.

            En realidad, abandoné a ASechka, a pesar de que quedaban varios contactos, era por esta razón que el Mairushechka en una forma ultimativa exigía atar un número de teléfono a la cuenta, como resultado de lo que se envió de acuerdo con las coordenadas conocidas.

            Sí, no entiendo, incluso después de las explicaciones con imágenes ... Esta no es una moda, esta es la única forma de simplificar el registro con dispositivos móvilesque forman la base de la audiencia de los mensajeros modernos y la única fuente de crecimiento.

            strafing.

            En la solicitud de captura de pantalla en el nombre, la contraseña y el apodo opcional. ¿Dónde simplificar algo más fuerte? ¿O además de los estudiantes de escuelas correccionales, ya no hay más que ya no sean las reservas para el crecimiento de la audiencia, y si se debe hacer un botón "hacerlo por * sonriente"?
            ¿Por qué hay un número de teléfono en general y que el Messenger debe hacer con el número de teléfono?

    • El sistema de archivos NTFS tiene muchas oportunidades interesantes, una de las cuales es la presencia de flujos de datos alternativos (flujo de datos alternativos, anuncios). La esencia de ellos es que cada archivo en NTFS es un conjunto de hilos en los que se almacenan los datos. De forma predeterminada, todos los datos están en el hilo principal, pero si es necesario, puede agregar adicional, corrientes alternativos datos.

    Nota. Los flujos de datos alternativos en NTF han aparecido hace mucho tiempo, incluso en Windows NT. Se crearon para la compatibilidad con el sistema de archivos HFS, que se usa en MacOS. HFS ha mantenido los datos de archivos en un flujo de recursos especial.

    Los archivos en NTFS se dividen en atributos, uno de los cuales es $ DATA, o el atributo de datos. Los arroyos son las propiedades adicionales del atributo de $ DATA. De forma predeterminada, hay uno, la corriente principal. $ DATOS: "". Como puede ver, no tiene el nombre, por lo que llama. sin nombre. Además, si lo desea, puede crear flujos adicionales, llamados, por ejemplo. $ DATOS: "Stream1". Cada archivo en NTFS puede tener varias transmisiones de datos que contienen varios datos de cualquier manera.

    Todos los datos registrados en el archivo están de forma predeterminada en el flujo de datos principal. Cuando abrimos el archivo, vemos exactamente la corriente principal, los flujos alternativos están ocultos del usuario y no se muestran utilizando agentes convencionales. No se pueden ver métodos estándarAunque algunos programas pueden leer los datos ocultos en ellos. También se pueden usar para trabajar con hilos. línea de comando.

    Por ejemplo, abra la consola y use el comando ECHO, cree un archivo de texto Streams.txt y escriba texto:

    eCHO Esto es corriente principal\u003e Streams.txt

    Y el siguiente equipo escribirá texto al flujo de flujo alternativo1:

    eCHO Esto es corriente alternativa\u003e Streams.txt: Stream1

    Si ahora abre el archivo Streams.txt en cualquier editor de texto, solo veremos el primer registro, el texto "Este es un flujo alternativo" permanecerá oculto. Para leer el escondite en la corriente de Stream1, puede el comando:

    más

    Los flujos alternativos se pueden agregar no solo a los archivos individuales, sino también a los directorios. Por ejemplo, agregue un flujo de Stream2 alternativo que contenga el texto "Ocultar Stream en Streams" al directorio de Streams actual:

    echo Ocultar Stream en Streams\u003e: Stream2

    Y retire el Stream2 Stream por el siguiente comando:

    más<:stream2

    Los contenidos de flujos alternativos se pueden abrir no solo en la consola. Por ejemplo, el Bloc de notas también sabe cómo acceder a los datos ocultos en secuencias si especifica el nombre del flujo alternativo en el nombre del archivo a través de Colón. Repetimos el ejemplo anterior, cambiando el nombre del flujo en Stream1.txt:

    echo Este es un flujo alternativo\u003e Streams.txt: stream1.txt

    Y abre un flujo alternativo en un equipo de notebook:

    notepad Streams.txt: stream1.txt

    Nota. El Bloc de notas estándar requiere la expansión de TXT en el nombre del flujo, de lo contrario, no podrá abrirlo. Los editores más avanzados, como el mismo bloc de notas ++, pueden mostrar el contenido de un flujo alternativo, independientemente de su nombre.

    La presencia de flujos alternativos del archivo no se muestra en el conductor y otro gerentes de archivo. Para encontrarlos, la forma más fácil es utilizar el equipo. dir / r.(empezando con Windows Vista.), que muestra todos los flujos de datos, incluida la alternativa.

    Puede parecer que el uso de flujos alternativos se limita a los datos de texto. Esto no es en absoluto, y en arroyos alternativos, puede almacenar absolutamente cualquier información. Por ejemplo, cree un archivo imágenes.txt y agregue un flujo PIC1.jpg a él, en el que la imagen del mismo nombre es:

    echoimagen\u003e Picture.txt
    Tipo pic1.jpg\u003e foto.jpg: pic1.jpg

    Por lo tanto, externamente tenemos un archivo de texto regular, y para abrir una imagen desde un flujo alternativo en editor gráfico Pintar que usamos el equipo:

    mspaint piminy.txt: pic1.jpg

    De manera similar, cualquier dato se puede agregar a cualquier tipo de archivo: agregue imágenes a archivos de texto, agregue a los archivos de medios información de texto Etc., ¿qué es interesante, el contenido alternativo no aumenta el tamaño del archivo visible, por ejemplo, agregando a 1KB archivo de texto Video HD a 30 GB, el conductor seguirá mostrando el tamaño del archivo 1KB.

    Incluso en arroyos alternativos, puede ocultar archivos ejecutables. Por ejemplo, tome el archivo test.txt y agregue una aplicación de notebook (Notepad.exe) a un flujo alternativo Note.exe:

    escribe notepad.exe\u003e \u200b\u200btest.txt: note.exe

    Y para iniciar un cuaderno oculto, usamos el equipo:

    iniciar. \\ Test.txt: note.exe

    Por cierto, algunos programas maliciosos son utilizados por esta oportunidad, agregando un código ejecutable a los flujos alternativos de NTFS.

    Corrientes de utilidad.

    Hay varios arroyos alternativos. utilidades de terceros, por ejemplo, la utilidad de la consola transmite de SysInternals. Puede determinar la presencia de flujos alternativos y eliminarlos. La utilidad no requiere instalación, es suficiente para desempacarla y ejecutar. Por ejemplo, verifique la presencia de flujos en el comando del equipo de Streams:

    Streams.exe -s C: \\ Streams

    Y eliminar flujos alternativos del archivo Streams.txt:

    Streams.exe -d C: \\ Streams \\ Streams.txt

    Potencia Shell

    PowerShell también sabe cómo trabajar con arroyos alternativos: crear, detectar, mostrar sus contenidos e incluso eliminar. Por ejemplo, cree un archivo de texto:

    New-item -Type File -path C: \\ Streams \\ Stream.txt

    Agregue la entrada a la corriente principal:

    Set-Content -Path C: \\ Streams \\ Stream.txt -Value "Stream principal"

    Y en un flujo alternativo con el nombre segundo:

    Establecer contenido -Path C: \\ Streams \\ Stream.TXT -Value "Segunda transmisión" -stream segundo

    Luego traemos los contenidos de la principal.

    CONTENIDO DE CONTENIDO -PATH C: \\ Streams \\ Stream.txt

    y arroyos alternativos:

    Contenido de Get-Content -Path C: \\ Streams \\ Stream.txt -stream segundo

    Para detectar la presencia de flujos alternativos, puede usar el comando:

    Get-artículo -Path C: \\ Streams \\ Stream.txt -stream *

    Y puede eliminar hilos adicionales con el comando:

    Eliminar-Artículo -Path C: \\ Streams \\ strereams.txt -stream *

    Utilizando

    Los flujos alternativos se utilizan tanto en la propia Windows como en algunos programas. Por ejemplo, Explorador de Internet. Divide la red a 4 zonas de seguridad y al descargar los archivos le agrega las etiquetas que contienen información sobre la zona desde la cual se cargaron.

    Estas etiquetas se almacenan en un flujo alternativo y representan un número de 0 a 4:

    Internet (3)
    Red local (1)
    Sitios confiables (2)
    Sitios peligrosos (4)
    Computadora local (0)

    Para asegurarse de que nos muevamos a la carpeta de descarga, tome el archivo descargado desde Internet y compruebe para flujos alternativos. Como puedes ver, hay un arroyo con el nombre. Zona.identificadoren el que hay una cadena ZoneID \u003d 3..

    Esto significa que el archivo se refiere a una zona de Internet no confiable, y cuando se descubre, es necesario tener cuidado. Algunos programas, como Word, leen estos datos al abrir el archivo y dar la advertencia apropiada.

    Además, la infraestructura de clasificación de archivos (Infraestractura de clasificación de archivos, FCI) se basa en el uso de flujos alternativos. De programas de terceros Corrientes alternativos usan algunos programas antivirusEn particular, Kaspersky Anti-Virus almacena la suma de comprobación obtenida en ellas como resultado de la comprobación.

    Sin embargo, el uso de flujos alternativos no se limita a esto, usted mismo puede encontrar cualquier solicitud para ellos. Por ejemplo, con su ayuda puede ocultar información individual de ojos extraños. Los archivos que contienen flujos alternativos se pueden copiar o transferir libremente del disco a disco, todas las transmisiones se copiarán junto con el archivo.

    Y, sin embargo, cuando se usa hilos alternativos, es necesario recordar que están fuertemente atados al sistema de archivos NTFS. Para usarlos, los archivos deben ubicarse en discos con NTFS, respectivamente, trabajar con ellos solo desde debajo de Windows. Si mueve el archivo a cualquier otro sistema de archivos, entonces todos los flujos excepto la principal se perderán. También se recortan flujos alternativos al transferir archivos a FTP o por envío como un archivo adjunto postal.
    Tomado de http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/

    Aún:
    Anuncios: sistema de archivos NTFS del sistema de archivos incorporado, que no se puede desactivar.

    Los anuncios le permiten agregar cualquier archivo a otros archivos e incluso directorios (!). El sistema operativo usa periódicamente, agregando el archivo "zona.identificador" descargado de Internet

    Zone.Identifier puede, por cierto, editar, para deshacerse de las advertencias "Este archivo descargado de Internet. Abierto en modo seguro? ".

    Puede agregar un flujo a cualquier archivo como este:
    Tipo File1\u003e File2: File3

    tratar de detectar
    Dir / r.

    ejecutar EXE así:
    Iniciar archivo2: File3

    si está trabajado, entonces:
    Mklink file4 file2: file3
    Iniciar archivo4.

    Esto, por ejemplo, le dará una calculadora al disco raíz de (!) Y la inicie a través del enlace

    Se presentaron en Windows NT 4.0 y estaban alrededor de todos los descendientes (excluyendo los descendientes de Win-95: 98, yo). En XP, VISTA y WIN 7, todavía existen. Hasta que versión de Windows Soporta NTFS, ellos admitirán flujos de archivos. Ellos apoyarán NTFS durante mucho tiempo.

    El error que especificó se describe en la página que ve en su pregunta. El equipo tipo no entiende las corrientes. Utilizando:

    Más< 1013.pdf:Zone.Identifier

    Trabajando con flujos

    Microsoft tiene solo algunos equipos que trabajan con hilos en realidad solo< , > Trabaje con hilos, y por lo tanto solo se pueden usar comandos que pueden funcionar con estos operadores de redirección. Escribí acerca de cómo puedes gestionar los flujos solo con estos equipos.

    Los arroyos solo funcionarán con programas que están diseñados para trabajar con ellos, solo porque deben ser procesados \u200b\u200bespecíficamente (compare los puntos de conexión, así como la función NTFS, pero el conductor oculta la parte, y los programas no necesitan Haz algo especial: simplemente consideran el archivo real del punto de conexión).

    Cuando intenta abrir la transmisión de archivo usando el nombre de inicio: StreamName, y el programa dice algo como un "nombre de archivo ilegal" o "archivo no encontrado", y está seguro de que el nombre del flujo es correcto, y luego probablemente el El programa no admite flujos. Noté que el Bloc de notas, WordPad y Word / Excel funcionan correctamente con hilos, aunque Word y Excel consideran los archivos peligrosos. A continuación se presentan algunos experimentos.

    Nota: Le parece que las transmisiones de datos alternativas son extrañas. Son extraños porque están tan ocultos, pero muchos sistemas de archivos básicos (HFS, NSS) lo tienen, y el concepto se remonta a principios de los años 80. De hecho, inicialmente se agregaron arroyos a NTFS para interactuar con otros sistemas de archivos.

    El propósito de este artículo para explicar el significado.
    Corrientes de datos adicionales (flujos de datos alternativos)
    en sistemas operativos Ventanas
    Demuestra cómo crearlos y
    comprometer el coche, cómo encontrar
    Archivos ocultos usando públicamente disponibles
    Utilidades. El primer paso tendrá que ser consciente
    el significado de los anuncios y lo que amenazan llevan, entonces
    Veamos cómo se usan para hackear.
    Y finalmente, considera las herramientas.
    Para detectar la actividad y cómo
    deja de más trabajo ilegal con
    con ellos.

    ¿Para qué?

    Aparecieron flujos de datos adicionales en
    Windows con NTFS. De hecho, por lo que yo
    Entiendo, no había un punto particular en ellos, ellos
    fueron hechos para la compatibilidad con HFS, VIEJOS
    Sistema de archivos Macintosh - Sistema de archivos hierachical. Un negocio
    que utiliza este sistema de archivos
    tanto la rama de datos como la rama de recursos para
    Almacenamiento de contenido. Rama de datos
    En consecuencia, responsable del contenido.
    documento, y la rama de los recursos para
    Identificación de archivos - su tipo y otro
    datos. Por ahora el tiempo de la existencia.
    Corrientes adicionales de usuarios ordinarios.
    Pocas personas lo saben. Sin embargo, en el mundo de la computadora.
    seguridad tienen un cierto
    Propagar. Por ejemplo, hackers malvados
    Use anuncios para almacenar archivos en
    computadoras hackeadas, así como a veces
    Aplicar virus y otros malware. Un negocio
    Después de todo, todo es que estas corrientes no son
    visto por métodos convencionales, los mismos
    Conductor o a través de la línea de comandos. Que
    ¿Están interesándose estas corrientes? Y que en el caso de
    Las investigaciones de piratería no siempre pagan.
    Atención sobre ellos, además, no todos los antivirus.
    De forma predeterminada, mira a través de los arroyos en
    Buscar software malicioso.

    A negociar

    Para entender un peligro real.
    Los anuncios mejor demuestran trabajo con ellos.
    En el ejemplo, utilizando el marco de Metasploit penetre
    en el carro. Para esto usamos la vulnerabilidad.
    MS04-011 (LSASS). Luego con la ayuda de los archivos de llenado TFTP,
    que y ponen flujos adicionales
    datos. Tan pronto como se complete en
    Máquina remota corre desde el comando
    escáner de filas que escanea la red en
    Disponibilidad de otras máquinas. Nota,
    que los autores del marco metasploit proporcionaron su
    Creación firma metasploit, para que los creadores.
    Los programas de protección podrían determinar el paquete.
    Saliente de MF. Presta atención al paquete,
    Saliente del atacante:

    Aquí 192.168.1.102 Atacante de PC en
    que es el marco de Metasploit, y 192.168.1.101 -
    Vulnerable comp con Win2K Prof. En este caso, el eje.
    Set sin parches y SPARS,
    exclusivamente para objetivos de demostración
    :). Tenga en cuenta que los anuncios en sí mismos no son
    demasiado útil, naturalmente, por favor
    Atacante solo si hay
    Acceso al coche, vulnerabilidad del sistema en
    sistema operativo. En esta red tu
    Es poco probable que pueda encontrar W2K sin escrúpulo, por lo que
    Tendrá que buscar otros principios.
    penetración.

    A continuación vemos que el ataque fue exitoso y en
    La máquina de atacantes está abierta shell reversible,
    Entregado. Predeterminado para esto
    Vulnerabilidades en Metasploit Use Port 4321,
    Sin embargo, se puede cambiar:

    Penetrando el coche debe ser pasado allí.
    Archivos. Para hacer esto, use TFTP, en este
    Caso que obtenemos ipheye.exe.

    De la misma manera, descargamos psexec.exe, pslist.exe y
    klogger.exe. Hagamos la lista del directorio C: \\ Compaq \\,
    Donde todo se derrumbó:

    Dispara ahora Ipeye.exe con Stream,
    asociado con un archivo existente
    test_file.

    Entonces lo mismo se puede hacer y agitar.
    Otros archivos necesarios.
    Tenga en cuenta que alternativa
    La corriente se puede organizar no solo para
    archivos, pero también para directorios, la misma C: \\ K
    Ejemplo. Ejecutar el escáner sobre el que nos
    habló al principio, ipeye.exe, en infectado
    Ordenador:

    c: \\ compaq \\ test_file: ipeye.exe

    (Continuará)