hogar / Consejo/ Cómo ocultar datos en flujos NTFS. Características del sistema de archivos NTFS

Cómo ocultar datos en transmisiones NTFS. Características del sistema de archivos NTFS

En este tema, veré cuatro tipos de metadatos que se pueden adjuntar a un archivo o directorio por medio de sistema de archivos NTFS... Describiré los propósitos para los cuales se puede utilizar este o aquel tipo de metadatos, daré un ejemplo de su aplicación en cualquier tecnología de Microsoft o software de terceros.

Hablaremos de puntos de análisis, identificadores de objetos y otros tipos de datos que un archivo puede contener además de su contenido principal.

Identificador de objeto son 64 bytes que se pueden adjuntar a un archivo o directorio. De estos, los primeros 16 bytes permiten identificar de forma única el archivo dentro del volumen y hacer referencia a él no por su nombre, sino por su identificador. Los 48 bytes restantes pueden contener datos arbitrarios.

Existen ID de objeto en NTFS con Tiempos de Windows 2000. En el propio sistema, se utilizan para rastrear la ubicación del archivo al que hace referencia el acceso directo (.lnk). Digamos que el archivo al que hace referencia el acceso directo se ha movido dentro del volumen. Cuando inicie el acceso directo, se abrirá de todos modos. Especial servicio de windows si no se encuentra el archivo, intentará abrirlo no por su nombre, sino por un identificador previamente creado y guardado. Si el archivo no se eliminó y no salió del volumen, se abrirá y el acceso directo apuntará al archivo nuevamente.

Los identificadores de objetos se utilizaron en la tecnología iSwift de la versión 7 de Kaspersky Anti-Virus. Esta tecnología se describe a continuación: La tecnología está diseñada para archivo Sistemas NTFS... En este sistema, a cada objeto se le asigna un identificador NTFS. Este identificador se compara con los valores de la base de datos especial iSwift. Si los valores de la base de datos con el identificador NTFS no coinciden, el objeto se analiza o se vuelve a comprobar si se ha modificado.

Sin embargo, una sobreabundancia de identificadores creados causó problemas al escanear el disco con la utilidad estándar. cheques chkdsk, tomó demasiado tiempo. En las próximas versiones de Kaspersky Anti-Virus, el Id. De objeto NTFS ya no se usa.

Punto de reanálisis

En el sistema de archivos NTFS, un archivo o directorio puede contener un punto de análisis, que se traduce al ruso como Punto de reanálisis... Se agregan datos especiales al archivo o directorio, el archivo deja de ser un archivo normal y solo un controlador de filtro del sistema de archivos especial puede procesarlo.

Hay puntos de análisis en Windows que pueden ser manejados por el propio sistema. Por ejemplo, los puntos de análisis en Windows implementan enlaces simbólicos y puntos de unión, así como puntos de montaje para volúmenes en un directorio.
El búfer de análisis adjunto al archivo es un búfer con un tamaño máximo de 16 kilobytes. Se caracteriza por la presencia de una etiqueta que le dice al sistema qué tipo de punto de análisis es. Cuando utilice un búfer de análisis de su propio tipo, también debe especificar el GUID en un campo especial y es posible que no esté presente en los búferes de análisis de Microsoft.

¿Qué tipos de puntos de análisis existen? Enumeraré las tecnologías que utilizan el punto de análisis. Se trata de almacenamiento de instancia única (SIS) y volúmenes compartidos en clúster en Windows Storage Server 2008 R2, gestión de almacenamiento jerárquico, sistema de archivos distribuido (DFS), Inicio de Windows Extensor de unidad de servidor. Estas son tecnologías de Microsoft; no hay tecnologías de terceros que utilicen puntos de análisis aquí, aunque hay algunas.

Atributos extendidos

Atributos de archivo extendidos... Acerca de ellos fue. Vale la pena mencionar aquí solo que esta tecnología prácticamente no se usa en Windows. Del que yo conozco software solo Cygwin usa atributos extendidos para almacenar permisos POSIX. Un solo archivo en NTFS puede tener atributos extendidos o un búfer de punto de análisis. La instalación simultánea de ambos es imposible. Talla máxima de todos los atributos extendidos para un archivo es 64 KB.

Flujos de datos alternativos

Flujos de archivos adicionales. Probablemente todo el mundo ya los conozca. Enumeraré las características principales de este tipo de metadatos: naming (es decir, un archivo puede tener varias secuencias y cada una tiene su propio nombre), acceso directo desde el sistema de archivos (se pueden abrir usando el formato "nombre de archivo, dos puntos, nombre de la secuencia "), tamaño ilimitado, la capacidad de iniciar un proceso directamente desde el hilo (y la capacidad de implementar a través de este).

Se utiliza en la tecnología iStream de Kaspersky Anti-Virus. Se utilizan en el propio Windows, por ejemplo, al descargar un archivo de Internet, se le adjunta un flujo Zone.Identifier, que contiene información acerca de dónde se recibió. Este archivo... Después de ejecutar el archivo ejecutable, el usuario puede ver el mensaje “No se pudo verificar el editor. ¿Está seguro de que desea ejecutar este programa? ".

Entonces el usuario recibe protección adicional del lanzamiento irreflexivo de programas obtenidos de Internet. Este es solo un uso para las transmisiones y pueden almacenar una amplia variedad de datos. El ya mencionado Kaspersky Anti-Virus almacenó sumas de comprobación de cada archivo allí, pero más tarde esta tecnología también se abandonó por alguna razón.

¿Algo más?

Hay algo mas identificador de seguridad, además de atributos de archivo estándar a los que no se puede acceder directamente, aunque también se implementan como flujos de archivos. Y ellos, los atributos extendidos, el análisis y la identificación del objeto son todos flujos de archivos desde el punto de vista del sistema. No tiene sentido cambiar directamente la SEC, que se muestra en la siguiente imagen como :: $ SECURITY_DESCRIPTOR, deje que el sistema lo haga. El sistema en sí no proporciona acceso directo a otros tipos de flujos. Eso es todo.

Es posible ver el contenido de la identificación del objeto, los puntos de análisis, así como trabajar con atributos extendidos y flujos de archivos alternativos utilizando el programa

Visiblemente invisible

El lector de blogs Víctor no pudo ejecutar el script de PowerShell descargado de Internet. La lectura cuidadosa de mis instrucciones evitó el problema, pero no se basaba en las estrictas políticas de seguridad de PowerShell.

Victor descargó de la galería de TechNet el archivo con el script PSWindowsUpdate.zip para Gestión de ventanas Actualización de la que estaba hablando. Sin embargo, el guión descomprimido se negó a funcionar. Cuando le sugerí al lector que el primer párrafo de mis instrucciones dice sobre la necesidad de desbloquear el archivo, todo fue como un reloj.

Víctor pidió explicar por qué el sistema bloqueó la secuencia de comandos y cómo sabe que el archivo se descargó de otra computadora.

Para ser honesto, el tema de hoy no es nuevo, pero decidí cubrirlo en mi blog por varias razones:

Muchos artículos se escribieron en Tiempos de Windows XP o Windows 7 y no tenga en cuenta las capacidades integradas de los sistemas operativos más nuevos de Microsoft.
En uno de los artículos previstos para un futuro próximo se aborda este tema, y me resulta más fácil referirme al material, de cuya relevancia y corrección soy yo mismo responsable.
El blog tiene una gran audiencia, y para muchos lectores este tema seguirá siendo una novedad :)

Hoy en el programa

Flujos de datos NTFS

Windows extrae información sobre el origen del archivo del flujo de datos alternativo (ADS) del sistema de archivos NTFS. En las propiedades del archivo, ella escribe modestamente que es de otra computadora, pero en realidad sabe un poco más, como verás más adelante.

Desde una perspectiva NTFS, un archivo es una colección de atributos. El contenido del archivo es un atributo de datos llamado $ DATA. Por ejemplo, un archivo de texto con la línea "¡Hola, mundo!" tiene el atributo de datos "¡Hola, mundo!"

En NTFS, el atributo $ DATA es un flujo de datos y se llama primario o sin nombre porque ... no tiene nombre. Formalmente, se ve así:

$ DATA: ""

$ DATOS- nombre atributo
: - delimitador
"" - nombre fluir(en este caso, falta el nombre, no hay nada entre las comillas)

Características interesantes de flujos de datos alternativos

En el contexto de los ejemplos anteriores, quiero señalar algunos puntos interesantes.

Cambios invisibles

Después de haber creado un archivo de texto con el primer comando, puede abrirlo en editor de texto y asegúrese de que todas las manipulaciones posteriores no afecten el contenido del archivo de ninguna manera.

Se vuelve interesante cuando el archivo se abre, digamos, en Notepad ++. Este editor puede advertir sobre cambios en los archivos. Y hará esto cuando escriba la secuencia alternativa en el archivo, ¡pero el contenido seguirá siendo el mismo!

Grabar y ver ADS desde CMD

Los ADS se pueden crear y mostrar desde la línea de comandos. Los siguientes comandos escriben texto oculto en un segundo ADS llamado MyStream2 y luego lo muestran.

Echo Hidden Text> C: \ temp \ test.txt: MyStream2 más< C:\temp\test.txt:MyStream2

Ver anuncios en editores de texto

El mismo Notepad ++ le mostrará el contenido de ADS, si especifica el nombre de la secuencia en la línea de comando

"C: \ Archivos de programa (x86) \ Notepad ++ \ notepad ++. Exe" C: \ temp \ test.txt: MyStream1

Resultado:

Con el bloc de notas, este truco solo funcionará si al final del nombre de la transmisión hay .TXT... Los siguientes comandos agregan un tercer ADS y lo abren en el bloc de notas.

Eco de texto oculto> C: \ temp \ test.txt: Bloc de notas MyStream3.txt C: \ temp \ test.txt: MyStream3.txt

Resultado:

Bloquear archivos descargados

Volvamos a la pregunta que me hizo un lector. El bloqueo del archivo depende principalmente del programa en el que se descargó y, en segundo lugar, de los parámetros del sistema operativo. Por lo tanto, todos los navegadores modernos admiten el bloqueo y está incluido en Windows.

Recuerde que cuando un archivo está bloqueado, todos los archivos descomprimidos se heredarán bloqueados. También recuerde que ADS es una característica de NTFS, es decir, no se produce ningún bloqueo al guardar o descomprimir un archivo en FAT32.

Ver información sobre el origen de un archivo bloqueado

En PowerShell, vaya a la carpeta con el archivo descargado y vea información sobre todas las transmisiones.

Get-Item. \ PSWindowsUpdate.zip -Stream * Nombre de archivo: C: \ Users \ Vadim \ Downloads \ PSWindowsUpdate.zip Longitud de la secuencia ------ ------: $ DATA 45730 Zone.Identifier 26

Como ya sabe, $ Data es el contenido del archivo, pero ADS también aparece en la lista. Identificador de zona... Este es un indicio claro de que el archivo se recibió de alguna zona. ¿Sabes de dónde viene esta imagen?

Para conocer la zona, debe leer el contenido de los ADS.

Get-Content. \ PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId = 3

Obviamente, su objetivo es el desbloqueo por lotes (por ejemplo, cuando el archivo ya está descomprimido). El siguiente comando desbloqueará en la carpeta Descargas todos los archivos que contengan el nombre PD:

Dir C: \ Descargas \ * PS * | Desbloquear archivo

Por supuesto, hay todo tipo de utilidades con interfaz grafica, incluso aquellos que saben integrarse en Menú de contexto... Pero, en mi opinión, PowerShell o en el peor de los casos es suficiente.

Cómo prevenir el bloqueo de archivos

La política de grupo es responsable de bloquear No almacenar información sobre la zona de origen de los archivos adjuntos. Como sugiere el nombre, el bloqueo es un comportamiento estándar de Windows y la política le permite cambiarlo.

Sin embargo, del nombre no se desprende claramente que la política se aplique no solo a archivos adjuntos postales, sino también archivos descargados de Internet. Lea más sobre Attachment Manager en KB883260.

En las ediciones de inicio del editor políticas de grupo no, pero nadie canceló el registro: SaveZoneInformation.zip.

Otros ejemplos de aplicaciones prácticas de ADS

El alcance de ADS no se limita a agregar una zona del archivo descargado, así como tampoco es necesario almacenar solo texto en ADS. Cualquier programa puede usar esta función NTFS para almacenar cualquier tipo de datos, por lo que daré solo un par de ejemplos de diferentes áreas.

Infraestructura de clasificación de archivos

Sobre el Autor

Cosas interesantes, gracias. Aprendí algo nuevo sobre PowerShell, que todavía no sé mucho :)

Para comunicarme con mi familia, a menudo uso WhatsApp; hasta ahora ha habido menos problemas con este servicio, incluso mis padres se han acostumbrado. El contacto también es principalmente para la familia, aunque el intercambio de mensajes allí es principalmente en torno a los álbumes publicados con fotos y videos. Algunos familiares permanecen fieles a Viber; no funcionó para mí de alguna manera, simplemente se lo guardo, sin dejar nunca de intentar arrastrarlos a WhatsApp.

Para trabajar principalmente Slack, cuando algo urgente es WhatsApp, muy urgente es SMS. VKontakte para la comunicación con el mundo exterior.

Solo uso Skype para videollamadas, principalmente con mi familia nuevamente. Con mucho gusto lo reemplazaría con WhatsApp si hubiera videollamadas.

urix

Viber ahora tiene videollamadas e incluso videollamadas para la versión de escritorio. Entonces, tal vez Viber sea el próximo skype ... en el buen sentido

Andrey Kuznetsov

El material es interesante, gracias. Sabía de la existencia de subprocesos, pero no sabía que era tan fácil trabajar con ellos a través de PowerShell.
En cuanto a la mensajería instantánea: en cuanto a Skype, solo tengo quejas sobre la hora de lanzamiento en Telefono windows... No existe tal problema en ipad y Windows. Lo uso para la comunicación por voz, cuando por alguna razón no es conveniente usar GSM.
Y la correspondencia vía Whatsapp. Su presencia solo en el teléfono es más bien una ventaja desde el punto de vista de la privacidad.

Andrey Kuznetsov: Y la correspondencia vía Whatsapp. Su presencia solo en el teléfono es más bien una ventaja desde el punto de vista de la privacidad.

Andrey, explica cuál es el plus aquí

Pavlovsky Roman

1. Utilizo con más frecuencia: Skype y Hangouts: para trabajar en una PC, para el resto de la correspondencia de VKontakte desde cualquier dispositivo, ya que los clientes suelen usar Skype para el trabajo y amigos y conocidos en las redes sociales.

2. Idealmente, me gustaría usar: Jabber - para correspondencia y llamadas desde cualquier dispositivo. En cuanto a mí, el cliente se puede instalar en cualquier dispositivo y corresponder, esté donde esté el usuario, incluso en una conexión a Internet débil + para esto puedes desplegar tu propio servidor jabber y almacenar toda la correspondencia en el servidor, para que luego puedas encuentre rápidamente la correspondencia deseada. si el cliente no sabe cómo almacenar el historial, y se pueden encontrar complementos para llamadas a través de jabber (por ejemplo, a través del mismo SIP Asterisk 1.8+)

Andrey Bayatakov

La mayoría de las veces uso WhatsApp (principalmente para el trabajo), para llamadas (audio / video / llamadas internacionales) Skype. Aunque el Skype de escritorio es terriblemente exasperante (tengo un transformador y en casa lo uso principalmente como tableta) ... Viber no echó raíces. Para llamar a través de WhatsApp, solo necesitas tener los nervios de hierro. Dile algo a tu interlocutor y espera un minuto o dos cuando te escuche (conexión de 50Mbit) ...
Sería posible cambiar por completo a Skype. En Windows 10 Mobile, después de una actualización reciente, los mensajes de Skype van directamente a la aplicación de Mensajes incorporada (como SMS), lo cual es muy conveniente.

Máxima

1. De mala gana uso ICQ (para clientes retrógrados) y Slack (para clientes más modernos).
2. Me gustaría usar Jabber - por las mismas razones que Roman Pavlovsky arriba.

Vladimir Kiryushin

¡Hola Vadim!
Antes de este artículo, leí tu artículo sobre cómo leer el informe de pago de todo disco del sistema con el comando chkdsk. ¡Excelente artículo! Gracias a ella, hoy, después de verificar el disco del sistema con el comando chkdsk, recibí un archivo de informe de texto. Y este artículo también aclara muchas cosas en Programa PowerShell... Algunas cosas me resultan incomprensibles como pensionista, pero trato de no entrar en pánico y leer con diligencia hasta el final. ¡Gracias por tus estudios con nosotros! ¡Todo lo mejor para usted!

Lecron

¿Qué navegadores y descargadores crean esta transmisión?

¿Qué otras opciones existen para que el usuario utilice las transmisiones? ¿Y en particular, un usuario de un guionista? Ya que, aunque los conocía desde hace mucho tiempo, nunca los usé. En el trabajo real con una computadora, simplemente no se acuerda de ellos, y debido a esto, es posible que esté haciendo muletas, en lugar de herramienta conveniente, pero sin este trabajo, de memoria, es imposible llegar a nada.
Solo pensé en una opción. Un comentario al archivo si no hay posibilidad o deseo de escribir texto largo en el nombre del archivo. Pero esto requiere el apoyo del administrador de archivos, que anteriormente, e incluso ahora, los escribe en descript.ion o files.bbs.

Gurú de la velocidad

Otra tecnología basura como la revista USN. ¿Cuánto se beneficiará de un ZoneIdentifier o un virus adjunto a un archivo o carpeta? Por supuesto no. Además, esto está saturando el sistema con "subarchivos" innecesarios que de ninguna manera son necesarios para un usuario normal. Cada lectura adicional en el directorio MFT y otras operaciones que acompañan al mantenimiento y mantenimiento de flujos alternativos son ciclos de procesador extra gastados, memoria de acceso aleatorio y, lo más importante, una carga adicional en el disco duro.
Puede decirme que el sistema realmente necesita esta tecnología. Pero esto es una tontería: el sistema funcionaría bien sin hilos. Pero nadie le pregunta al usuario: se vieron obligados (como un diario de la USN) y no dieron la oportunidad de deshabilitar por completo el mantenimiento de estos flujos. Pero yo, como usuarios, no los necesito para nada, creo que tan bien como ustedes ...
Todo lo que podemos hacer es "streams -s -d% systemdrive%". Pero incluso esto no permite eliminar subprocesos en la partición del sistema.

Alexiz kadev

Las transmisiones con nombre son una gran cosa, y existían, por lo que recuerdo, desde la primera versión de NTFS. En flujos con nombre, es lo suficientemente conveniente almacenar, por ejemplo, versiones de documentos, lo cual, si no me equivoco, varias aplicaciones lo han hecho. Pero queda una emboscada con la copia a otro sistema de archivos: los flujos con nombre simplemente se cortan.

Lástima que no haya podido seleccionar varios mensajeros en el sistema de votación: utilizo varios, porque algunos de mis contactos prefieren determinados. Entonces, uso WhatsUp, ICQ (aunque, por supuesto, no es un cliente nativo), Skype, SkypeforBusiness (horror silencioso, no un cliente, sin embargo, cuando se llamaba Lync era aún peor) y Viber (aquí hay más spam. que en otros al menos una vez a las 5).
E idealmente, use uno, como Miranda con complementos, ya que simplemente no es realista encontrar, si es necesario, quién dijo / escribió algo donde y en todo este montón. Pero, por desgracia, varios fabricantes cierran sus protocolos y los protegen como Kaschey su aguja.

Vladimir Kokarev

VSh

Vadim Sterkin: Roman, no incluí a Jabber en la encuesta. Decidí que muy poca gente lo usa y no hay prospectos.

En vano
Por ejemplo, utilizo OpenFire (freeware xmpp) como comunicador de oficina en varios dominios.

Por lo tanto, mi principal es XMPP (Pidgin.exe, Spark.exe), pero el 99,8% de estos mensajes son intradominio.
Skype: para mensajería instantánea externa
WhatsApp y Viber - para "contactos aleatorios", los últimos n meses solo SPAM, creo - ¿debería eliminarlo?

Artem

Por alguna razón, todo está en mi vibra. Y la calidad de la conexión es bastante satisfactoria. Y así serían los telegramas. Sí, vacío allí.

hazet

1. Skype (en PC) y Viber (en dispositivos móviles). Las razones son básicamente las mismas que para la mayoría: el número de contactos existentes y, naturalmente, la renuencia de estos mismos contactos a cambiar a otro mensajero.
2.uTox. Miniatura, nada superfluo, cliente para Win, Linux, Mac y Android. Posicionado como protegido.
PD Ahora empezaré a acercarle mis contactos con más fuerza :-)

Evgeny Karelov

¡Gracias por tu trabajo!

En cuanto a la encuesta, en una PC para correspondencia utilizo QIP 2012, al que están conectados los contactos de ICQ, VKontakte y otros. Personalmente, me conviene usar un programa para comunicarme a través de varios protocolos. Y la capacidad de ver los feeds de las redes sociales desde un solo lugar es muy alentadora. Idealmente, lo único que falta es el soporte para Skype, que utilizo para la comunicación por voz, pero obviamente no aparecerá.
Aunque este programa parece "abandonado", debido a que no ha habido actualizaciones durante mucho tiempo, realiza las funciones asignadas a la perfección.

strafer

Mezcla interesante del tema de la publicación sobre flujos de datos y encuestas en mensajería instantánea.

Según la encuesta: Jabber / Jabber, que no deberías haber incluido en la lista, aunque hay un WhatsApp basado en XMPP, e incluso una búsqueda del éxito.

Jabber, en general, resuelve todos estos problemas debido a la apertura del protocolo, la presencia de clientes para muchas plataformas y la presencia de servidores que tú mismo puedes plantear. Pero es más tradicional masticar cactus, sí.

Se enumeran los clientes, no los protocolos.
ICQ ... bueno, no puse emoticonos allí, porque de todos modos debería quedar claro.
Jabber no resuelve exactamente un problema: no hay nadie allí.
- strafer
  
  Vadim Sterkin: Se enumeran los clientes, no los protocolos.
  
  Debido al hecho de que el protocolo y códigos fuente el cliente oficial es cerrado, se establece una identidad natural entre el único cliente y el protocolo.
  
  Vadim Sterkin: ICQ ... bueno, no puse emoticonos ahí, porque debería quedar claro.
  
  No es suficiente para un maillock podrido que el asechka muera de muerte natural; también hacen esfuerzos adicionales para que se doble más rápido.
  
  Vadim Sterkin: Jabber no resuelve exactamente un problema: no hay nadie allí.
  
  Sin embargo, para Telegram, tú mismo escribiste
  
  se ve muy bien, pero está vacío (se puede arreglar)
  
  Jabber tuvo todas las posibilidades de convertirse en lo que es hoy el ecosistema de correo electrónico (apertura total del protocolo, la capacidad de elevar sus servidores a cualquiera y proporcionar interacción entre servidores, etc.), pero las corporaciones no necesitan esto, lo cual se ve claramente. en el ejemplo de la salida de Google o Whatsapp propietario.
  - Para Telegram - reparable, para Jabber - muy poco probable. Por tanto, el primero está en la lista, pero el segundo no.
    - strafer
      
      Por supuesto, Telegram es elegante, moderno, juvenil y nadie tan genial como Pasha Durov mueve a Jabber. ¿Cuáles son las perspectivas aquí?
      
      Um ... sal de tu tanque de teorías de conspiración de "el mundo entero contra el software libre". Todo más fácil
      
      Si no está claro, así es como se ve la primera experiencia de interactuar con el cliente Jabber recomendado oficialmente en la plataforma móvil más común para una persona.
      
      strafer
    - No entendí un poco en mi comentario sobre la conspiración.
      
      Sí, en todas partes :) Estás tratando de descartar los fracasos de Jabber como pasados de moda y no jóvenes, mientras que sus clientes de la primera pantalla no están adaptados a la realidad moderna.
      
      ¿Qué debería ver en la captura de pantalla?
      
      Mensaje para ingresar el número de teléfono ~~~ O ~

El sistema de archivos NTFS tiene muchas características interesantes, una de las cuales es la disponibilidad de flujos de datos alternativos (ADS). Su esencia es que cada archivo en NTFS es un conjunto de secuencias en las que se almacenan datos. De forma predeterminada, todos los datos están en el flujo principal, pero si es necesario, puede agregar datos adicionales al archivo, corrientes alternativas datos.

Nota. Los flujos de datos alternativos en NTFS aparecieron hace mucho tiempo, en Windows NT. Fueron creados para ser compatibles con el sistema de archivos HFS, que luego se usó en MacOS. HFS mantuvo los datos de los archivos en un flujo de recursos dedicado.

Los archivos en NTFS se dividen en atributos, uno de los cuales es $ DATA o atributo de datos. Las secuencias son propiedades adicionales del atributo $ DATA. Por defecto, hay uno, el hilo principal $ DATA: ″ ″... Como puede ver, no tiene nombre, por eso se llama sin nombre... Además, si lo desea, puede crear transmisiones con nombre adicionales, por ejemplo. $ DATA: ″ Stream1 ″... Cada archivo en NTFS puede tener varios flujos de datos que contienen datos diferentes y no relacionados.

Todos los datos escritos en el archivo van al flujo de datos principal de forma predeterminada. Cuando abrimos el archivo, vemos exactamente el flujo principal, mientras que los flujos alternativos están ocultos para el usuario y no se muestran por medios convencionales. No pueden ser vistos formas estándar, aunque algunos programas pueden leer los datos ocultos en ellos. Además, para trabajar con transmisiones, puede usar línea de comando.

Por ejemplo, abramos la consola y usemos el comando echo para crear un archivo de texto streams.txt y escribir el texto en él:

echo Esta es la corriente principal> streams.txt

Y con el siguiente comando, escriba el texto en el flujo alternativo stream1:

echo Esto es flujo alternativo> streams.txt: stream1

Si ahora abrimos el archivo streams.txt en cualquier editor de texto, solo veremos el primer registro, el texto "Esta es una secuencia alternativa" permanecerá oculto. Puede leer la información oculta en stream1 con el comando:

más

Se pueden agregar secuencias alternativas no solo a archivos individuales, sino también a directorios. Por ejemplo, agreguemos una secuencia de transmisión alternativa2 que contenga el texto "Ocultar transmisión en transmisiones" al directorio de transmisiones actual:

echo Ocultar flujo en Streams>: stream2

Y mostraremos la secuencia stream2 con el siguiente comando:

más<:stream2

El contenido de las transmisiones alternativas se puede abrir en algo más que en la consola. Por ejemplo, el Bloc de notas también puede acceder a datos ocultos en secuencias, si especifica el nombre de una secuencia alternativa en el nombre del archivo separado por dos puntos. Repitamos el ejemplo anterior, cambiando ligeramente el nombre de la secuencia a stream1.txt:

echo Esta es una secuencia alternativa> streams.txt: stream1.txt

Y abra una secuencia alternativa en el bloc de notas con el comando:

bloc de notas streams.txt: stream1.txt

Nota. El Bloc de notas estándar requiere la extensión txt en el nombre de la transmisión; de lo contrario, no podrá abrirlo. Los editores más avanzados, por ejemplo, el mismo Notepad ++, pueden mostrar el contenido de la secuencia alternativa independientemente de su nombre.

La presencia de secuencias alternativas en un archivo no se muestra de ninguna manera en Explorer y otros administradores de archivos... Para encontrarlos, la forma más sencilla es utilizar el comando dir / R(empezando con Windows Vista), que muestra todos los flujos de datos, incluidos los alternativos.

Podría pensar que el uso de transmisiones alternativas se limita a los datos textuales. Este no es el caso en absoluto, y absolutamente cualquier información se puede almacenar en flujos alternativos. Por ejemplo, creemos un archivo picture.txt y agreguemos la secuencia pic1.jpg, en la que colocamos la imagen del mismo nombre:

echo Imagen> imagen.txt
escriba pic1.jpg> imagen.jpg: pic1.jpg

Por lo tanto, externamente tenemos un archivo de texto normal y para abrir una imagen de una secuencia alternativa en editor grafico Paint usamos el comando:

mspaint picture.txt: pic1.jpg

Del mismo modo, puede agregar cualquier dato a cualquier tipo de archivo: agregue imágenes a archivos de texto, agregue información de texto etc. Curiosamente, el contenido alternativo no aumenta el tamaño aparente del archivo, por ejemplo, agregando a 1kB Archivo de texto Vídeo HD de 30 GB, el explorador de archivos seguirá mostrando un tamaño de archivo de 1 kB.

También puedes esconderte en arroyos alternativos. archivos ejecutables... Por ejemplo, tomemos el archivo test.txt y agreguemos la aplicación Bloc de notas (notepad.exe) a la secuencia de note.exe alternativa:

escriba notepad.exe> test.txt: note.exe

Y para iniciar un bloc de notas oculto, use el comando:

iniciar. \ test.txt: note.exe

Por cierto, algunos programas maliciosos aprovechan esta oportunidad agregando código ejecutable a secuencias alternativas de NTFS.

Utilidad Streams

Para trabajar con flujos alternativos, hay varios utilidades de terceros, por ejemplo, la utilidad de consola Streams from Sysinternals. Puede detectar la presencia de flujos alternativos y eliminarlos. La utilidad no requiere instalación, basta con descomprimirla y ejecutarla. Por ejemplo, verifiquemos la presencia de streams en la carpeta Streams con el comando:

Streams.exe -s C: \ Streams

Y elimine las secuencias alternativas del archivo streams.txt:

Streams.exe -d C: \ Streams \ streams.txt

Potencia Shell

PowerShell también sabe cómo trabajar con flujos alternativos: crear, detectar, mostrar su contenido e incluso eliminarlo. Por ejemplo, creemos un archivo de texto:

New-Item -Type file -Path C: \ Streams \ stream.txt

Agreguemos una entrada a la transmisión principal:

Set-Content -Path C: \ Streams \ stream.txt -Value ″ Main stream ″

Y a una secuencia alternativa llamada Second:

Set-Content -Path C: \ Streams \ stream.txt -Value ″ Second stream ″ -Stream Second

Luego mostraremos el contenido de la principal

Get-Content -Path C: \ Streams \ stream.txt

y corrientes alternativas:

Get-Content -Path C: \ Streams \ stream.txt -Stream Second

Para detectar la presencia de flujos alternativos, puede utilizar el comando:

Get-Item -Path C: \ Streams \ stream.txt -Stream *

Y puede eliminar transmisiones innecesarias con el comando:

Eliminar-elemento -Ruta C: \ Streams \ streams.txt -Stream *

Uso

Windows y algunos programas utilizan secuencias alternativas. Por ejemplo, explorador de Internet divide la red en 4 zonas de seguridad y, al cargar archivos, les agrega etiquetas que contienen información sobre la zona desde la que fueron descargados.

Estas etiquetas se almacenan en la secuencia alternativa y representan un número del 0 al 4:

Internet (3)
Red local (1)
Sitios de confianza (2)
Sitios peligrosos (4)
Computadora local (0)

Para verificar esto, vayamos a la carpeta de descargas, tome el archivo descargado de Internet y verifique si hay transmisiones alternativas. Como puede ver, contiene una secuencia denominada Identificador de zona que contiene la linea ZoneID = 3.

Esto significa que el archivo pertenece a la zona no confiable de Internet y debe tener cuidado al abrirlo. Algunos programas, como Word, leen estos datos cuando abre el archivo y emiten una advertencia.

Además, la infraestructura de clasificación de archivos (FCI) se basa en el uso de flujos alternativos. De programas de terceros las corrientes alternativas utilizan algunos software antivirus En particular, Kaspersky Anti-Virus almacena en ellos la suma de comprobación obtenida como resultado del análisis.

Sin embargo, el uso de flujos alternativos no se limita a esto, usted mismo puede encontrar cualquier uso para ellos. Por ejemplo, con su ayuda, puede ocultar información personal de miradas indiscretas. Los archivos que contienen secuencias alternativas se pueden copiar o mover libremente de un disco a otro; todas las secuencias se copiarán junto con el archivo.

Y, sin embargo, cuando utilice secuencias alternativas, recuerde que están rígidamente vinculadas al sistema de archivos NTFS. Para usarlos, los archivos deben estar ubicados en discos con NTFS, respectivamente, puede trabajar con ellos solo desde Windows. Si mueve el archivo a cualquier otro sistema de archivos, se perderán todas las secuencias excepto la principal. Las transmisiones alternativas también se truncan cuando se transfieren archivos a través de FTP o cuando se envían como un archivo adjunto de correo electrónico.
Tomado de http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/

Todavía:
ADS es una función incorporada del sistema de archivos NTFS que no se puede desactivar de ninguna manera.

ADS le permite agregar cualquier archivo a otros archivos e incluso a directorios (!). El propio sistema operativo utiliza esto de vez en cuando, agregando el flujo "Zone.Identifier" a los archivos descargados de Internet.

Zone.Identifier, por cierto, se puede editar para eliminar las advertencias “este archivo se descargó de Internet. ¿Abrir en modo seguro? "

Puede agregar una secuencia a cualquier archivo como este:
escriba file1> file2: file3

tratar de encontrar
dir / r

ejecutar exe así:
iniciar archivo2: archivo3

si no funcionó, entonces así:
mklink archivo4 archivo2: archivo3
iniciar archivo4

Esto, por ejemplo, vinculará la calculadora a la unidad raíz C (!) Y la lanzará a través del enlace

Se han introducido en Windows NT 4.0 y han existido entre todos los descendientes (excepto los descendientes de win-95: 98, Me). Todavía existen en XP, Vista y Win 7. Adiós Versiones de Windows admite NTFS, admitirán flujos de archivos. Serán compatibles con NTFS durante mucho tiempo.

El error que publicó se describe en la página que ve en su pregunta. El comando de tipo no comprende las transmisiones. Uso:

Más< 1013.pdf:Zone.Identifier

Trabajar con arroyos

Microsoft solo tiene algunos comandos que funcionan con subprocesos, de hecho solo< , >funcionan con flujos y, por lo tanto, solo se pueden usar los comandos que pueden funcionar con estos operadores de redirección. Escribí sobre cómo aún puedes controlar los subprocesos con solo estos comandos.

Los flujos solo funcionarán con programas diseñados para funcionar con ellos, simplemente porque deben manejarse específicamente (compare los puntos de unión y la función NTFS, pero el controlador oculta los detalles y los programas no necesitan hacer nada especial: solo cuentan el archivo real del punto de unión).

Cuando intenta abrir una secuencia de archivos con start filename: streamname y el programa dice algo como "nombre de archivo ilegal" o "archivo no encontrado" y está seguro de que el nombre de la secuencia es correcto, lo más probable es que el programa no admita secuencias ... Noté que el Bloc de notas, Wordpad y Word / Excel funcionan correctamente con las transmisiones, aunque Word y Excel consideran que los archivos son peligrosos. A continuación se muestran algunos experimentos.

NOTA: cree que los flujos de datos alternativos son extraños. Son raros porque están muy ocultos, pero muchos sistemas de archivos importantes (HFS, NSS) tienen esto, y el concepto se remonta a principios de los 80. De hecho, las transmisiones se agregaron originalmente a NTFS para interactuar con otros sistemas de archivos.

El propósito de este artículo es explicar el significado de
flujos de datos alternativos
v sistemas operativos Ventanas
demostrar cómo crearlos y
comprometer el coche, como encontrar
archivos ocultos usando público
utilidades. El primer paso es darse cuenta
el significado de ADS y la amenaza que representan, luego
veamos cómo se utilizan para piratear
y finalmente luego consideraremos las herramientas
para la detección de actividad y cómo
detener más trabajos ilegales con
ellos.

¿Para qué?

Aparecieron flujos de datos adicionales en
Windows junto con NTFS. De hecho, hasta donde yo estoy
Entiendo, no había un significado particular en ellos - ellos
fueron hechos para compatibilidad con HFS, antiguo
Sistema de archivos Macintosh: sistema de archivos jerárquico. Un negocio
es que este sistema de archivos usa
tanto la bifurcación de datos como la bifurcación de recursos para
almacenamiento de contenido. Bifurcación de datos,
en consecuencia, responsable del contenido
documento y la rama de recursos para
identificación de archivo - su tipo y otros
datos. Por el momento actual sobre la existencia
transmisiones adicionales de usuarios habituales
pocas personas lo saben. Sin embargo, en el mundo de la informática
seguridad recibieron un cierto
Propagar. Por ejemplo, hackers malvados
use ADS para almacenar archivos en
computadoras comprometidas, a veces también
son utilizados por virus y otro malware. Un negocio
porque el punto es que estas corrientes no son
visto por métodos convencionales, el mismo
Explorador o línea de comandos. Cómo
¿Son interesantes estas corrientes? Y el hecho de que en el caso
las investigaciones por robo no siempre pagan
atención a ellos, además, no todos los antivirus
de forma predeterminada, ver transmisiones en
buscar software malintencionado.

Al punto

Para comprender el peligro real
ADS demostrará mejor cómo trabajar con ellos.
En el ejemplo, usamos Metasploit Framework para penetrar
en el carro. Para hacer esto, usamos la vulnerabilidad
MS04-011 (lsass). Luego, usando TFTP, cargaremos los archivos,
que colocaremos en corrientes adicionales
datos. Una vez que haya terminado
ejecutar la máquina remota desde el comando
un escáner de cadenas que escaneará la red en busca de
la presencia de otros coches. Nota,
que los autores del Metasploit Framework han proporcionado su
creación con la firma METASPLOIT, para que los creadores
el software de seguridad podría detectar un paquete
saliente de MF. Presta atención al paquete,
viniendo del atacante:

Aquí 192.168.1.102 es la computadora del atacante
que tiene Metasploit Framework y 192.168.1.101 es
computadora vulnerable con Win2K Prof. En este caso, el Eje
entregado sin parches ni service packs,
solo con fines de demostración
:). Tenga en cuenta que ADS por sí solo no
demasiado útiles, naturalmente deleitan
atacante solo si hay
acceso a la máquina, vulnerabilidad del sistema en
sistema operativo. En una red real,
es poco probable que encuentre un W2K sin parches, por lo que
hay que buscar otros principios
penetración.

A continuación vemos que el ataque fue exitoso y en
la máquina atacante tiene una carcasa inversa abierta,
regalado por la víctima. El valor predeterminado para esto
La vulnerabilidad de Metasploit usa el puerto 4321,
sin embargo, se puede cambiar:

Habiendo penetrado el coche, debes trasladarte allí.
archivos. Para esto usamos TFTP, en este
si obtenemos ipeye.exe.

De la misma forma, descargue psexec.exe, pslist.exe y
klogger.exe. Hagamos una lista del directorio C: \ Compaq \,
donde todo juraba:

Ahora empujemos ipeye.exe desde la secuencia,
asociado con un archivo existente
test_file.

Entonces se puede hacer lo mismo con el estribo
otros archivos necesarios para el trabajo.
Tenga en cuenta que la alternativa
el flujo se puede organizar no solo para
archivos, pero también para directorios, el mismo C: \ k
ejemplo. Iniciemos el escáner del que estamos hablando
habló al principio, ipeye.exe, sobre los infectados
computadora:

c: \ Compaq \ test_file: ipeye.exe

(Continuará)