itthon / Tanács/ Hogyan rejtsünk el adatokat az NTFS adatfolyamokban. Az NTFS fájlrendszer jellemzői

Az adatok elrejtése az NTFS adatfolyamokban. Az NTFS fájlrendszer jellemzői

Ebben a témában négyféle metaadatot fogok megvizsgálni, amelyek segítségével egy fájlhoz vagy könyvtárhoz csatolható fájlrendszer NTFS... Leírom, milyen célokra használhatók fel az adott típusú metaadatok, példát adok ezek alkalmazására bármely Microsoft technológiában vagy harmadik féltől származó szoftverben.

Szó lesz az újraelemzési pontokról, az objektumazonosítókról és más típusú adatokról, amelyeket a fájl a fő tartalma mellett tartalmazhat.

Objektumazonosító ez 64 bájt, amely egy fájlhoz vagy könyvtárhoz csatolható. Ebből az első 16 bájt teszi lehetővé a köteten belüli fájl egyedi azonosítását, és nem névvel, hanem azonosítóval való hivatkozást. A fennmaradó 48 bájt tetszőleges adatot tartalmazhat.

Az objektumazonosítók az NTFS-ben léteznek Windows idők 2000. Magában a rendszerben a parancsikon (.lnk) által hivatkozott fájl helyének nyomon követésére szolgálnak. Tegyük fel, hogy a parancsikon által hivatkozott fájl át lett helyezve a köteten belül. Amikor elindítja a parancsikont, úgyis megnyílik. Különleges windows szerviz ha a fájl nem található, akkor nem a nevével, hanem egy korábban létrehozott és elmentett azonosítóval próbálja megnyitni a fájlt. Ha a fájlt nem törölték, és nem hagyta el a kötetet, megnyílik, és a parancsikon ismét a fájlra mutat.

Az objektumazonosítókat a Kaspersky Anti-Virus 7 verziójának iSwift technológiája használta. Ezt a technológiát a következőképpen írják le: A technológia fájlokhoz készült NTFS rendszerek... Ebben a rendszerben minden objektumhoz NTFS azonosító tartozik. Ezt az azonosítót összehasonlítjuk a speciális iSwift adatbázis értékeivel. Ha az adatbázis NTFS azonosítóval rendelkező értékei nem egyeznek, akkor az objektumot megvizsgálja, vagy újraellenőrzi, ha megváltozott.

A létrehozott azonosítók túlzott száma azonban problémákat okozott a lemez szabványos segédprogrammal történő vizsgálata során chkdsk ellenőrzi, túl sokáig tartott. A Kaspersky Anti-Virus következő verzióiban már nem használják az NTFS-objektumazonosítót.

Pont visszaállítása

Az NTFS fájlrendszerben egy fájl vagy könyvtár tartalmazhat egy újraértelmezési pontot, amelyet oroszra fordítanak Pont visszaállítása... Speciális adatok kerülnek a fájlba vagy könyvtárba, a fájl megszűnik normál fájl lenni, és csak egy speciális fájlrendszer-szűrő-illesztőprogram tudja feldolgozni.

A Windowson vannak olyan újraelemzési pontok, amelyeket maga a rendszer kezelhet. Például a Windows pontjainak újraértelmezése szimbolikus hivatkozásokat és csatlakozási pontokat valósít meg, valamint a kötetek beillesztési pontjait egy könyvtárba.
A fájlhoz csatolt újraelemző puffer egy legfeljebb 16 kilobájt méretű puffer. Jellemzője egy címke jelenléte, amely megmondja a rendszernek, hogy milyen típusú újraelemzési pont. Ha saját típusú újraelemzési puffert használ, meg kell adni a benne lévő GUID-t is egy speciális mezőben, és előfordulhat, hogy a Microsoft újraelemző puffereiben nem található meg.

Milyen típusú visszafejtési pontok léteznek? Felsorolom az újraelemzési pontokat használó technológiákat. Ezek az egypéldányos tárolás (SIS) és a fürtözött megosztott kötetek a Windows Storage Server 2008 R2 rendszerben, a hierarchikus tárkezelés, az elosztott fájlrendszer (DFS), Windows Home Server Drive Extender. Ezek Microsoft-technológiák; itt nincsenek olyan harmadik féltől származó technológiák, amelyek újraelemzési pontokat használnának, bár vannak ilyenek.

Kiterjesztett attribútumok

Bővített fájlattribútumok... Róluk volt. Itt csak annyit érdemes megemlíteni, hogy ezt a technológiát gyakorlatilag nem használják Windows alatt. Attól, akit ismerek szoftver csak a Cygwin használ kiterjesztett attribútumokat a POSIX engedélyek tárolására. Egyetlen NTFS-fájl rendelkezik kiterjesztett attribútumokkal vagy újraelemzési pont pufferrel. A kettő egyidejű telepítése lehetetlen. Maximális méret egy fájl összes kiterjesztett attribútuma 64 KB.

Alternatív adatfolyamok

További fájlfolyamok. Valószínűleg már mindenki tud róluk. Felsorolom az ilyen típusú metaadatok főbb jellemzőit: elnevezés (vagyis egy fájlnak több adatfolyama is lehet, és mindegyiknek saját neve van), közvetlen hozzáférés a fájlrendszerből (a fájlnév formátumban nyithatók meg, kettőspont, folyam neve"), korlátlan méret , a folyamat közvetlenül a szálból történő elindításának lehetősége (és ezen keresztül való megvalósítás lehetősége).

A Kaspersky Anti-Virus iStream technológiájában használatos. Magában a Windowsban használatosak, például amikor letöltünk egy fájlt az internetről, egy Zone.Identifier adatfolyamot csatolunk hozzá, amely információkat tartalmaz arról, hogy honnan érkezett. ez a fájl... A futtatható fájl futtatása után a felhasználó láthatja az üzenetet „Nem sikerült ellenőrizni a kiadót. Biztos benne, hogy futtatni akarja ezt a programot?".

Tehát a felhasználó adott kiegészítő védelem az internetről szerzett programok meggondolatlan indításától. Ez csak egy felhasználási terület az adatfolyamokhoz, és sokféle adatot tárolhatnak. A már említett Kaspersky Anti-Virus minden fájl ellenőrző összegét tárolta ott, de később ezt a technológiát is valamiért elhagyták.

Akármi más?

Van még néhány biztonsági azonosító, valamint a szabványos fájlattribútumok, amelyek nem érhetők el közvetlenül, annak ellenére, hogy szintén fájlfolyamként vannak megvalósítva. És ezek, és a kiterjesztett attribútumok, valamint a reparse és az objektumazonosító a rendszer szempontjából mind fájlfolyamok. Nincs értelme közvetlenül megváltoztatni a SEC-et, ami a következő képen látható:: $ SECURITY_DESCRIPTOR, hagyja, hogy a rendszer tegye meg. Maga a rendszer nem biztosít közvetlen hozzáférést más típusú adatfolyamokhoz. Szóval ennyi.

A program segítségével megtekintheti az objektumazonosító tartalmát, az újraértelmezési pontokat, valamint dolgozhat kiterjesztett attribútumokkal és alternatív fájlfolyamokkal

Láthatóan láthatatlan

Victor blogolvasó nem tudta futtatni az internetről letöltött PowerShell-szkriptet. Az utasításaim gondos elolvasása elkerülte a problémát, de ez nem a PowerShell szigorú biztonsági szabályzatában gyökerezik.

Victor letöltötte a TechNet galériából az archívumot a PSWindowsUpdate.zip szkripttel Windows kezelés Frissítés, amiről beszéltem. A kicsomagolt szkript azonban nem volt hajlandó működni. Amikor azt javasoltam az olvasónak, hogy az utasításaim első bekezdése az archívum feloldásának szükségességéről szól, minden úgy ment, mint a karikacsapás.

Victor magyarázatot kért, miért blokkolta a rendszer a szkriptet, és honnan tudja, hogy az archívumot egy másik számítógépről töltötték le.

Hogy őszinte legyek, a mai téma nem új keletű, de több okból is úgy döntöttem, hogy foglalkozom vele a blogomon:

Sok cikket írtak vissza Windows idők XP vagy Windows 7, és nem veszik figyelembe az újabb Microsoft operációs rendszerek beépített képességeit.
A közeljövőre tervezett cikkek egyikében ezt a témát érintik, és könnyebben tudok hivatkozni arra az anyagra, amelynek relevanciájáért és helyességéért magam is felelős vagyok.
A blognak nagy a közönsége, és sok olvasó számára ez a téma továbbra is újdonság lesz :)

Ma a programban

NTFS adatfolyamok

A Windows az NTFS fájlrendszer alternatív adatfolyamából (ADS) nyer információkat a fájl forrásáról. A fájl tulajdonságai között szerényen azt írja, hogy egy másik számítógépről származik, de valójában egy kicsit többet tud, amint látni fogja.

Az NTFS szempontjából a fájl attribútumok gyűjteménye. A fájl tartalma egy $ DATA nevű adatattribútum. Például egy szövegfájl a „Hello, World!” sorral. a „Hello, World!” adatattribútummal rendelkezik.

Az NTFS-ben a $ DATA attribútum egy adatfolyam, és elsődlegesnek vagy névtelennek nevezik, mert ... nincs neve. Formailag ez így néz ki:

$ DATA: ""

$ ADATOK- név tulajdonság
: - határoló
"" - név folyam(ebben az esetben a név hiányzik - az idézetek között nincs semmi)

Az alternatív adatfolyamok érdekes tulajdonságai

A fenti példákkal összefüggésben néhány érdekességre szeretnék rámutatni.

Láthatatlan változások

Miután az első paranccsal létrehozott egy szöveges fájlt, megnyithatja azt szöveg szerkesztőés ügyeljen arra, hogy a további manipulációk semmilyen módon ne befolyásolják a fájl tartalmát.

Érdekes lesz, ha a fájlt megnyitjuk, mondjuk a Notepad ++-ban. Ez a szerkesztő képes figyelmeztetni a fájlváltozásokra. És ezt teszi, amikor az alternatív adatfolyamot írod a fájlba, de a tartalom ugyanaz marad!

A CMD hirdetéseinek rögzítése és megtekintése

A hirdetések a parancssorból hozhatók létre és jeleníthetők meg. A következő parancsok rejtett szöveget írnak a MyStream2 nevű második ADS-be, majd megjelenítik azt.

Rejtett szöveg visszhangja> C: \ temp \ test.txt: MyStream2 tovább< C:\temp\test.txt:MyStream2

ADS megtekintése szövegszerkesztőben

Ugyanez a Notepad ++ megmutatja az ADS tartalmát, ha megadja a folyam nevét a parancssorban

"C: \ Program Files (x86) \ Notepad ++ \ notepad ++. Exe" C: \ temp \ test.txt: MyStream1

Eredmény:

Jegyzettömbnél ez a trükk csak akkor működik, ha az adatfolyam nevének végén ott van .txt... Az alábbi parancsok hozzáadnak egy harmadik ADS-t, és nyissa meg a Jegyzettömbben.

Rejtett szöveg visszhangja> C: \ temp \ test.txt: MyStream3.txt jegyzettömb C: \ temp \ test.txt: MyStream3.txt

Eredmény:

Letöltött fájlok blokkolása

Térjünk vissza az olvasó által feltett kérdéshez. Az, hogy a fájl blokkolva lesz-e, elsősorban attól a programtól függ, amelyben letöltötték, másodsorban pedig az operációs rendszer paramétereitől. Tehát minden modern böngésző támogatja a blokkolást, és a Windows tartalmazza.

Ne feledje, hogy ha egy archívum zárolva van, akkor minden kicsomagolt fájl zárolva lesz. Ne feledje azt is, hogy az ADS egy NTFS-funkció, pl. nem történik zárolás az archívum FAT32 rendszeren való mentésekor vagy kicsomagolásakor.

Információk megtekintése a zárolt fájl forrásáról

A PowerShellben lépjen a letöltött fájlt tartalmazó mappába, és tekintse meg az összes adatfolyamra vonatkozó információkat.

Get-Item. \ PSWindowsUpdate.zip -Stream * Fájlnév: C: \ Felhasználók \ Vadim \ Letöltések \ PSWindowsUpdate.zip Adatfolyam hossza ------ ------: $ DATA 45730 Zone.Identifier 26

Mint már tudod, a $ Data a fájl tartalma, de az ADS is megjelenik a listában. Zóna.Azonosító... Ez egyértelmű utalás arra, hogy a fájl valamelyik zónából érkezett. Tudod honnan származik ez a kép?

A zóna megismeréséhez el kell olvasnia az ADS tartalmát.

Get-Content. \ PSWindowsUpdate.zip - Stream Zone.Identifier ZoneId = 3

Nyilvánvalóan a kötegelt feloldást célozza (például amikor az archívum már ki van csomagolva). Az alábbi parancs feloldja a Letöltések mappában az összes fájlt, amely a nevet tartalmazza PS:

Dir C: \ Letöltések \ * PS * | Blokkolás feloldása-Fájl

Természetesen mindenféle segédprogram létezik grafikus felület, még azok is, akik tudják, hogyan kell beilleszkedni helyi menü... De véleményem szerint elég a PowerShell vagy a legrosszabb esetben a stream.

Hogyan lehet megakadályozni a fájlok blokkolását

A csoportházirend felelős a blokkolásért. Ne tároljon információkat a mellékletek származási zónájáról. Ahogy a neve is sugallja, a blokkolás a Windows szabványos viselkedése, és a házirend lehetővé teszi ennek megváltoztatását.

A névből azonban nem derül ki, hogy a szabályzat nem csak azokra vonatkozik postai mellékletek, hanem az internetről letöltött fájlokat is. További információ a Mellékletkezelőről: KB883260.

A szerkesztő otthoni kiadásaiban csoportszabályzat nem, de senki sem törölte a beállításjegyzéket: SaveZoneInformation.zip.

További példák gyakorlati ADS alkalmazásokra

Az ADS hatóköre nem korlátozódik egy zóna hozzáadására a letöltött fájlhoz, mint ahogy egyáltalán nem szükséges csak szöveget tárolni az ADS-ben. Bármely program használhatja ezt az NTFS funkciót bármilyen adat tárolására, ezért csak néhány példát mondok a különböző területekről.

Fájlosztályozási infrastruktúra

A szerzőről

Érdekes dolog, köszi. Valami újat tanultam a PowerShellről, amit még mindig nem nagyon tudok :)

A családommal való kommunikációhoz gyakran használom a WhatsApp-ot – eddig ezzel a szolgáltatással volt a legkevesebb probléma, még a szüleim is hozzászoktak. A kapcsolatfelvétel is főként a családnak szól, bár az üzenetváltás ott elsősorban a megjelent fotókkal, videókkal ellátott albumok körül zajlik. Egyes rokonok hűségesek maradnak a Viberhez – nekem valahogy nem jött be jól, csak megtartom nekik, nem hagyom abba a próbálkozásokat, hogy a WhatsApp-ba hurcoljam őket.

Munkához főleg Slack, amikor valami sürgős a WhatsApp, nagyon sürgős az SMS. VKontakte a külvilággal való kommunikációhoz.

A Skype-ot csak videohívásra használom, többnyire ismét a családommal. Szívesen lecserélném WhatsApp-ra, ha lennének videohívások.

urix

A Viber most már videohívásokat is kínál, sőt az asztali verzióhoz videohívásokat is. Szóval lehet, hogy a Viber lesz a következő skype... jó értelemben

Andrej Kuznyecov

Érdekes az anyag, köszönöm. Tudtam a szálak létezéséről, de nem tudtam, hogy ilyen egyszerű a PowerShell-en keresztül dolgozni velük.
Ami az IM-et illeti: Ami a Skype-ot illeti, csak az indítási idővel kapcsolatban vannak panaszaim Windows Phone... Ipadon és Windowson nincs ilyen probléma. Hangkommunikációra használom, amikor valamilyen oknál fogva kényelmetlen a GSM használata.
És a levelezés a Whatsappon keresztül. A jelenléte csak telefonon inkább plusz adatvédelmi szempontból.

Andrej Kuznyecov: És a Whatsappon keresztüli levelezés. A jelenléte csak telefonon inkább plusz adatvédelmi szempontból.

Andrey, magyarázd el, mi a plusz itt

Pavlovszkij római

1. Leggyakrabban a következőket használom: Skype és Hangouts - a számítógépen végzett munkához, a többi VKontakte levelezéshez bármilyen eszközről, mivel az ügyfelek általában a Skype-ot használják munkához, a barátok és ismerősök pedig a közösségi hálózatokon.

2. Ideális esetben szeretném használni: Jabber - levelezéshez és hívásokhoz bármilyen eszközről. Ami engem illet, a kliens bármilyen eszközre telepíthető és levelezhet, bárhol van a felhasználó, még gyenge internetkapcsolaton is + erre telepítheti a saját jabber szerverét és tárolhatja az összes levelezést a szerveren, hogy később gyorsan megtalálja a kívánt levelezést. ha az ügyfél nem tudja, hogyan kell tárolni az előzményeket, és megtalálhatók a jabberen keresztüli hívások bővítményei (például ugyanazon a SIP Asterisk 1.8+-on keresztül)

Andrej Bajatakov

Leggyakrabban WhatsApp-ot használok (főleg munkára), hívásokhoz (audio / video / nemzetközi hívások) Skype-ot. Bár az asztali Skype borzasztóan dühítő (transzformátorom van és otthon főleg tabletnek használom)... A Viber nem vert gyökeret. A WhatsApp-on keresztüli híváshoz csak vasidegekre van szüksége. Mondjon valamit a beszélgetőpartnerének, és várjon egy-két percet, amikor meghallja Önt (50 Mbit kapcsolat) ...
Teljesen át lehet váltani Skype-ra. Windows 10 Mobile rendszeren a legutóbbi frissítés után a Skype üzenetei közvetlenül a beépített Üzenetek alkalmazásba kerülnek (például SMS), ami nagyon kényelmes.

Alapelv

1. Vonakodva használom az ICQ-t (retrográd ügyfeleknek) és a Slacket (modernebbeknek).
2. Szeretném a Jabbert használni - ugyanazon okok miatt, mint a fenti Roman Pavlovsky.

Vlagyimir Kirjusin

Szia Vadim!
A cikk előtt elolvastam az Ön cikkét arról, hogyan kell elolvasni a fizetési jelentést mindenről rendszerlemez a chkdsk paranccsal. Remek cikk! Neki köszönhetően ma, miután ellenőriztem a rendszerlemezt a chkdsk paranccsal, szöveges jelentésfájlt kaptam. És ez a cikk is sok mindent megvilágít PowerShell program... Nyugdíjasként számomra érthetetlen néhány dolog, de igyekszem nem pánikba esni és szorgalmasan a végéig olvasni. Köszönjük, hogy velünk tanult! A legjobbakat neked!

Lecron

Milyen böngészők és letöltők hozzák létre ezt az adatfolyamot?

Milyen egyéb lehetőségek állnak rendelkezésre a felhasználó számára a streamek használatára? És különösen egy forgatókönyvíró felhasználója? Mivel bár régóta tudtam róluk, soha nem használtam őket. A számítógéppel való valós munka során egyszerűen nem emlékszik rájuk, és emiatt előfordulhat, hogy mankókat készít ahelyett, hogy kényelmes eszköz, de e munka nélkül emlékezetből lehetetlen bármit is kitalálni.
Csak egy lehetőségre gondoltam. Megjegyzés a fájlhoz, ha nincs lehetőség vagy kívánság hosszú szöveget írni a fájlnévben. Ehhez azonban a fájlkezelő támogatása szükséges, aki korábban és most is a descript.ion vagy a files.bbs fájlba írja.

Sebesség guru

Egy másik szeméttechnológia, mint az USN magazin. Mennyi hasznot hoz egy fájlhoz vagy mappához csatolt ZoneIdentifier vagy vírus? Természetesen nem. Sőt, ezzel zsúfolásig tele van a rendszer felesleges "alfájlokkal", amelyek egy normál felhasználó számára semmiképpen sem szükségesek. Az MFT-könyvtár minden extra olvasása és az alternatív adatfolyamok karbantartását és karbantartását kísérő egyéb műveletek többletfelhasznált processzorciklusok, véletlen hozzáférésű memória, és ami a legfontosabb, extra terhelés a merevlemezen.
Mondhatja nekem, hogy a rendszernek valóban szüksége van erre a technológiára. De ez nonszensz – a rendszer jól működne szálak nélkül. De senki sem kérdezi a felhasználót - kényszerítették őket (mint egy USN-napló), és nem adták meg a lehetőséget, hogy teljesen letiltsák ezeknek az adatfolyamoknak a karbantartását. De nekem, mint felhasználónak, egyáltalán nincs szükségem rájuk, szerintem éppúgy, mint neked...
Csak annyit tehetünk, hogy "streams -s -d% systemdrive%". De még ez sem teszi lehetővé a szálak törlését a rendszerpartíción.

Alexiz kadev

Az elnevezett adatfolyamok nagyszerű dolgok, és amennyire én emlékszem, az NTFS első kiadásától kezdve léteztek. Az elnevezett streamekben elég kényelmes tárolni például a dokumentumverziókat, amit ha nem tévedek, számos alkalmazás megtett. De továbbra is lesben áll a másolás egy másik fájlrendszerbe – az elnevezett adatfolyamokat egyszerűen levágják.

Kár, hogy nem lehetett több hírvivőt kiválasztani a szavazórendszerben: én is több hírvivőt használok, mert az ismerőseim közül néhányan bizonyosakat preferálnak. Tehát WhatsUp-ot, ICQ-t (bár persze nem natív kliens), Skype-ot, SkypeforBusiness-t (csendes horror, nem kliens, de amikor Lync-nek hívták még rosszabb volt) és Vibert (itt több a spam) használok. mint másokban legalább egyszer 5).
És ideális esetben használjon egyet, például a Mirandát bővítményekkel, mivel egyszerűen irreális megtalálni, ha szükséges, hogy ki mondott / írt valamit, hol és ebben a kupacban. De sajnos számos gyártó lezárja protokollját, és Kaschey tűjeként védi őket.

Vlagyimir Kokarev

VSh

Vadim Sterkin: Roman, Jabbert nem vettem fel a felmérésbe. Úgy döntöttem, hogy nagyon kevesen használják, és nincs kilátás.

Hiába
Például az OpenFire-t (ingyenes xmpp) használom irodai kommunikátorként több tartományban.

Ezért a fő üzenetem az XMPP (Pidgin.exe, Spark.exe), de ezen üzenetek 99,8%-a domainen belüli.
Skype - külső IM-hez
WhatsApp és Viber - "véletlenszerű kapcsolatokhoz", az elmúlt n hónapban csak SPAM, szerintem - töröljem?

Artem

Valamiért minden az én hangulatomban van. A kapcsolat minősége pedig elég kielégítő. És így lennének a táviratok. Igen, üres.

köd

1. Skype (PC-n) és Viber (mobilon). Az okok alapvetően ugyanazok, mint a többségnél - a meglévő kapcsolatok száma, és természetesen éppen ezeknek a kapcsolatoknak a vonakodása attól, hogy másik üzenetküldőre váltsanak.
2.uTox. Miniatűr, semmi felesleges, kliens Win, Linux, Mac és Android számára. Védettként elhelyezve.
P.S. Most elkezdem szorosabban húzni neki az elérhetőségeimet :-)

Jevgenyij Karelov

Köszönjük a munkáját!

Ami a felmérést illeti, egy PC-n levelezéshez a QIP 2012-t használom, amelyhez az ICQ, a VKontakte és mások kapcsolatai csatlakoznak. Személy szerint számomra kényelmes, ha egy programot használok több protokollon keresztüli kommunikációhoz. A közösségi média hírfolyamainak egy helyről való megtekintésének lehetősége pedig nagyon biztató. Ideális esetben már csak a Skype támogatása hiányzik, amit hangkommunikációra használok, de nyilván nem fog megjelenni.
Bár ez a program "elhagyottnak" tűnik, mert hosszú ideje nem volt frissítés, a hozzárendelt funkciókat tökéletesen ellátja.

strafer

Érdekes összemosás a poszt témájából az adatfolyamokról és az IM szavazásáról.

A közvélemény-kutatás szerint: Jabber / Jabber, amit nem kellett volna felvenni a listára, pedig van XMPP-re épülő WhatsApp, sőt még sikerkeresés is.

A Jabber általában megoldja ezeket a problémákat a protokoll nyitottsága, a kliensek jelenléte számos platformon és a saját maga által felállítható szerverek jelenléte miatt. De hagyományosabb a kaktuszok rágcsálása, igen.

A kliensek listája, nem a protokollok.
ICQ ... hát nem tettem oda hangulatjeleket, mert úgyis egyértelműnek kell lennie.
A Jabber nem old meg pontosan egy problémát – nincs ott senki.
- strafer
  
  Vadim Sterkin: A kliensek listája, nem a protokollok.
  
  Tekintettel arra, hogy a jegyzőkönyv ill forráskódok a hivatalos ügyfél zárva van, természetes azonosság jön létre az egyetlen kliens és a protokoll között.
  
  Vadim Sterkin: ICQ ... hát nem tettem oda hangulatjeleket, mert egyértelműnek kell lennie.
  
  A korhadt postazárhoz nem elég, hogy az asechka természetes halállal hal meg - további erőfeszítéseket is tesznek a gyorsabb hajlítás érdekében.
  
  Vadim Sterkin: A Jabber nem éppen egy problémát old meg – nincs ott senki.
  
  Ennek ellenére a Telegram számára te magad írtad
  
  jól néz ki, de üres (javítható)
  
  A Jabbernek minden esélye megvolt arra, hogy azzá váljon, amilyen a mai e-mail ökoszisztéma (a protokoll teljes nyitottsága, a szerverek bárkire emelésének és a szerverek közötti interakció biztosításának lehetősége stb.), de a vállalatoknak erre nincs szükségük, ami jól látható. az ettől való eltérés példájában a google vagy a szabadalmaztatott Whatsapp.
  - A Telegram esetében - javítható, a Jabbernél - nagyon valószínűtlen. Ezért az első szerepel a listán, de a második nem.
    - strafer
      
      Természetesen a Telegram stílusos, divatos, fiatalos, és senki sem olyan menő, mint Durov pasa mozgatja Jabbert. Milyen kilátások vannak itt.
      
      Hm... szállj ki az "egész világ a szabad szoftverek ellen" összeesküvés-elméletekből. Minden sokkal könnyebb
      
      Ha nem egyértelmű, akkor így néz ki az ember számára a hivatalosan ajánlott Jabber klienssel való interakció első tapasztalata a leggyakoribb mobilplatformon.
      
      strafer
    - Kicsit nem értettem, hol van az összeesküvéssel kapcsolatos kommentárom.
      
      Igen, mindenhol :) A jabber kudarcait próbálod divattalannak és nem fiatalnak írni, miközben ügyfelei az első képernyőtől nem alkalmazkodnak a modern valósághoz.
      
      Mit kell látnom a képernyőképen?
      
      Telefonszám megadása ~~~ O ~

Az NTFS fájlrendszer számos érdekes funkcióval rendelkezik, amelyek közül az egyik az alternatív adatfolyamok (ADS) elérhetősége. Lényege, hogy az NTFS-ben minden egyes fájl adatfolyamok halmaza, amelyben az adatok tárolódnak. Alapértelmezés szerint minden adat a fő adatfolyamban van, de szükség esetén további adatokat is hozzáadhat a fájlhoz, alternatív folyamok adat.

Jegyzet. Az NTFS alternatív adatfolyamai már régen megjelentek, még a Windows NT-ben. A HFS fájlrendszerrel való kompatibilitás érdekében készültek, amelyet aztán MacOS-en használtak. A HFS a fájladatokat egy dedikált erőforrás-folyamon tárolta.

Az NTFS fájljai attribútumokra vannak osztva, amelyek közül az egyik a $ DATA vagy adatattribútum. Az adatfolyamok a $ DATA attribútum további tulajdonságai. Alapértelmezés szerint egy van, a főszál $ ADATOK: ″ ″... Amint látja, nincs neve, ezért hívják névtelen... Ezenkívül, ha kívánja, létrehozhat például további, elnevezett adatfolyamokat. $ ADATOK: ″ Stream1 ″... Az NTFS-ben minden egyes fájl több adatfolyamot tartalmazhat, amelyek különböző, egymástól független adatokat tartalmaznak.

A fájlba írt összes adat alapértelmezés szerint a fő adatfolyamba kerül. Amikor megnyitjuk a fájlt, pontosan a fő streamet látjuk, míg az alternatív streamek rejtve vannak a felhasználó elől, és nem hagyományos eszközökkel jelennek meg. Nem lehet őket látni szabványos módokon, bár egyes programok ki tudják olvasni a bennük rejtett adatokat. A folyamokkal való munkavégzéshez használhatja parancs sor.

Például nyissuk meg a konzolt, és az echo paranccsal hozzunk létre egy streams.txt szövegfájlt, és írjuk bele a szöveget:

echo Ez a main stream> streams.txt

És a következő paranccsal írja be a szöveget az alternatív adatfolyamba1:

echo Ez egy alternatív adatfolyam> streams.txt: stream1

Ha most bármelyik szövegszerkesztőben megnyitjuk a streams.txt fájlt, akkor csak az első rekordot fogjuk látni, az "Ez alternatív adatfolyam" szöveg rejtve marad. A stream1-ben elrejtett információkat a következő paranccsal olvashatja:

több

Alternatív adatfolyamok nem csak egyes fájlokhoz, hanem könyvtárakhoz is hozzáadhatók. Például adjunk hozzá egy alternatív adatfolyamot2, amely az „Adatfolyam elrejtése a streamekben” szöveget tartalmazza az aktuális Streamek könyvtárba:

echo Adatfolyam elrejtése a Streamekben>: folyam2

És megjelenítjük a stream2 folyamot a következő paranccsal:

több<:stream2

Az alternatív adatfolyamok tartalma nem csak a konzolon nyitható meg. Például a Jegyzettömb az adatfolyamokban rejtett adatokhoz is hozzáférhet, ha a fájlnévben kettősponttal elválasztva megadja egy alternatív adatfolyam nevét. Ismételjük meg az előző példát, kissé módosítva az adatfolyam nevét stream1.txt-re:

echo Ez egy alternatív adatfolyam> streams.txt: stream1.txt

És nyisson meg egy alternatív adatfolyamot a Jegyzettömbben a következő paranccsal:

jegyzettömb streams.txt: folyam1.txt

Jegyzet. A szabványos Jegyzettömb megköveteli a txt kiterjesztést az adatfolyam nevében, különben nem tudja megnyitni. A fejlettebb szerkesztők, például ugyanaz a Notepad ++, képesek megjeleníteni az alternatív adatfolyam tartalmát, függetlenül annak nevétől.

A fájl alternatív adatfolyamainak jelenléte semmilyen módon nem jelenik meg az Intézőben és másokban fájlkezelők... Ezek megtalálásához a legegyszerűbb a parancs használata rendező / R(kezdve Windows Vista), amely az összes adatfolyamot mutatja, beleértve az alternatívakat is.

Azt gondolhatja, hogy az alternatív adatfolyamok használata szöveges adatokra korlátozódik. Ez egyáltalán nem így van, és abszolút bármilyen információ tárolható alternatív adatfolyamokban. Például hozzunk létre egy kép.txt fájlt és adjuk hozzá a pic1.jpg folyamot, amibe az azonos nevű képet helyezzük el:

echo Kép> kép.txt
írja be: pic1.jpg> kép.jpg: pic1.jpg

Így kifelé van egy rendes szövegfájlunk, és egy alternatív adatfolyamból nyithatunk meg egy képet grafikus szerkesztő Paint a következő parancsot használjuk:

mspaint picture.txt: pic1.jpg

Hasonlóképpen bármilyen adatot hozzáadhat bármilyen típusú fájlhoz - képeket adhat a szöveges fájlokhoz, hozzáadhat szöveges információk stb. Érdekes módon az alternatív tartalom nem növeli a látszólagos fájlméretet, például 1 kB-ra növelve szöveges fájl 30 GB HD videó, a fájlkezelő továbbra is 1 kB fájlméretet mutat.

Elrejtőzhetsz alternatív folyamokban is futtatható fájlok... Vegyük például a test.txt fájlt, és adjuk hozzá a Notepad alkalmazást (notepad.exe) az alternatív note.exe adatfolyamhoz:

írja be: notepad.exe> test.txt: note.exe

És egy rejtett jegyzettömb elindításához használja a parancsot:

start. \ test.txt: note.exe

Mellesleg, egyes rosszindulatú programok ezt a lehetőséget úgy használják ki, hogy végrehajtható kódot adnak az NTFS alternatív adatfolyamaihoz.

Streams segédprogram

Az alternatív adatfolyamokkal való együttműködéshez több is létezik harmadik féltől származó segédprogramok, például a Streams from Sysinternals konzolsegédprogram. Érzékeli az alternatív adatfolyamok jelenlétét, és törölheti azokat. A segédprogram telepítést nem igényel, elég kicsomagolni és futtatni. Például ellenőrizzük a folyamok jelenlétét a Streams mappában a következő paranccsal:

Streams.exe -s C: \ Streams

És távolítsa el az alternatív adatfolyamokat a streams.txt fájlból:

Streams.exe -d C: \ Streams \ streams.txt

PowerShell

A PowerShell azt is tudja, hogyan kell dolgozni az alternatív adatfolyamokkal – létrehozni, észlelni, megjeleníteni azok tartalmát, sőt törölni is. Például hozzunk létre egy szöveges fájlt:

Új elem - Fájl típusa - C elérési út: \ Streams \ stream.txt

Adjunk hozzá egy bejegyzést a fő streamhez:

Set-Content - Path C: \ Streams \ stream.txt - Value ″ Main stream ″

És egy másik, Second nevű adatfolyamhoz:

Set-Content -C elérési út: \ Streams \ stream.txt -Érték ″ Második adatfolyam ″ - Stream Second

Ezután megjelenítjük a main tartalmát

Get-Content -C elérési út: \ Streams \ stream.txt

és alternatív adatfolyamok:

Get-Content -C elérési út: \ Streams \ stream.txt - Stream Second

Az alternatív adatfolyamok jelenlétének észleléséhez használhatja a következő parancsot:

Get-Elem -C elérési út: \ Streams \ stream.txt - Stream *

És eltávolíthatja a felesleges streameket a következő paranccsal:

Elem eltávolítása - C elérési út: \ Streams \ streams.txt - Stream *

Használat

Az alternatív adatfolyamokat maga a Windows és egyes programok is használják. Például, internet böngésző 4 biztonsági zónára osztja a hálózatot, és fájlok feltöltésekor címkéket ad hozzájuk, amelyek információkat tartalmaznak arról a zónáról, ahonnan letöltötték.

Ezeket a címkéket a rendszer az alternatív adatfolyamban tárolja, és egy 0 és 4 közötti számot jelent:

Internet (3)
Helyi hálózat (1)
Megbízható webhelyek (2)
Veszélyes helyek (4)
Helyi számítógép (0)

Ennek ellenőrzéséhez menjünk a letöltések mappába, vegyük elő az internetről letöltött fájlt, és nézzük meg, hogy vannak-e benne alternatív adatfolyamok. Amint látja, egy nevű adatfolyamot tartalmaz Zóna.Azonosító amely tartalmazza a sort ZoneID = 3.

Ez azt jelenti, hogy a fájl az internet nem megbízható zónájába tartozik, és óvatosnak kell lennie a megnyitásakor. Egyes programok, például a Word, elolvassák ezeket az adatokat a fájl megnyitásakor, és figyelmeztetést adnak ki.

Ezenkívül a File Classification Infrastracture (FCI) infrastruktúra alternatív adatfolyamok használatán alapul. Tól től harmadik féltől származó programok az alternatív folyamok használnak néhányat víruskereső szoftver, különösen a Kaspersky Anti-Virus tárolja bennük a vizsgálat eredményeként kapott ellenőrző összeget.

Az alternatív folyamok használata azonban nem korlátozódik erre, te magad is kitalálhatsz bármilyen felhasználást. Segítségükkel például elrejtheti személyes adatait a kíváncsi szemek elől. Az alternatív adatfolyamokat tartalmazó fájlok szabadon másolhatók vagy áthelyezhetők lemezről lemezre, az összes adatfolyam a fájllal együtt másolódik.

És mégis, amikor alternatív adatfolyamokat használ, ne feledje, hogy azok mereven kötődnek az NTFS fájlrendszerhez. Használatukhoz a fájloknak NTFS-sel rendelkező lemezeken kell lenniük, csak Windows alól lehet velük dolgozni. Ha áthelyezi a fájlt egy másik fájlrendszerbe, akkor a fő adatfolyam kivételével minden adatfolyam elvész. FTP-n keresztüli fájlok átvitelekor vagy e-mail mellékletként való küldésekor az alternatív adatfolyamok is csonkolódnak.
Innen: http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/

Még:
Az ADS az NTFS fájlrendszer beépített funkciója, amelyet semmilyen módon nem lehet kikapcsolni.

Az ADS lehetővé teszi, hogy bármilyen fájlt hozzáadjon más fájlokhoz, sőt könyvtárakhoz is (!). Maga az operációs rendszer időről időre ezt használja, és hozzáadja a "Zone.Identifier" adatfolyamot az internetről letöltött fájlokhoz.

A Zone.Identifier egyébként szerkeszthető annak érdekében, hogy megszabaduljon a „ez a fájl az internetről lett letöltve. Megnyitás csökkentett módban?"

Bármilyen fájlhoz hozzáadhat adatfolyamot, például:
írja be a fájl1> fájl2: fájl3

próbáld megtalálni
dir / r

futtasd az exe-t így:
start fájl2: fájl3

ha nem sikerült, akkor így:
mklink fájl4 fájl2: fájl3
indítófájl 4

Ez például a számológépet a C gyökérmeghajtóhoz köti (!), és elindítja a hivatkozáson keresztül

Bevezették a Windows NT 4.0-ban, és minden leszármazottnál megtalálhatók (kivéve a win-95 leszármazottait: 98, Me). Még mindig léteznek XP, Vista és Win 7 alatt. Viszlát Windows verziók támogatja az NTFS-t, támogatni fogják a fájlfolyamokat. Hosszú ideig támogatják az NTFS-t.

Az Ön által közzétett hiba leírása azon az oldalon található, amelyet a kérdésében lát. A type parancs nem érti a folyamokat. Használat:

Több< 1013.pdf:Zone.Identifier

Munkafolyamatokkal

A Microsoftnak csak néhány parancsa van, amelyek szálakkal működnek, valójában csak< , >adatfolyamokkal működik, ezért csak olyan parancsok használhatók, amelyek működnek ezekkel az átirányítási operátorokkal. Írtam arról, hogyan lehet továbbra is vezérelni a szálakat csak ezekkel a parancsokkal.

Az adatfolyamok csak azokkal a programokkal működnek, amelyeket úgy terveztek, hogy működjenek velük, egyszerűen azért, mert speciálisan kell őket kezelni (hasonlítsa össze a csomópontokat és az NTFS funkciót, de az illesztőprogram elrejti a részleteket, és a programoknak nem kell semmi különöset tenniük): csak a csomópont valós fájlját számolják).

Amikor megpróbál megnyitni egy fájlfolyamot a következővel: streamname, és a program valami olyasmit mond, hogy "illegális fájlnév" vagy "fájl nem található", és Ön biztos abban, hogy az adatfolyam neve helyes, akkor valószínűleg a program nem támogatja az adatfolyamokat ... Észrevettem, hogy a Jegyzettömb, a Wordpad és a Word / Excel megfelelően működik a streamekkel, bár a Word és az Excel veszélyesnek tartja a fájlokat. Az alábbiakban bemutatunk néhány kísérletet.

MEGJEGYZÉS: Ön szerint az alternatív adatfolyamok furcsaak. Furcsák, mert annyira rejtettek, de sok nagyobb fájlrendszerben (HFS, NSS) van ilyen, és a koncepció a 80-as évek elejére nyúlik vissza. Valójában a streameket eredetileg az NTFS-hez adták hozzá, hogy más fájlrendszerekkel kölcsönhatásba lépjenek.

Ennek a cikknek az a célja, hogy elmagyarázza a jelentését
alternatív adatfolyamok
v operációs rendszer Ablakok,
bemutatni, hogyan kell létrehozni őket, és
kompromittálja az autót, hogyan találja meg
rejtett fájlok nyilvános használatával
segédprogramok. Az első lépés a felismerés
az ADS jelentését és az általuk jelentett fenyegetést
lássuk, hogyan használják feltörésre
és végül akkor megfontoljuk az eszközöket
tevékenység észleléséhez és hogyan
hagyja abba a további illegális munkát
őket.

Minek?

További adatfolyamok jelentek meg
Windows és NTFS. Sőt, amennyire én vagyok
Megértem, nem volt különösebb jelentésük – ők
A régi HFS-szel való kompatibilitás érdekében készültek
Macintosh fájlrendszer – Hierarchikus fájlrendszer. Egy üzlet
ez a fájlrendszer használja
mind az adat-, mind az erőforrás-ellát
tartalom tárolása. Data Fork,
ennek megfelelően felelős a tartalomért
dokumentumot és az erőforrás ágat
fájl azonosítása - típusa és mások
adat. Jelenleg a létezésről
további adatfolyamok a rendszeres felhasználóktól
kevesen tudják. A számítógépek világában azonban
biztosítékot kaptak bizonyos
Terjedés. Például a gonosz hackerek
használja az ADS-t a fájlok tárolására
kompromittált számítógépek, néha ők is
vírusok és más rosszindulatú programok használják. Egy üzlet
mert a lényeg az, hogy ezek a patakok nem
hagyományos módszerekkel szemlélve, ugyanaz
Explorer vagy parancssor. Hogyan
érdekesek ezek a folyamok? És az a tény, hogy abban az esetben
a betöréses nyomozás nem mindig kifizetődő
figyelni rájuk, ráadásul nem minden vírusirtó
alapértelmezés szerint streaming be
rosszindulatú szoftverek keresése.

Lényegre törő

Hogy megértsük a valódi veszélyt
Az ADS jobban bemutatja, hogyan kell dolgozni velük.
A példában a Metasploit Framework-et használjuk a behatoláshoz
az autón. Ehhez a sebezhetőséget használjuk
MS04-011 (lsass). Ezután TFTP segítségével feltöltjük a fájlokat,
amelyeket további folyamokban fogunk elhelyezni
adat. Miután befejezte
parancsból futtassa a távoli gépet
egy karakterlánc-szkenner, amely átvizsgálja a hálózatot
más autók jelenléte. Jegyzet,
hogy a Metasploit Framework szerzői megadták a maguk
létrehozása a METASPLOIT aláírással, hogy az alkotók
biztonsági szoftver képes észlelni egy csomagot
kimenő MF. Ügyeljen a csomagra,
a támadótól jön:

Itt a 192.168.1.102 a támadó számítógépe
amely rendelkezik Metasploit Framework és 192.168.1.101 is
sebezhető számítógép Win2K Prof. Ebben az esetben a Tengely
javítások és szervizcsomagok nélkül szállítjuk,
csak bemutató céllal
:). Kérjük, vegye figyelembe, hogy az ADS önmagában nem
túl hasznosak, természetesen örömet okoznak
támadó csak akkor, ha van
gépelérés, rendszer sérülékenység be
operációs rendszer. Egy igazi hálózaton te
nem valószínű, hogy találsz javítatlan W2K-t, szóval
más elveket kell keresni
behatolás.

Az alábbiakban azt látjuk, hogy a támadás sikeres volt és tovább
a támadó gép hátoldali héja nyitva van,
az áldozat adta át. Ennek az alapértelmezett
a Metasploit 4321-es portjának sebezhetőségét használják,
azonban megváltoztatható:

Miután behatolt az autóba, át kell szállnia oda
fájlokat. Ehhez TFTP-t használunk, ebben
ha megkapjuk az ipeye.exe-t.

Ugyanígy töltse le a psexec.exe, pslist.exe és
klogger.exe. Készítsünk egy listát a C: \ Compaq \ könyvtárból,
ahol minden esküdött:

Most nyomjuk le az ipeye.exe fájlt az adatfolyamból,
meglévő fájlhoz van társítva
teszt_fájl.

Ezután ugyanezt meg lehet tenni a kengyellel is
a munkához szükséges egyéb fájlok.
Felhívjuk figyelmét, hogy az alternatív
az áramlás nem csak azért szervezhető meg
fájlok, de a könyvtárak esetében is ugyanaz a C: \ k
példa. Indítsuk el a szkennert, amiről beszélünk
beszélt az elején, ipeye.exe, a fertőzöttről
számítógép:

c: \ Compaq \ teszt_fájl: ipeye.exe

(Folytatjuk)