Menu
Jest wolny
Zameldować się
główny  /  Problemy / Przenieś plik o alternatywnym strumieniu. Alternatywne strumienie danych w NTFS

Przenoszenie pliku alternatywnym strumieniem. Alternatywne strumienie danych w NTFS

Systemy operacyjne Windows są obfitowane dwoma mało znane funkcje Ukrywanie danych: NTFS strumieni danych (znany również jako alternatywne strumienie danych) i dostęp do listy zasobów opartych na bazie danych wyliczania dostępu (ABE). Alternatywne strumienie. Dane mogą dodać do ukrytych informacji, takich jak informacje o plikach. Najprawdopodobniej nie musisz korzystać z ukrytych strumieni danych, jednak napastnicy mogą korzystać z tej technologii przeciwko tobie, tak że konieczne jest, aby mieć o tym pomysł i jak może to działać.

Jeśli chodzi o metodę ABE, może uzupełnić twój arsenał. Ta metoda pozwala to zrobić niewidoczne foldery i pliki wspólne zasoby dla tych użytkowników, którzy nie mają pozwoleń na ich dostęp.

To właśnie musisz wiedzieć o tych funduszach.

Rzeki karmiące morze danych

Alternatywne strumienie danych to funkcja systemu plików NTFS. System Windows NT 3.1 został z nimi zasilany, aby umożliwić użytkownikom NT i Macintosh do udostępniania plików.

Plik NTFS składa się z strumieni danych. Jest to standardowy strumień danych $ danych i być może jeden lub więcej alternatywnych strumieni danych. Każdy użytkownik, który ma niezbędne uprawnienia do pracy z plikiem, widzi istniejące strumień danych $ danych, może go otworzyć, a także odczytać i zapisować dane do tego wątku.

Alternatywny przepływ danych to dodatkowe informacje lub pliki, które użytkownik lub aplikacja może dołączyć do pliku NTFS. Tylko użytkownik, który stworzył, wie o istnieniu alternatywnego strumienia danych. Zwykle użytkownicy nie wiedzą, czy alternatywny przepływ danych jest dołączony do pliku; Faktem jest, że ani treści tego strumienia, ani jego imienia są widoczne. Ponadto nie jest możliwe, aby zobaczyć zmianę rozmiaru pliku.

Istnieje wiele sposobów użycia alternatywnych strumieni danych. W system Windows. Te strumienie służą do przechowywania danych podsumowujących utworzonych przez aplikacje, które nie są zawarte w zestawie. Microsoft Office., takie jak proste pliki tekstowe (.txt). Dane skonsolidowane, takie jak tytuł, temat i dane na autorze, można wprowadzić na okno dialogowym Właściwości karty Podsumowanie odpowiedniego pliku. Te dane podsumowujące są przechowywane w alternatywnym strumieniu danych podsumowania.

Aplikacje Windows, takie jak szyfrowanie systemu plików (EFS) i Eksplorator Windows, używają alternatywnych strumieni danych, aby dołączyć powiązane z tymi lub innymi plikami danych do plików, które są przechowywane na dyskach sformatowanych w systemie NTFS. Program EFS przy użyciu alternatywnych strumieni danych dołącza do zaszyfrowanych plików Informacje o kodowaniu i dekodowaniu, co zapewnia możliwość zdecentralizowanego szyfrowania i deszyfrowania za pomocą tego programu za pomocą tego programu.

Wdrożony w pakiecie Windows XP Service Pack 2 (SP2) aplikacja Microsoft. Internet Explorer. (IE) używa alternatywnego strumienia danych Security.Zone, aby zapewnić klasyfikację przez strefy bezpieczeństwa nagrane na objętości NTFS. W rezultacie, tj. Ma możliwość blokowania rozszerzenia zakresu praw do ataków użytkownika, które mogą wystąpić w sytuacjach, w których obciążenia użytkownika złośliwy kod Od niewiarygodnych zabezpieczeń strefy bezpieczeństwa i zapisuje ten kod na lokalnym dysku twardym. Tj. Odnosi się lokalnie zapisane treści do lokalnej strefy bezpieczeństwa maszyny, która przewiduje zapewnienie dłuższych praw niż obszar bezpieczeństwa Internet. Pakiet XP SP2 zawsze sprawdza strumień danych Security.Zone przed umożliwieniem pobranego kodu do podjęcia działań w systemie lokalnym.

Kanał dla złośliwego kodu

Rysowane i niebezpieczne alternatywne strumienie danych stają się z powodu, dla którego ich nazwy i treści nie są wyświetlane w oknie programu Eksploratora Windows. Dlatego organizatorzy różnych rodzajów ataków uważają takie strumienie z wygodnym sposobem ukrywania danych lub złośliwego kodu, który wpadł w system. Przykład używania tych wątków może być robakiem [Chroniony e-mail] Hakerzy używali alternatywnego strumienia danych do podłączenia do istniejącego jednego pliku ODBC wielu skryptów w Visual Basic (VB).

Aktywowanie robaków tworzy konto Z organem administracyjnym i wysyła do adresów, które sam Microsoft Outlook wykrywa w książce adresowej.

Kolejnym niebezpieczeństwem polega na tym, że miejsce na dysku przydzielone dla alternatywnych strumieni danych nie jest wyświetlane w danych rozmiarach (plików) i przestrzeni bez dysków programu Eksploratora Windows. Haker może użyć alternatywnych strumieni danych, aby wypełnić miejsce na dysku serwera plików, a administrator pozostanie tylko do złamania głowy, próbując dotrzeć do przyczyny problemu. Ponadto muszę powiedzieć, że narzędzie wiersza poleceń DIR nie uwzględnia alternatywnych strumieni danych podczas liczenia danych na rozmiary (pliki i foldery). Obecnie jest tylko jedno narzędzie Microsoft, które może wziąć pod uwagę alternatywne strumienie danych podczas liczenia rozmiarów: jest to narzędzie CHKDSK.

Dodanie nowego przepływu

Każda osoba, która ma prawo napisać do pliku NTFS, może użyć zwykłych poleceń systemu operacyjnego, aby dołączyć alternatywny plik strumienia danych. Na przykład, następująca polecenie tworzy alternatywny strumień danych Mystream, łączy Mystream do pliku o nazwie pliku.txt i zapisuje frazę "TOP Secret" w strumieniu Mystream.

echo Top Secret\u003e File.txt: Mystream

Wyświetl zawartość strumienia Mystream za pomocą polecenia

Jak już odnotowano powyżej, pliki wykonywalne można dodać do alternatywnych strumieni danych. Jest więc okazja do dodania ukrytej kopii kalkulator systemu Windows (Calc.exe) do pliku.txt. Aby to zrobić, wpisz polecenie

wpisz calc.exe\u003e \u200b\u200bfile.txt: calc.exe

Aby uruchomić ukryty kalkulator, wprowadź polecenie

start .file.txt: calc.exe

Ty sam możesz upewnić się, że alternatywne strumienie danych i ich zawartość nie są wyświetlane w instrumentalnym produkty Microsoft.. otwarty program Windows. Eksplorator i wyświetl właściwości pliku pliku.txt w nim. W rzeczywistości rozmiar pliku wynosi 112 KB (tak wiele przestrzeni zajmuje wbudowany plik calc.exe) - ale program pokaże rozmiar pliku do 0 KB: W strumieniu danych $ Data Data nie ma informacji o wbudowanym W pliku i aplikacja Windows. Eksplorator nie ma możliwości odczytu informacji z alternatywnego strumienia danych.

Jasne jest, że wiele zagrożeń związane jest z alternatywnymi strumieniami danych, zwłaszcza w sieciach, w których prace nad wydawaniem pozwoleń na odwołanie się do zasobów NTFS nie jest opłacana z należytą uwagą i nie zainstalowała kontroli twardych dostępu serwery Windows.. Istnieje prosty mechanizm ochronny, który może zapobiegać próbie hakera, aby użyć alternatywnych strumieni danych - system kontroli dostępu NTFS. Jeśli atakujący nie mają uprawnień do zapisu danych w pliku, nie będą mogli tworzyć alternatywnych strumieni danych i dołączyć je do tego pliku.

Wykrywanie zmian

Jeśli masz wrażenie, że hakerzy udało się obejść do wspólnika zezwoleń ustalonych, użyj jednego z obecnie opracowanych przybory Wykrywanie alternatywnych strumieni danych. Programy do testowania integralności systemu, takie jak TripWire Enterprise i Tripwire dla serwerów, umożliwiają identyfikację wszystkich zmian w systemie plików NTFS, który wystąpił w systemie Windows, w tym dodając lub zmieniając zawartość strumienia danych.

Program programu SYSInternal Streams jest bezpłatnym narzędziem wiersza poleceń, która określa nazwy alternatywnych strumieni danych dołączonych do plików. Na ekranie 1 pokazuje, jak korzystać z narzędzia strumieni, aby wyświetlić nazwę przepływu danych CALIC.EXE, którą wcześniej dodaliśmy do pliku file.txt. To narzędzie można pobrać na stronie http://www.sysinternals.com/utiles/streams.html.

Kolejny prosty sposób na wykrycie alternatywnego strumienia danych - z za pomocą Windows. Eksplorator Kopiuj podejrzany plik do pliku z systemem plików innym niż NTFS (powiedzmy na napędzie tłuszczu). Inne systemy plików nie są wyposażone w środki do pracy z alternatywnymi przepływami danych. Dlatego, jeśli spróbujesz skopiować plik NTFS z dołączonymi alternatywnymi strumieniami danych, aby umieścić go w innym systemie plików, NTFS wyświetli ostrzeżenie podobne do pokazanego na ekranie 2. Ale pamiętaj, że jeśli skopiujesz ten plik w poleceniu Okno liniowe Korzystanie z Windows Command Windows skopiuje go do innego od NTFS system plików I bez ostrzeżenia usunie strumień danych.

Ukrywanie wspólnych zasobów za pomocą ABE

Abe jest dodatkowa funkcja Poziomy udostępniania plików, które najpierw wdrożono Microsoft w opakowaniu Windows Server. 2003 SP1. Może być używany w dowolnym ogólnym katalogu Windows, niezależnie od tego, do którego przechowywane są dane System plików. ABE pozwala administratorom ukryć foldery przechowywane na zasobach publicznych i plikach od tych użytkowników, którzy nie mają odpowiednich uprawnień, aby uzyskać dostęp do nich na poziomie NTFS. Innymi słowy, mówimy o zapewnieniu bezpieczeństwa na poziomie folderu.

W przypadkach, w których ABE nie ma zastosowania, użytkowników, łączący się z wspólnym katalogiem, zobacz wszystkie pliki i foldery opublikowane w ogólnym zasobie, w tym te do czytania ich nie ma zezwoleń, a te, do których są zablokowane. Gdy użytkownik próbuje otworzyć plik lub folder, dostęp do którego nie jest dozwolony, system wyświetla komunikat o błędzie z wyjaśnieniem zakazu dostępu. Te komunikaty o błędach mogą mylić użytkowników, dzięki czemu aktywacja ABE umożliwia zmniejszenie wsparcia usługi wsparcia.

Jednak korzystanie z ABE ma własne minusy. Przed zwróceniem listy obiektów zawartych w folderze obiektów podłączonych do wspólnego zasobu serwer musi sprawdzić wszystkie listy kontroli dostępu do tych obiektów: dopiero po tym, jak można określić, które dane powinny zostać zwrócone. W rezultacie można odnotować znaczny spadek wydajności systemu, zwłaszcza podczas uzyskiwania dostępu do wspólnych zasobów zawierających wiele obiektów.

Należy zastosować na przykład narzędzia ABE, aby skonfigurować zasoby publiczne w dyrektorach domowych użytkowników. Zamiast tworzyć ukryty zasób publiczny dla katalogu domowego każdego użytkownika, możesz utworzyć jeden wspólny zasób.zawierające katalogi domów wszystkich użytkowników w folderze katalogu domowego głównego. Użytkownicy połączą się z tym katalogiem głównym i możesz użyć ABE, a także uprawnienia NTFS, aby kontrolować widoczność katalogu domowego wszystkich użytkowników.

Aktywacja funkcji ABE

Ta funkcja wykorzystuje nowy dostęp SHI1005_FLAGS_ENForce_namespace_; W czasie, gdy te linie są napisane, jest ono wdrażane tylko w pakiety Windows. 2003 SP1 i wydanie 2 (R2). Ta flaga oznacza, że \u200b\u200bużywasz funkcji ABE do jednego z folderów.

Aby zainstalować flagę, możesz użyć rozszerzeń Właściwości. foldery Windows. Explorer lub abecmd.exe Line Line. Microsoft dystrybuuje rozszerzenie ABE Explorer i Abecmd.exe w pakiecie instalacyjnym ABE, który jest dodatkowy moduł. dla platformy Windows. Serwer 2003 SP1. Pakiet instalacyjny można pobrać z węzła Microsoft pod adresem http://www.microsoft.com/downloads/details.aspx?familidzie\u003d04A563D 9-785-B03042-A485-B030AC442084. Ponieważ ABE jest rozszerzeniem serwera, może być używany niezależnie od tego, która wersja systemu Windows jest zainstalowana na kliencie.

Po zainstalowaniu narzędzi ABE na serwerze możesz ustawić tę flagę dla konkretnego folderu. Kliknij prawym przyciskiem myszy folder, wybierz Właściwości, przejdź do zakładki Wyliczanie dostępu i ustawić wyliczenie na bazie dostępu do tej flagi folderów udostępnianych, jak pokazano na ekranie 3. Aby zastosować funkcję ABE do wszystkich zasobów publicznych System, zainstaluj ustawienie niniejszej ustawienia Zastosuj ten folder do wszystkich istniejących folderów udostępnionych na tym komputerze.

Drugim sposobem jest użycie narzędzia Linia poleceń ABECMD.EXE. Aby zastosować funkcję ABE do zasobów publicznych Shareddocs, wprowadź następujące polecenie:

aBECMD / Włącz Shareddocs

Aby aktywować funkcję ABE na wszystkich dostępnych zasobach, możesz użyć parametru / wszystkiego, a do wyłączania parametru / wyłączania ABE.

Kontrola dostępu

Abe to proste narzędzie, które pozwala ograniczyć uprawnienia użytkownika tylko do plików, które są potrzebne do pracy. Użytkownicy mogą łatwo znaleźć aktaPonieważ nie muszą brać za pośrednictwem folderów, które nie są związane z sprawą, i nie przeszkadzają w obsłudze wsparcia z pytaniami, dlaczego nie ma plików, zezwolenia na pracę, z którymi nie mają.

Aby chronić przed hakerami za pomocą alternatywnych strumieni danych, administratorzy muszą przestrzegać ustawień kontroli dostępu do zasobów publicznych i korzystać z jednej z narzędzi opisanych przeze mnie, aby wykryć ukryte alternatywne strumienie danych, a także zmiany w systemie NTFS.

Jean de Clerk. (Decarkq @hp .com) - biuro bezpieczeństwa pracownika Hewlett -Packard. Zaangażowany w zarządzający identyfikacją i bezpieczeństwem produkty Microsoft.. Autor infrastruktury bezpieczeństwa systemu Windows Server 2003 (cyfrowa prasa prasy). Dodano obsługę alternatywnych strumieni danych (ALTCS) do NTFS do kompatybilności z systemem plików HFS z Macintosh, który użył przepływu zasobów do przechowywania ikon i innych informacji o plikach. Używanie wszystkich jest ukrytych od użytkownika i nie jest dostępny przez konwencjonalne środki. Dyrygent i inne aplikacje pracują ze standardowym strumieniem i nie mogą odczytywać danych z alternatywy. Dzięki Altds można łatwo ukryć dane, których nie można wykryć za pomocą standardowych kontroli systemowych. Ten artykuł poda podstawowe informacje o pracy i definicji wszystkich.

Tworzenie wybranych wszystkich.

Utwórz wszystkie wszystkie łatwe. Aby to zrobić, używamy wiersza poleceń. Zacząć od tworzenia podstawowy plik.Do którego dołączymy nasze strumienie.
C:\u003e echo tylko plik tekstowy\u003e próbki.txt

C:\u003e Typ próbki.txt
Tylko plik tekstowy


Następnie będziemy używać dwukropku jako operatora, aby wskazać, że użyjemy Altsów:
C:\u003e echo możesz zobaczyć mnie\u003e próbki.txt: Secret.txt

Możesz użyć następujących poleceń, aby wyświetlić zawartość:
C: Więcej< sample.txt:secret.txt

lub
C: Notepad Sample.txt: Secret.txt

Jeśli wszystko działa dobrze, zobaczysz tekst: Możesz mnie zobaczyć, a po otwarciu od dyrygenta, ten tekst nie będzie widoczny. Oto można dołączyć nie tylko do pliku, ale także folderu. Aby to zrobić, stworzymy folder i śmiejemy się z tego Sette:
C:\u003e MD
C:\u003e CD
C: Rzeczy\u003e Echo Ukryj rzeczy w rzeczy\u003e: Hide.txt
C: Stuff\u003e Dir
Głośność w dysku C ma żadnej etykiety.
Numer seryjny objętości jest 40CC-B506Directory C:
09/28/2004 10:19. .
09/28/2004 10:19.
0 plików 0 bajtów2 Dir (y) 12,253,208,576 bajtów
C: Stuff\u003e Notatnik: Hide.txt

Teraz wiesz, jak przeglądać i edytować załączone wszystkie wszystkie, a także dołączyć go do plików i folderów.

Ukrywanie i uruchamianie aplikacji

Ukryj aplikacje za pomocą ALTCS tak łatwo jako plików testowych. Aby rozpocząć, utwórz ponownie plik podstawowy:

Następnie umieść naszą aplikację do strumienia, na przykład użyłem notepad.exe:
C: Windows\u003e wpisz notepad.exe\u003e \u200b\u200btest.txt: note.exe

Teraz upewnij się, że w naszym pliku wszystko jest również tekstem:
C: Windows\u003e Typ Test.txt
Test

A teraz najciekawszy, uruchom nasza ukryta aplikacja:
C: Windows\u003e Start. (Test.txt: note.exe
C: Windows\u003e

Ponieważ ten artykuł nie jest pełnym tłumaczeniem podjętego artykułu, jest on zdobiony jako prosty temat. Dodatkowe przyjęcia można znaleźć na wskazanym linku.

Updatek:

Narzędzia do pracy z ALTCS (lista pobrana z artykułu na temat łącza powyżej):

Lads - Lista alternatywnych strumieni danych Frank Heyne
www.heysoft.de/frames/f_sw_la_en.htm.

Streams.exe z Sysinternals.

Artykuł jest napisany na czasopismo "Hacker" w 2004 roku. Wyjechała w pokoju 09/04 (69) zwana "Niszczącymi przepływami".

Przechwytywanie następnego systemu NT i ustanawiając w nim jego domowe oprogramowanie spy, konieczne jest rozwiązanie problemu przechowywania zebranych informacji na komputerze ofiary. Zwykle dziennik jest zapisywany w prostym pliku w katalogu z duża ilość Pliki, na przykład w systemie System32.

Funkcje NTFS.

Jest to powszechne, ale daleko od najlepszym sposobem Ukryj informacje komputer lokalny. Istnieje szansa, że \u200b\u200bużytkownik zauważy dodatkowo, stale aktualizowany plik, który nagle pojawił się w swoim katalogu systemowym. Dodaj dziennik do istniejącego pliku? Najpierw musisz znaleźć taki plik, dodając, do którego informacje nie będą zepsuć jego zawartości. Co z utrzymaniem informacji w takim miejscu, które nie będzie widoczne z przewodnika, ani z linii poleceń, ani z żadnego menedżer plików? Ta funkcja zapewnia nam system plików NTFS. Rzadko spotykam się z zwykłą osobą domową, ponieważ większość użytkowników nadal wolą FAT32, nawet tych, którzy siedzą pod Xp. Ale w lokalnej sieci dowolnej firmy pracującej pod Win2K / XP, NTFS jest prawie na pewno używany, ponieważ ten system plików zapewnia funkcje, takie jak przypisanie praw dostępu do użytkowników, szyfrowania i kompresji plików. Ponadto NTFS jest znacznie bardziej niezawodny niż FAT32. Więc metoda ukrywania danych, które opiszę, jest idealny do przemysłowej szpiegostwa. Wraz z pojawieniem się Longhorn NTFS ma szansę na osiedlenie się i na komponentach krajowych, ponieważ nadchodzące system plików WinfS, na podstawie NTFS, obietnice dodatkowe funkcje Aby uzyskać informacje i poszukiwanie informacji, które powinny przyciągać zwykłych użytkowników.

Capping do pliku Dane dane

Metoda jest zapisywania danych nie do pliku, jak zwykle, aw strumieniu pliku NTFS. Strumień może być przymocowany do innego pliku (w tym przypadku jego rozmiar nie zmienia się, a dane pozostają nienaruszone, a zatem narzędzia, które sprawdzają Champs of Pliki nie zauważą zmian) do katalogu lub na dysku. Alternatywne strumienie plików NTFS są jednym z możliwości NTFS, obecne w nim od najwcześniejszego wersje Windows. Nt. Leży w fakcie, że jeden plik może mieć kilka strumieni zawierających dane zawierające tylko wątek, w którym zawartość pliku jest przechowywany. Coś podobnego jest w systemie plików HFS na Macach. Istnieją wątki (strumienie) nazywane są rozgałęzieniem (widelce). Do niedawna były one używane jako repozytorium zasobów plików lub zawierały informacje o rodzaju pliku. Wraz z pojawieniem się MacOS X, zaleca się umieszczenie zasobów oddzielne plikii typy plików do określenia rozszerzeń. Ale wsparcie rozgałęzienia pozostaje i tak pozostaje. W systemie Windows strumienie są zwykle używane do przechowywania dowolnego po więcej informacji O pliku. Na przykład strumień może zawierać podsumowanie dokumentu. Jeśli system znajduje się na dysku z NTFS, plik Explorer.exe prawdopodobnie zawiera podsumowanie. W zależności od zawartości podsumowania, strumienie z nazwiskami podsumowania, dokumentacji dokumentacji, mogą być dołączone do pliku. Na moim komputerze znalazłem strumień o nazwie $ MountmgrremionAdAdabase, przymocowany do napędu C.

Na strumieni dołączony do pliku strumienia może się dowiedzieć tylko w niektórych przypadkach, na przykład podczas kopiowania pliku z załączonym strumieniem do dysku z FAT / FAT32. Te systemy plików nie obsługują ich, więc system da wniosek o potwierdzenie utraty informacji w przepływach, wskazując ich nazwę. Oczywiście sytuacja ta nigdy nie powstała, jeśli wątek jest dołączony do dysku lub do folderu systemowego. Nie jest konieczne używanie strumieni spyware. Jeśli jesteś programistą programów Shareware, możesz łatwo wykorzystać strumienie informacyjnego przepływu, liczba dni przed wygaśnięciem terminu użytkowania, słowo, wszystko, co powinno być ukryte z programu.

Praca z przepływami

W pracy z plikami i strumieniami są podobieństwa i różnice. Wygląda tak bardzo. Zarówno pliki, jak i ich strumienie są tworzone i usunięte przez te same funkcje CreateFile WinAPI i delnetefile. Czytanie i pisanie są wdrażane odpowiednio funkcje odczytu i Writefile. Istnieją podobieństwa na temat tego podobieństwa, wówczas niektóre różnice. W nazwach wątków mogą być zawarte specjalnymi, które nie mogą być częścią nazwy normalnego pliku: takie jak "*", "?", "<”, “>"," | " i symbol cytowania. Ogólnie rzecz biorąc, każda nazwa strumienia jest zapisywana w formacie Unicode. Wciąż można stosować harmonogramy z zakresu 0x01 - 0x20. Nie ma standardowej funkcji kopiowania i transferu strumienia: MOVEFILE i Copyfile nie działają z niciami. Ale nikt nie przeszkadza napisać swoich funkcji. Wątki nie mają własnych atrybutów, tworzenia i dat dostępu. Są odziedziczone z pliku, do którego jest dołączona. Jeśli w samym pliku znajdują się dane, mogą być również reprezentowane jako strumień. Nazwy przepływów są wyświetlane jako "Nazwa pliku: Nazwa wewnętrzna: atrybut". Standardowy atrybut strumienia, w którym dane są nazywane $ DATA. Istnieje wiele innych atrybutów, których nazwy są również zaczynające się od znaku "$". Zawartość pliku znajduje się w bezimiennym strumieniu (nazwa_wymiarowa :: $ Data). Dzięki tej właściwości systemu plików reprezentują zawartość pliku w postaci strumienia, podłączony jest błąd wersje Microsoft. IIS, kiedy haker, który chciał znać tekst skryptu na wrażliwym serwerze, po prostu dodany do jego nazwiska ":: $ Data", a Server, zamiast wykonać skrypt, wydał swój kod źródłowy. Praca ze strumieniami jest podobna do pracy z plikami. Listing 1. Jest to prosty przykład programu, który tworzy plik ze strumieniem i informacjami, które pisze do niego. Po uruchomieniu programu pojawi się pusty plik "testfy" w swoim katalogu. Możesz zobaczyć zawartość załączonego strumienia, wpisując wiersz poleceń "Jeszcze< testfile:stream». Как видишь, имя потока указывается после имени файла, отделенное от него знаком двоеточия. Самое трудное при работе с потоками – это получить их список для konkretny plik.. Nie ma standardowej funkcji, a zatem musisz sam pisać. Napisz mały program konsoli.który zwróci listę strumieni według nazwy pliku. Taki program jest faceci z Sysinternals, z otwarte źródłoA ona pracuje, ale nie lubiłem ich drogi. Używają natywnych połączeń API, a zatem ich kod jest duży i trudny do zrozumienia. Napiszymy twój prog, który będzie działać z wiersza poleceń, z algorytmem prostszym i standardowymi funkcjami API.

Otrzymujemy listę strumieni

Algorytm opiera się na zastosowaniu funkcji bulgotania. Jest przeznaczony kopia rezerwowa akta. Kiedy to robisz utworzyć kopię zapasową Plik, ważne jest, aby zapisać jak najwięcej danych, w tym strumieni plików. Informacje są pobierane z struktury Win32_stream_id. Stamtąd możesz uzyskać nazwę strumienia, jego rodzaju i rozmiaru. Będziemy potrzebować tylko wątków, takich jak backup_alternate_data. Wszystkie funkcje i struktury opisane są w pliku nagłówka Winnt.h. Najpierw musisz otworzyć plik odczytu za pomocą CreateFile. W parametrze DWFLAGSANDATtributes należy określić flagę File_flag_backup_semantics, która pozwoli Ci otworzyć nie tylko pliki, ale także katalogi. Następnie uruchomje cykl, który odczytuje informacje o pliku w strukturze SID, z której otrzymamy informacje o każdym strumieniu. Przed następnym przejściem cyklu wyczyścimy strukturę i przesuwamy wskaźnik pliku do następnego wątku za pomocą funkcji kopii zapasowej. Po znalezieniu wszystkich strumieni czyszczenia LPContext zawierający informacje o usłudze i zamknij plik. Kod źródłowy programu jest wymieniony na liście 2. Już skompilowany PROG można przyjmować z naszego dysku. Aby pracować z niciami opcjonalnymi, aby napisać specjalne programy. Możesz zrobić coś bezpośrednio z linii poleceń. Na wkładaniu pokazano kilka przykładów.

Wykrycie

Mocowanie przepływu z informacjami, trudno jest dostać się do jego treści, nie znając jego imienia. Jeśli strumień dołączy się do logicznego, nie ma standardowe narzędziawykryć go. Ponieważ nazwa przepływu może zawierać znaki, nieprawidłowe w nazwach zwykłych plików, tworzy dodatkowe trudności, gdy próbujesz znaleźć zawartość strumienia za pomocą wiersza poleceń. Zawartość raportów dokumentów jest zwykle przechowywany w strumieniu z tytułem, który zawiera symbol z kodem 0x05. Ten symbol można wpisać w konsoli (Ctrl + E), ale jeśli był to symbol 0x10 lub 0x13 (wózek zwrotny i tłumaczenie wiersza), a następnie byliby niemożliwe do ich wybierania. Teoretycznie można dowiedzieć się o załączonych strumieniach przez przypadek, używając niektórych oprogramowania, które prawdopodobnie będą miały na komputerze. Winrar ma opcję, a jeśli jest włączony, można zauważyć, że rozmiar małego pliku umieszczonego w archiwum nie tylko nie zmniejsza się, ale nawet wzrasta (ze względu na fakt, że dane w strumieniach są również umieszczane w Archiwum). Może to spowodować podejrzenia. Program do śledzenia połączeń do systemu plików - Filemonitor z tych samych Sysinternals - nie powoduje różnic między plikami lub wątkami. W związku z tym wydaje się uważny badanie dziennika odwołań do dysku podejrzanego programu (Twój Keylogger) i nazwa przepływu, w którym dziennik jest zapisany, a nazwa pliku, do którego jest dołączona.

Wirusy

We wrześniu 2000 r. Nastąpił pierwszy wirus, który używa alternatywnych strumieni plików dla jego dystrybucji. W2K.Stream był pierwszym przedstawicielem nowego typu wirusów - strumienia towarzysza. Szuka plików w swoim katalogu .exe, a jeśli go znajdzie, rozpoczyna proces infekcji. Dodatkowy strumień jest dołączony do pliku, do którego wirus przenosi zawartość oryginalnego pliku, a następnie korpus wirusa jest kopiowany do głównego strumienia pliku. Po uruchomieniu zainfekowanego pliku wirus ponownie próbuje zainfekować pliki w katalogu, a następnie uruchomić program z dodatkowego strumienia. Rzeczywiście, korzystając z funkcji Creastprocess, możesz uruchomić proces ze strumienia. Ponadto plik z strumieniem można spokojnie usunąć, a proces pozostanie. Tylko bajka dla Trojanova! Pomimo faktu, że ponieważ pojawienie się W2K.Stream minęło prawie cztery lata, a nie wszystkie antywirusy są zdolne do wykrywania złośliwego kodu w strumieniach plików. Dlatego pojawienie się nowych robaków i wirusów przy użyciu ich może być poważnym niebezpieczeństwem.

Inne wirusy za pomocą wątków

Oprócz W2K.Stream, strumienie znalazły stosowanie w innych wirusach i robakach. PIERWSZA WORMOWANIE STREAMS PLIKÓW BYŁO I-WORM.POTOK. To małe zwierzę mocuje kilka wątków do pliku ODBC.INI w katalogu Windows i przechowuje tam skrypty do wysyłania poczty. Inny wirus jest w2k.team. Opis tych i innych podobnych wirusów można znaleźć na stronie http://www.viruslist.com/

Pracuj z przepływami konsoli

Tworzenie pliku strumieniowego:
Typ Nul\u003e SomeFile.txt: Stream

Wpis strumienia:
Echo "coś" \u003e\u003e somefile.txt: strumień

Czytanie przepływu:
Jeszcze< somefile:Stream

Skopiuj zawartość istniejącego pliku w strumieniu:
Wpisz plik1.txt \u003e\u003e somefile.txt: strumień

Kopiowanie zawartości strumieniowej do pliku:
Jeszcze< somefile.txt:Stream >\u003e File2.txt.

Usuwanie strumieni

Istnieje opinia, że \u200b\u200bprzepływ można usunąć tylko z plikiem, do którego jest dołączony. To nie jest prawda. Jeśli znasz nazwę strumienia, zawsze możesz usunąć go za pomocą standardowej funkcji deletEfile.

Listing 1. Przykład tworzenia strumienia.

#Zawierać. int Main () (DWORD DWRET; Uchwyt Hstream \u003d CreatFile ("Testile: Stream", Generic_Write, File_Share_Write, NULL, Open_always, Null, NULL); Writefile (HFile "To jest strumień", 17, & Dwret, NULL) ; Ślad (hstream); zwrot 0;)

Listing 2. X-Stream: Program Pokazuje listę strumieni

#Zawierać. #Zawierać. #Zawierać. #Zawierać. int _tmain (int argc, _tchar * Argv) (Win32_stream_id SID; Zeromemory (& SID, Sizeof (Win32_stream_id)); DWORD DW1, DW2, DWREAD; INT numofstreams \u003d 0; // bufor do nazwy strumienia w Unicode Wchar Wszstreamname ; LPCOID LPCONTEXT \u003d NULL; / * * Otwórz plik do odczytu z parametrem * file_flag_backup_semantics, co pozwala nam otwierać nie tylko pliki, ale także katalogi z płytami. * / uchwyt HFile \u003d CreateFile (Argv, Generic_READ, File_share_read, Null, Open_existing, file_flag_backup_semantics, null); jeśli (HFile \u003d\u003d Invalid_handle_Value) (Printf ("Nerror:" T Otwórz plik, Directory lub Disk% S ", ARGV); Wyjście (0);) DWORD DWSTREAMHEHEHEHEHETIZE \u003d (LPBYTE \u003d (LPBYTE ) & sid.cstreamname - (LPBYTE) & SID + SID.DWSTREAMNAMEize; Printf ("Informacje NSTREAMS dla% s: n", Argv); While (Backpared (HFile, (LPBYTE) i SID, DWSTReameSerize, & Dwread, Fałsz, True, & LPContext)) (/ / Jeśli typ przepływu jest nieprawidłowy, a następnie przerwanie cyklu, jeśli sid.dwstreamid \u003d\u003d Backup_invalid); Zeromemory (& Wszstreamname, sizeof (Wszstreamname)); // Uzyskaj nazwę strumienia IF (! Backupread (HFile, LPBYTE) WSZSstanamname, Sid.dwstreamNameize, & Dwread, False, True, & LPContext)) Break; Jeśli (sid.dwstreamid \u003d\u003d Backup_data || Sid.dwstreamid \u003d\u003d Backup_alternate_data) (Numofstreams ++; Printf ("n n nstream \\ t #% u", numofstreams); przełącznik (sid.dwstreamid) (case backup_data : Printf ("nname: t :: $ Data"); Break; Case Backup_alternate_data: Printf ("Nname: t% s", Wszstreamname); Break;) Printf ("Nsyze: t% U ", sid.Size);) // Przejdź do następnego strumienia kopii zapasowej (HFILE, SID.SIZE.LOWPART, SID.SIZE.Highpart, & DW1, & DW2, & LPCONEXT); // Oczyść strukturę przed następnym przejściem cyklu zeromemory (& sid, sizeof (sid)); ) // Clean LPContext zawierający informacje o usłudze //, aby pracować backpread backpred (HFILE, NULL, NULL, & DWREAD, true, false i LPCONEXT); // Zamknij plik CloseHandle (HFile); Powrót 0; )

Przedmiot strumieni plików ma również następujące elementy:

  • Program NTFS Stream Explorer 2.00 do pracy z strumieniami NTFS i

Celem tego artykułu do wyjaśnienia znaczenia
Dodatkowe strumienie danych (alternatywne strumienie danych)
w system operacyjny Windows.
wykazać, jak je stworzyć i
kompromisować samochód, jak go znaleźć
Ukryte pliki za pomocą publicznie dostępnych
narzędzia. Pierwszy krok będzie musiał być świadomy
znaczenie reklam i jakie grozi, a potem
Zobaczmy, jak są używane do hakowania
I wreszcie rozważ narzędzia
Wykryć aktywność i jak
zatrzymać dalszą nielegalną pracę
z nimi.

Po co?

Pojawiły się dodatkowe strumienie danych
Windows z NTFS. W rzeczywistości tak daleko jak ja
Rozumiem, nie było w nich konkretnego punktu - oni
zostały wykonane do kompatybilności z HFS, starym
System plików Macintosh - Hierachical Plik System. Biznes
że ten system plików używa
zarówno oddział danych, jak i oddział zasobów
Przechowywanie treści. Oddział
W związku z tym odpowiedzialny za treść
Dokument i oddział zasobów
Identyfikacja plików - jego typ i inne
dane. Do tej pory istniejące
Dodatkowe strumienie od zwykłych użytkowników
Niewielu ludzi wie. Jednak w świecie komputera
bezpieczeństwo, które mają pewne
Rozpiętość. Na przykład złe hakerzy
Użyj reklam, aby przechowywać pliki
zhakowane komputery, a także czasami
Stosować wirusy i inne złośliwe oprogramowanie. Biznes
W końcu wszystko jest takie, że strumienie nie są
oglądane przez konwencjonalne metody, takie same
Dyrygent lub przez wiersz polecenia. Niż
Czy te strumienie są interesujące? I co w przypadku
Badania hakowania nie zawsze płacą
Uwaga na nich, poza tym, a nie wszystkie antywirusy
Domyślnie przejrzyj strumienie
Szukaj złośliwego oprogramowania.

Do biznesu

Aby zrozumieć prawdziwe niebezpieczeństwo
Reklamy lepiej demonstruje z nimi pracę.
W przykładzie stosowanie ram metasploit penetruje
na samochodzie. W tym celu używamy podatności
MS04-011 (LSASS). Następnie za pomocą plików wypełnienia TFTP,
który i umieścić w dodatkowych strumieniach
dane. Jak tylko zostanie zakończony
Remote Machine Uruchom z polecenia
skaner wierszy, na którym skanuje sieć
Dostępność innych maszyn. Uwaga,
że autorzy metasploitów pod warunkiem ich
Metasploit podpisu stworzenia, aby twórcy
Programy ochronne mogą określić pakiet
Wychodzący od MF. Zwróć uwagę na pakiet,
Wychodzący od atakującego:

Tutaj 192.168.1.102 Atakujący PC
który jest ramami metasploitów, a 192.168.1.101 -
Wrażliwy komplet z Win2K Prof. W tym przypadku oś
Ustaw bez łatek i sparów serwisowych,
Wyłącznie do celów demonstracyjnych
:). Należy pamiętać, że same reklamy nie są
zbyt przydatne, naturalnie proszę
atakujący tylko wtedy, gdy jest
Dostęp do samochodu, podatność na system
system operacyjny. W tej sieci
Jest mało prawdopodobne, aby nie znalazł rozblazła W2K, więc
będzie musiał szukać innych zasad
penetracja.

Poniżej widzimy, że atak powiódł się
maszyna do ataku jest otwarta odwracalna skorupa,
Dostarczony. Domyślnie dla tego
Luki w metasploit używać portu 4321,
Jednak można go zmienić:

Przenikający samochód powinien być tam minęły
Akta. Aby to zrobić, użyj TFTP, w tym
Przypadku otrzymujemy iPheye.exe.

W ten sam sposób pobieramy psexec.exe, plax.exe i
Klogger.exe. Wykonajmy listę katalogu C: Compaq,
Gdzie wszystko zawalało:

Strzelać teraz ipeye.exe z strumieniem,
związane z istniejącym plikiem
Test_file.

Wtedy to samo można zrobić i mieszać
Potrzebne inne pliki.
Zauważ, że alternatywę
strumień może być zorganizowany nie tylko dla
Pliki, ale także do katalogów, ten sam C:
Przykład. Uruchom skaner o którym my
mówił na początku, ipeye.exe, na zainfekowany
Komputer:

c: Compaq Test_file: ipeye.exe

(Ciąg dalszy nastąpi)

Najwyraźniej niewidoczny

Czytnik blogów Victora nie był w stanie uruchomić skryptu PowerShell pobranego z Internetu. Uprzejmy czytanie moich instrukcji umożliwiło uniknięcie problemu, ale jego korzeń nie był w ogóle w ścisłej polityce bezpieczeństwa PowerShell.

Victor pobrany z archiwum Galerii TechNet ze skryptem pswindowsupdate.zip do kontroli Aktualizacja systemu Windows.Powiedziałem o tym. Jednak rozpakowywany skrypt odmówił pracy. Kiedy skłoniłem czytelnika, że \u200b\u200bw pierwszym akapicie moich instrukcji mówi się o potrzebie odblokowania archiwum, wszystko poszło jak olej.

Victor poprosił o wyjaśnienie, dlaczego system zablokował skrypt i gdzie wie, że archiwum zostało pobrane z innego komputera.

Szczerze mówiąc, dzisiejszy temat nie jest Nova, ale postanowiłem podkreślić go na moim blogu z kilku powodów:

  • Wpisano wiele artykułów czasy systemu Windows XP lub Windows 7 i nie biorą pod uwagę wbudowane funkcje bardziej nowego systemu operacyjnego Microsoft OS.
  • W jednym z artykułów zaplanowanych w najbliższej przyszłości, ten temat jest adresowany i łatwiej jest odnieść się do materiału, dla znaczenia i poprawności, której odpowiadam sam.
  • Blog ma dużą publiczność, a dla wielu czytelników ten temat nadal będzie w nowościach :)

Dzisiaj w programie

Strumienie danych NTFS.

Windows rysuje informacje o źródle pliku z alternatywnego strumienia danych (alternatywny strumień danych, następujących reklam) System plików NTFS. W właściwościach pliku skromnie pisze, że jest z innego komputera, ale w rzeczywistości zna trochę więcej, jak zobaczysz.

Z punktu widzenia NTFS plik jest zestawem atrybutów. Zawartość pliku jest atrybutem danych z nazwą $ DATA. Na przykład, plik tekstowy Z linią "cześć, świat!" Ma atrybut danych "Hello, World!"

W atrybutach NTFS $ Data jest strumieniem danych i nazywany jest podstawowym lub nienazwanym, ponieważ ... nie ma nazwy. Formalnie wygląda tak:

$ DATA: ""

  • $ DATA. - Nazwa atrybata.
  • : - Delimiter.
  • "" - Nazwa powódź (W takim przypadku nazwa brakuje - nie ma nic między cytatami)

Ciekawe cechy alternatywnych strumieni danych

W kontekście przykładów chcę wspomnieć o kilku ciekawskich momentach.

Niewidoczne zmiany

Po utworzeniu pierwszego polecenia pliku tekstowego, możesz go otworzyć edytor tekstu I upewnij się, że wszystkie dalsze manipulacje nie wpływają na zawartość pliku.

Staje się interesujące, gdy plik jest otwarty, powiedzmy w Notepad ++. Ten edytor może ostrzec o zmianę pliku. I zrobi to, gdy napiszesz alternatywny strumień do pliku, jednak treść pozostanie taka sama!

Nagrywanie i wyświetlanie reklam z CMD

Reklamy można utworzyć i wyświetlać z linii poleceń. Następujące polecenia zapisują ukryty tekst w drugiej reklamach o nazwie Mystream2, a następnie wyświetl go.

Echo Hidden Tekst\u003e C: Temp Test.txt: Mystream2 więcej< C:\temp\test.txt:MyStream2

Wyświetl reklamy w edytorach tekstu

Ten sam notatnik ++ pokaże treść reklam, jeśli określisz nazwę przepływu w wierszu poleceń

"C: Program Pliki (X86) Notatnik ++ Notepad ++. EXE" C: TEMP TEST.TXT: Mystream1

Wynik:

Z notatnikiem taki ostrość odbędzie się tylko wtedy, gdy na końcu nazwy przepływu .tekst. Zespoły są dodawane poniżej trzeciej reklam i otwierają go w notebooku.

Echo Hidden Tekst\u003e C: TEMP TEST.TXT: Mystream3.txt Notatnik C: temp test.txt: Mystream3.txt

Wynik:

Zablokuj pobrane pliki

Wróćmy do pytania, że \u200b\u200bzapytałem mnie czytelnikiem. Niezależnie od tego, czy plik zostanie zablokowany przede wszystkim w programie, w którym został pobrany, aw drugim - od parametrów OS. Tak więc wszystkie nowoczesne przeglądarki obsługują blokowanie i jest włączony w systemie Windows.

Pamiętaj, że gdy archiwum jest zablokowane, wszystkie rozpakowane pliki zostaną zablokowane "przez dziedziczenie". Nie zapominaj również, że reklamy jest funkcją NTFS, tj. Podczas zapisywania lub rozpakowania archiwum na FAT32 nie występuje blokowanie.

Wyświetl informacje o źródle zablokowanego pliku

W PowerShell przejdź do folderu za pomocą pobranego pliku i spójrz na informacje o wszystkich wątkach.

Pobierz pozycja

Jak już wiesz, $ Dane są zawartością pliku, ale lista pojawi się na liście Strefa.dentifier.. Jest to przezroczysta podpowiedź, którą plik jest uzyskiwany z jakiegoś strefy. Wiesz, skąd pochodzi ten obraz?

Aby znaleźć strefę, musisz przeczytać zawartość reklam.

Dostać zawartość. PSWIndowsupdate.zip -stream Zone.dentifier Zoneid \u003d 3

Oczywiście skierowany jest do odblokowania wsad (na przykład, gdy archiwum jest już rozpakowywane). Poniższa polecenie odblokowuje wszystkie pliki zawierające w folderze pobierania Ps.:

DIR C: Pliki do pobrania * PS * | Odblokuj plik.

Oczywiście istnieją różne narzędzia z interfejsem graficznym, nawet w stanie się zintegrować menu kontekstowe. Ale moim zdaniem PowerShell lub w najgorszych endamach jest wystarczająco dość.

Jak zapobiec blokowaniu plików

Blokowanie jest odpowiedzialne za politykę grupy, aby nie przechowywać informacji o strefie pochodzenia zagnieżdżonych plików. Z tytułu wynika z tego, że blokowanie jest standardowym zachowaniem systemu Windows, a polityka umożliwia zmianę go.

Jednak nie jest oczywiste z nazwy, że polityka dotyczy nie tylko do inwestycje pocztoweAle pliki pobrane z Internetu. Przeczytaj więcej o dyspozytorie inwestycyjnym w KB883260.

W domowych edycjach polityków grupy nie ma, ale rejestr nie został anulowany: SypizoneInformation.zip.

Inne przykłady aplikacji praktycznych reklam

Powierzchnia aplikacji ADS nie jest ograniczona do dodania strefy pobranego pliku, ponieważ niekoniecznie przechowywanie tylko w TYLKIEJ ADS. Każdy program może korzystać z tej funkcji NTFS do przechowywania dowolnych danych, więc daję tylko kilka przykładów z różnych obszarów.

Infrastruktura klasyfikacji plików

o autorze

Ciekawe materiały, dzięki. Nauczyłem się czegoś nowego o PowerShell, który wciąż mam niewiele znajomych :)

Aby komunikować się z rodziną, często używamy Whatsapp - podczas gdy ta usługa ma mniej problemów, nawet rodzice tam opanowali. Kontaktowanie jest również głównie dla rodziny, chociaż istnieje wymiana wiadomości, istnieją głównie opublikowane albumy ze zdjęciami i filmami. Niektórzy krewni zachowują lojalność wobec Viber - nie miałem tego jakoś, po prostu trzymam je dla nich, bez pozostawienia prób przeciągania i ich w Whatsapp.

Aby pracować głównie luźne, gdy coś pilnego - Whatsapp, bardzo pilne - SMS. VKontakte komunikować się ze światem zewnętrznym.

Skype używam tylko do połączeń wideo, głównie z rodziną ponownie. Chętnie zastąpiłbym go na WhatsApp, bądź włączenie wideo.

urix.

Viber ma teraz połączenia wideo, a nawet połączenia wideo do wersji pulpitu. Więc może być, Viber będzie następujący Skype ... W dobrym znaczeniu

Andrey Kuznetsov.

Materiał ciekawy, dziękuję. Wiedziałem o istnieniu strumieni, ale nie wiedziałem, że z nimi tak łatwo pracować przez PowerShell.
Jeśli chodzi o IM: Mam reklamacje na temat uruchomienia na telefonie Windows. Nie ma takich problemów na iPadzie i oknach. Używam komunikatu głosowego, gdy z jakiegoś powodu jest to niewygodne użycie GSM.
I korespondencja przez Whatsapp. Obecność go tylko w telefonie jest raczej plus, pod względem prywatności.

  • Andrey Kuznetsov.: I korespondencja przez Whatsapp. Obecność go tylko w telefonie jest raczej plus, pod względem prywatności.

    Andrei, wyjaśnij, co jest plus

Pavlovsky Roman.

1. Najczęściej używam: Skype i Hangouts - na pracy na komputerze, przez resztę korespondencji VKontakte z dowolnego urządzenia, ponieważ klienci do pracy zwykle siedzą na Skype, i znajomych i znajomych w sieciach społecznościowych.

2. Chciałbym być najlepiej wykorzystać: Jabber - do korespondencji i połączeń z dowolnych urządzeń. Jeśli chodzi o mnie, klient można zainstalować na dowolnym urządzeniu i przepisać, gdzie użytkownik nie byłby, nawet na słabym połączeniu z Internetem +, możesz wdrożyć serwer Jabber do tego i przechowywać całą korespondencję na serwerze, abyś mógł szybko Znajdź niezbędną korespondencję, jeśli klient nie wie, jak przechowywać historię, a wtyczki do połączeń przez Jabber można znaleźć (na przykład przez tę samą gwiazdkę SIP 1.8+)

Andrei Bayatakov.

Najczęściej używam WhatsApp (głównie do pracy), dla połączeń (połączenia audio / wideo / międzynarodowe) Skype. Chociaż Skype stacjonarne jest strasznie inspiatures (mam transformator i w domu, używam go głównie jako tablet) ... Viber - Nie pasowałem. Aby zadzwonić przez WhatsApp musisz mieć po prostu żelazne nerwy. Powiesz coś do rozmówców i poczekaj minutę lub dwa, kiedy cię słyszy (50mbit Connection) ...
Miałby być możliwość, aby przejść całkowicie na Skype. W systemie Windows 10 Mobile, po niedawnej aktualizacji wiadomości ze Skype przychodzi bezpośrednio do wbudowanej aplikacji wiadomości (jako SMS), która jest bardzo wygodna.

Maksyma.

1. Uruchamianie serca, którego używam ICQ (dla klientów wstecznych) i luzu (dla bardziej nowoczesnych).
2. Chciałbym użyć Jabber - z tych samych powodów, które Roman Pavlovsky jest wyższy.

Vladimir Kiryushin.

Hello Vadim!
Przeczytaj swój artykuł o tym artykule o tym, jak czytać sprawdzanie raportu dysk systemowy. Zespół Chkdsk. Doskonały artykuł! Dziękuję dzisiaj, po Calving CHKDSK polecenie dysku systemowego, otrzymałem raport z pliku tekstowego. A ten artykuł wyjaśnia również wiele rzeczy program PowerShell.. Coś do mnie emeryt jest niezrozumiałe, ale staram się nie panikować i czytać ciężko do końca. Dziękujemy za studia, których spędzasz z nami! Wszystko, co jesteś dobry!

Lecron.

Jakie programy przeglądarni i pobierania tworzą ten strumień?

Jakie inne opcje korzystania z strumieni przez użytkownika? W szczególności użytkownik jest pisarzem w Pisma Światowym? Ponieważ, chociaż wiedziałem o nich przez długi czas, nigdy nie użyłem. Z prawdziwą pracą z komputerem, po prostu ich nie pamiętają, a tym z tego powodu byli ona wygodne narzędzie, bez tej pracy, w pamięci, nie myśl o niczym.
Zdałem sobie sprawę tylko o jednej wersji. Komentarz do pliku, jeśli nie ma możliwości pisania długiego tekstu w nazwie pliku. Ale dla tego potrzebujesz wsparcia z pliku menedżera, który wcześniej, a teraz pisze je w deskrypt.ION lub plikach.BBS.

Speed \u200b\u200bGuru.

Inna technologia śmieci jak magazyn USN. Czy jesteś dużo użytkowania zonedentifier lub z wirusa dołączonego do FAL lub Folderu? Oczywiście nie. Ponadto jest to niepotrzebny system przez niepotrzebne, w żaden sposób nie jest konieczne "subfile" nie jest konieczne. Każde niepotrzebne czytanie w katalogu MFT i innych operacjach związanych z konserwacją i treściami strumieniami alternatywnymi, jest to dodatkowe wydane cykle procesora, losowy pamięć dostępui co najważniejsze nadmiar obciążenia na dysku twardym.
Możesz mi powiedzieć, że ta technologia jest bardzo potrzebna przez system. Ale to jest nonsens - system doskonale pracował bez wątków. Ale nikt nie prosi użytkownika - przesunęły się (jako magazyn USN), a zdolność do całkowitego wyłączenia konserwacji tych strumieni nie dał. Ale nie potrzebuję użytkowników tak samo, myślę jak ty ...
Wszystko, co możemy zrobić, to "strumienie -s -d% Systemdrive%". Ale nie pozwala usunąć przepływów w sekcji systemowej.

Alexiz Kadev.

Nazwane przepływy - rzecz jest doskonała, a tam istniało, o ile pamiętam z pierwszej wersji NTFS. W wymienionych strumieniach jest to wygodne do przechowywania, na przykład, wersja dokumentu, że jeśli nie pomyliam wielu aplikacji i zrobił. Ale zasadzki pozostaje z kopiowaniem do innego systemu plików - wymienione strumienie są po prostu odcięte.

Jest to litość dla wyborczego, nie było niemożliwe do wyróżnienia kilku posłańców: używam niektórych, ponieważ niektóre z moich kontaktów preferują pewne. Używam więc WhatsUp, ICQ (choć oczywiście, a nie ojczystego klienta), Skype, SkypeForbusiness (cichy horror, a nie klient, jednak, kiedy nazywano go Lync, był jeszcze gorszy) i Viber (tutaj spam więcej niż w inne przynajmniej raz na 5).
I idealnie używać jednego, takiego jak Miranda z wtyczkami, ponieważ w razie potrzeby, gdzie, gdzie powiedziałem / napisałem coś we wszystkich tej sterty jest po prostu nierealistyczne. Ale niestety, wielu producentów zamykają protokoły i chronią je z ich igłą.

  • VSH.

    Sterkin Vadim.: Roman, nie włączyłem Jabber w ankiecie. Zdecydowałem, że istnieje kilka osób i bez perspektyw.

    Na próżno
    Na przykład używam Openfire (Freeware XMPP) jako komunikatora biurowego w kilku domenach.

    Dlatego mam główny XMPP (Pidgin.exe, Spark.exe), ale 99,8% tych wiadomości jest wewnątrzwstrzewa.
    Skype - do zewnętrznego IM
    Whatsapp i Viber - dla "losowych relacji", ostatnie miesiące są tylko spamem, myślę - nie usuwaj?

  • Artem.

    Mam wszystko z jakiegoś powodu w Vaiber. A jakość komunikacji jest dość odpowiednia. A więc telegramy byłyby. Tak pusty.

    hadet.

    1. Skype (na PC) i Viber (na telefonie komórkowym). Przyczyny są również podobne do większości liczby kontaktów i naturalnie niechęć tych większości kontaktów, do przeniesienia do innego posłańca.
    2.Utoks. Miniatura, nic zbędnego, klienta dla Win, Linux, Mac i Android. Umieszczony jako chroniony.
    Str.s. Shazhiz da leczenie ma jej doskonały :-)

    Evgeny Karelov.

    Dziękujemy za Twoją pracę!

    Jeśli chodzi o ankietę, na PC dla korespondencji Używam QIP 2012, do którego podłączony są kontakty ICQ, VKontakte i innych. Osobiście jest dla mnie wygodne, aby użyć jednego programu do komunikowania się kilku protokołów. Tak, i możliwość przeglądania taśm sieci społecznościowych z jednego miejsca jest bardzo zadowolony. Idealnie, nie ma wystarczającej liczby wsparcia Skype, którego używam do komunikacji głosowej, ale nie pojawi się.
    Chociaż ten program wygląda jak "opuszczony", ponieważ aktualizacje nie były dawno temu, przydzielone funkcje działają idealnie.

    strper.

    Ciekawe messanina z tematu postu na temat strumieni danych i ankiety na IM.

    Według badania: Jabber / Jabber, który na próżno nie włączył listy, chociaż istnieje OTCUP, oparty na XMPP, a nawet przejdzie do sukcesu Asechki.

    Jabber w ogóle rozwiązuje wszystkie wskazane problemy ze względu na otwartość protokołu, dostępność klientów dla wielu platform i dostępność serwerów, które mogą być podnoszone niezależnie. Ale kaktusy żuć tradycyjnie, tak.

    • Na liście klientów, a nie protokołów.
      ICQ ... Cóż, nie umieściłem tam emotikonów, ponieważ powinno być tak jasne.
      Jabber Dokładnie nie rozwiązuje jednego problemu - nie ma nikogo.

      • strper.

        Sterkin Vadim.: Na liście klientów, a nie protokoły.

        Ze względu na fakt, że protokół i kody źródłowe Oficjalny klient jest zamknięty, regularna tożsamość jest ustalana między jedynym klientem a protokołem.

        Sterkin Vadim.: ICQ ... Cóż, nie umieściłem tam emotikonów, ponieważ powinno być tak jasne.

        Rotina Mailrusuchka nie wystarczy, że Aschek umiera naturalną śmierć - są one również bardziej wysiłkami, aby go szybciej.

        Sterkin Vadim.: Jabber nie rozwiąże jednego problemu - nie ma nikogo.

        Niemniej jednak, napisałeś Telegram

        wygląda świetnie, ale jest pusty (który jest naprawiany)

        Jabber miał wszystkie szanse na stawanie tego samego niż dzisiaj, jest ekosystemem e-mailem (pełna otwartość protokołu, możliwość podniesienia serwerów do każdego i zapewnienia interakcji między serwerami itp.), Ale nie jest konieczne dla korporacji, który jest doskonały na wystawie z niego google lub odzyskania opakowania.

        • W przypadku telegramu - naprawy, dla Jabber - bardzo mało prawdopodobne. Dlatego pierwsza znajduje się na liście, ale druga nie jest.

          • strper.

            Oczywiście telegram jest stylowo, modny, młodzież, i Jabber nikt taki jak Pasha Durov nie porusza się. Jakie są tutaj perspektywy.

            GM ... Tak, wyjdź ze swojego czołgu teorie spisku "cały świat przed wolnym oprogramowaniem". Wszystko dużo łatwiej

            Jeśli jest niezrozumiałe, wygląda na pierwsze doświadczenie interakcji z oficjalnie poleconym klientem Jabber na najbardziej popularnej platformie mobilnej.

            strper.

          • Nie rozumiem trochę, gdzie w moich komentarzach na temat spisku.

            Tak, wszędzie :) Próbujesz napisać niepowodzenie Jabber dla nieszosochronnej i niekrodystej, podczas gdy jego klienci z pierwszego ekranu nie są przystosowane do współczesnej rzeczywistości.

            Co powinienem zobaczyć w zrzucie zrzutu?

            Oferta Wprowadź numer telefonu ~~~ O ~

            • strper.

            strper.: Próbujesz napisać niepowodzenie Jabber dla nieszrodnictwa i łatwości

            Cóż, jeśli tak jest.

            strper.: Podczas gdy jego klienci z pierwszego ekranu nie są przystosowane do współczesnej rzeczywistości.

            Te. Do obecnej mody, takiej jak ujawnienie numeru telefonu wszystkim. Bo nie rozumiem, dlaczego konieczne jest wejście do tego, jeśli nie jest potrzebne do systemu systemu, co dla mnie jest to takie idealne, że nie jest tutaj pytany.

            Właściwie porzuciłem Asechkę, pomimo pozostałych kilku kontaktów tam pozostały, z tego powodu Maireushechka w formularzu uzasadnionym żądanym związanym z numerem telefonu do konta, w wyniku tego, który został wysłany zgodnie ze znanymi współrzędnymi.

            Tak, nie rozumiem, nawet po wyjaśnień ze zdjęciami ... To nie jest moda, jest to jedyny sposób na uproszczenie rejestracji urządzenia mobilnektórzy stanowią podstawę odbiorców nowoczesnych posłańców i jedynego źródła jego wzrostu.

            strper.

            W żądaniu zrzutu ekranu w nazwie, hasła i opcjonalnym pseudonimu. Gdzie uprościć coś silniejszego? Albo oprócz uczniów szkół korygujących, nie ma już rezerw dla wzrostu publiczności, a należy go "zrobić dla * uśmiechniętych"?
            Dlaczego w ogóle jest numer telefonu i że posłaniec powinien zrobić z numerem telefonu?