Dom / Rada/ Jak ukryć dane w strumieniach NTFS. Cechy systemu plików NTFS

Jak ukryć dane w strumieniach NTFS. Cechy systemu plików NTFS

W tym temacie przyjrzę się czterem rodzajom metadanych, które można dołączyć do pliku lub katalogu za pomocą system plików NTFS... Opiszę cele, do których można wykorzystać ten lub inny rodzaj metadanych, podam przykład ich zastosowania w dowolnej technologii Microsoft lub oprogramowaniu firm trzecich.

Porozmawiamy o punktach ponownej analizy, identyfikatorach obiektów i innych typach danych, które plik może zawierać oprócz swojej głównej zawartości.

Identyfikator obiektu to 64 bajty, które można dołączyć do pliku lub katalogu. Spośród nich pierwsze 16 bajtów umożliwia jednoznaczną identyfikację pliku w woluminie i odwoływanie się do niego nie za pomocą nazwy, ale identyfikatora. Pozostałe 48 bajtów może zawierać dowolne dane.

Identyfikatory obiektów istnieją w NTFS z Czasy Windows 2000. W samym systemie służą do śledzenia lokalizacji pliku, do którego odwołuje się skrót (.lnk). Załóżmy, że plik, do którego odwołuje się skrót, został przeniesiony w obrębie woluminu. Po uruchomieniu skrótu i tak się otworzy. Specjalny serwis Windows jeśli plik nie zostanie znaleziony, spróbuje otworzyć plik nie według jego nazwy, ale według wcześniej utworzonego i zapisanego identyfikatora. Jeśli plik nie został usunięty i nie opuścił woluminu, otworzy się, a skrót ponownie wskaże plik.

Identyfikatory obiektów zostały użyte w technologii iSwift wersji Kaspersky Anti-Virus 7. Ta technologia jest opisana w następujący sposób: Technologia jest przeznaczona do pilnika Systemy NTFS... W tym systemie każdemu obiektowi przypisywany jest identyfikator NTFS. Ten identyfikator jest porównywany z wartościami specjalnej bazy danych iSwift. Jeśli wartości bazy danych z identyfikatorem NTFS nie zgadzają się, obiekt jest skanowany lub ponownie sprawdzany, jeśli został zmieniony.

Jednak nadmiar utworzonych identyfikatorów powodował problemy ze skanowaniem dysku standardowym narzędziem kontrole chkdsk, trwało to zbyt długo. W kolejnych wersjach Kaspersky Anti-Virus identyfikator obiektu NTFS nie jest już używany.

Punkt wymiany

W systemie plików NTFS plik lub katalog może zawierać punkt ponownej analizy, który jest tłumaczony na język rosyjski jako Punkt wymiany... Do pliku lub katalogu dodawane są specjalne dane, plik przestaje być zwykłym plikiem i tylko specjalny sterownik filtru systemu plików może go przetworzyć.

W systemie Windows istnieją punkty ponownej analizy, które może obsłużyć sam system. Na przykład system Windows implementuje dowiązania symboliczne i punkty połączenia poprzez punkty ponownej analizy, a także punkty montowania woluminów do katalogu.
Bufor ponownej analizy dołączony do pliku to bufor o maksymalnym rozmiarze 16 kilobajtów. Charakteryzuje się obecnością znacznika, który informuje system, jaki jest typ punktu ponownej analizy. Korzystając z bufora ponownej analizy własnego typu, musisz również określić w nim identyfikator GUID w specjalnym polu i może on nie być obecny w buforach ponownej analizy firmy Microsoft.

Jakie są rodzaje punktów naprawczych? Wymienię technologie, które wykorzystują punkty ponownej analizy.Są to Single Instance Storage (SIS) i Cluster Shared Volumes w Windows Storage Server 2008 R2, Hierarchical Storage Management, Distributed File System (DFS), Strona główna systemu Windows Rozszerzenie dysku serwera. Są to technologie firmy Microsoft; nie ma tu technologii innych firm, które wykorzystują punkty ponownej analizy, chociaż są pewne.

Rozszerzone atrybuty

Rozszerzone atrybuty plików... O nich było. Warto w tym miejscu wspomnieć tylko, że ta technologia praktycznie nie jest używana pod Windowsem. Od tego, którego znam oprogramowanie tylko Cygwin używa rozszerzonych atrybutów do przechowywania uprawnień POSIX. Pojedynczy plik w systemie NTFS może mieć albo rozszerzone atrybuty, albo bufor punktu ponownej analizy. Jednoczesna instalacja obu jest niemożliwa. Największy rozmiar wszystkich atrybutów rozszerzonych dla jednego pliku wynosi 64 KB.

Alternatywne strumienie danych

Dodatkowe strumienie plików. Zapewne wszyscy już o nich wiedzą. Wymienię główne cechy tego typu metadanych: nazewnictwo (czyli plik może mieć kilka strumieni, a każdy ma swoją nazwę), bezpośredni dostęp z systemu plików (można je otwierać za pomocą formatu „nazwa pliku, dwukropek, nazwa strumienia”), nieograniczony rozmiar , możliwość uruchomienia procesu bezpośrednio z wątku (i możliwość implementacji za jego pośrednictwem).

Używany w technologii iStream programu Kaspersky Anti-Virus. Są używane w samym systemie Windows, na przykład podczas pobierania pliku z Internetu dołączany jest do niego strumień Zone.Identifier, zawierający informacje o tym, skąd został odebrany ten plik... Po uruchomieniu pliku wykonywalnego użytkownik może zobaczyć komunikat „Nie można zweryfikować wydawcy. Czy na pewno chcesz uruchomić ten program? ”.

Więc użytkownik jest podany dodatkowa ochrona z bezmyślnego uruchamiania programów pozyskanych z Internetu. To tylko jedno zastosowanie dla strumieni i mogą one przechowywać szeroką gamę danych. Wspomniany wcześniej Kaspersky Anti-Virus przechowywał tam sumy kontrolne każdego pliku, ale później ta technologia również została z jakiegoś powodu porzucona.

Coś jeszcze?

Czy jest jeszcze coś identyfikator bezpieczeństwa, plus standardowe atrybuty plików, które nie są bezpośrednio dostępne, mimo że są również zaimplementowane jako strumienie plików. A one, rozszerzone atrybuty, reparse i identyfikator obiektu są strumieniami plików z punktu widzenia systemu. Nie ma sensu bezpośrednio zmieniać SEC, co widać na poniższym obrazku jako :: $SECURITY_DESCRIPTOR, niech zrobi to system. Sam system nie zapewnia bezpośredniego dostępu do innych rodzajów strumieni. Więc to jest to.

Za pomocą programu możliwe jest przeglądanie zawartości identyfikatora obiektu, punktów reparse, a także praca z rozszerzonymi atrybutami i alternatywnymi strumieniami plików

Widocznie niewidoczny

Czytnik blogów Victor nie mógł uruchomić skryptu PowerShell pobranego z Internetu. Uważne przeczytanie moich instrukcji pozwoliło uniknąć problemu, ale nie było to zakorzenione w ścisłych zasadach bezpieczeństwa PowerShell.

Victor pobrał z galerii TechNet archiwum za pomocą skryptu PSWindowsUpdate.zip dla Zarządzanie Windows Aktualizacja, o której mówiłem. Jednak rozpakowany skrypt odmówił działania. Kiedy zasugerowałem czytelnikowi, że pierwszy akapit mojej instrukcji mówi o konieczności odblokowania archiwum, wszystko poszło jak w zegarku.

Victor poprosił o wyjaśnienie, dlaczego system zablokował skrypt i skąd wie, że archiwum zostało pobrane z innego komputera.

Szczerze mówiąc dzisiejszy temat nie jest nowy, ale postanowiłem opisać go na swoim blogu z kilku powodów:

Wiele artykułów zostało napisanych z powrotem w Czasy Windows XP lub Windows 7 i nie uwzględniają wbudowanych możliwości nowszych systemów operacyjnych Microsoft.
W jednym z zaplanowanych na najbliższą przyszłość artykułów poruszono ten temat i łatwiej jest mi odwołać się do materiału, za aktualność i poprawność, za który sam jestem odpowiedzialny.
Blog ma liczną publiczność, a dla wielu czytelników ten temat nadal będzie nowością :)

Dziś w programie

Strumienie danych NTFS

System Windows pobiera informacje o źródle pliku z alternatywnego strumienia danych (ADS) systemu plików NTFS. We właściwościach pliku skromnie pisze, że jest z innego komputera, ale w rzeczywistości wie trochę więcej, jak zobaczycie dalej.

Z perspektywy NTFS plik jest zbiorem atrybutów. Zawartość pliku to atrybut danych o nazwie $ DATA. Na przykład plik tekstowy z wierszem „Hello, World!” ma atrybut danych „Hello, World!”

W NTFS atrybut $ DATA jest strumieniem danych i jest nazywany podstawowym lub nienazwanym, ponieważ ... nie ma nazwy. Formalnie wygląda to tak:

$ DANE: ""

$DANE- Nazwa atrybut
: - ogranicznik
"" - Nazwa pływ(w tym przypadku brakuje nazwy - nie ma nic między cudzysłowami)

Interesujące cechy alternatywnych strumieni danych

W kontekście powyższych przykładów chcę wskazać kilka interesujących punktów.

Niewidoczne zmiany

Po utworzeniu pliku tekstowego za pomocą pierwszego polecenia możesz go otworzyć w Edytor tekstu i upewnij się, że wszystkie dalsze manipulacje nie wpływają w żaden sposób na zawartość pliku.

Ciekawie robi się, gdy plik zostanie otwarty, powiedzmy, w Notepad ++. Ten edytor może ostrzegać o zmianach w plikach. I zrobi to, gdy napiszesz alternatywny strumień do pliku, ale zawartość pozostanie taka sama!

Nagrywaj i przeglądaj reklamy z CMD

ADS można tworzyć i wyświetlać z wiersza poleceń. Poniższe polecenia zapisują ukryty tekst w drugim ADS o nazwie MyStream2, a następnie wyświetlają go.

Echo ukryty tekst> C: \ temp \ test.txt: MyStream2 więcej< C:\temp\test.txt:MyStream2

Przeglądanie reklam w edytorach tekstu

Ten sam Notepad ++ pokaże ci zawartość ADS, jeśli podasz nazwę strumienia w wierszu poleceń

„C:\Program Files (x86)\Notatnik++\notepad++. Exe” C:\temp\test.txt: MyStream1

Wynik:

W przypadku notatnika ta sztuczka zadziała tylko wtedy, gdy na końcu nazwy strumienia znajduje się .tekst... Poniższe polecenia dodają trzeci ADS i otwierają go w notatniku.

Echo ukryty tekst> C: \ temp \ test.txt: MyStream3.txt notatnik C: \ temp \ test.txt: MyStream3.txt

Wynik:

Blokowanie pobranych plików

Wróćmy do pytania, które zadał mi czytelnik. To, czy plik zostanie zablokowany, zależy przede wszystkim od programu, w którym został pobrany, a po drugie od parametrów systemu operacyjnego. Tak więc wszystkie nowoczesne przeglądarki obsługują blokowanie i są one zawarte w systemie Windows.

Pamiętaj, że gdy archiwum jest zablokowane, wszystkie rozpakowane pliki zostaną zablokowane. Pamiętaj też, że ADS to funkcja NTFS, tj. blokowanie nie występuje podczas zapisywania lub rozpakowywania archiwum w systemie FAT32.

Wyświetl informacje o źródle zablokowanego pliku

W PowerShell przejdź do folderu z pobranym plikiem i zobacz informacje o wszystkich strumieniach.

Get-Item.\PSWindowsUpdate.zip -Stream * Nazwa pliku: C: \ Users \ Vadim \ Downloads \ PSWindowsUpdate.zip Długość strumienia ------ ------: $ DATA 45730 Zone.Identifier 26

Jak już wiesz, $Data to zawartość pliku, ale na liście pojawia się również ADS. Strefa.Identyfikator... To wyraźna wskazówka, że plik został odebrany z jakiejś strefy. Czy wiesz, skąd pochodzi ten obraz?

Aby poznać strefę, musisz przeczytać zawartość ADS.

Pobierz zawartość. \ PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId = 3

Oczywiście ma to na celu odblokowanie wsadowe (na przykład, gdy archiwum jest już rozpakowane). Poniższe polecenie odblokuje w folderze Pobrane wszystkie pliki zawierające w nazwie PS:

Katalog C: \ Pliki do pobrania \ * PS * | Odblokuj plik

Oczywiście istnieją różne rodzaje narzędzi z interfejs graficzny, nawet tych, którzy wiedzą, jak się zintegrować z menu kontekstowe... Ale moim zdaniem PowerShell lub w najgorszych streamach wystarczy.

Jak zapobiec blokowaniu plików

Za blokowanie odpowiada polityka grupy Nie przechowuj informacji o strefie pochodzenia załączników. Jak sama nazwa wskazuje, blokowanie jest standardowym zachowaniem systemu Windows, a polityka pozwala to zmienić.

Jednak z nazwy nie wynika jasno, że polityka wykracza poza załączniki pocztowe, ale także pliki pobrane z Internetu. Przeczytaj więcej o Menedżerze załączników w KB883260.

W wydaniach domowych redaktora zasady grupy nie, ale nikt nie anulował rejestru: SaveZoneInformation.zip.

Inne przykłady praktycznych zastosowań ADS

Zakres ADS nie ogranicza się do dodania strefy pobranego pliku, tak jak nie jest konieczne przechowywanie w ADS tylko tekstu. Każdy program może używać tej funkcji NTFS do przechowywania dowolnego rodzaju danych, więc podam tylko kilka przykładów z różnych obszarów.

Infrastruktura klasyfikacji plików

o autorze

Ciekawe rzeczy, dzięki. Dowiedziałem się czegoś nowego o PowerShellu, o którym wciąż niewiele wiem :)

Do komunikacji z rodziną często korzystam z WhatsAppa – do tej pory z tą usługą było najmniej problemów, nawet moi rodzice się do niej przyzwyczaili. Kontakt jest również głównie dla rodziny, chociaż wymiana wiadomości odbywa się tam głównie wokół publikowanych albumów ze zdjęciami i filmami. Niektórzy krewni pozostają wierni Viberowi – jakoś mi to nie wyszło, po prostu je dla nich trzymam, nie rezygnując z prób przeciągnięcia ich na WhatsApp.

Do pracy głównie Slack, gdy czymś pilnym jest WhatsApp, bardzo pilnym jest SMS. VKontakte do komunikacji ze światem zewnętrznym.

Używam Skype'a tylko do rozmów wideo, głównie z rodziną. Chętnie zastąpiłbym go WhatsApp, gdyby były rozmowy wideo.

uryks

Viber ma teraz rozmowy wideo, a nawet rozmowy wideo w wersji na komputery. Więc może Viber będzie kolejnym skype'em… w dobry sposób

Andriej Kuzniecow

Materiał jest ciekawy, dzięki. Wiedziałem o istnieniu wątków, ale nie wiedziałem, że tak łatwo jest z nimi pracować przez PowerShell.
Jeśli chodzi o komunikator: Jeśli chodzi o Skype, mam tylko skargi dotyczące godziny uruchomienia telefon Windows... Nie ma takiego problemu na iPadzie i Windowsie. Używam go do komunikacji głosowej, gdy z jakiegoś powodu korzystanie z GSM jest niewygodne.
Oraz korespondencja przez Whatsapp. Obecność go tylko w telefonie to raczej plus z punktu widzenia prywatności.

Andriej Kuzniecow: I korespondencja przez Whatsapp. Obecność go tylko w telefonie to raczej plus z punktu widzenia prywatności.

Andrey wyjaśnij jaki jest plus tutaj

Pawłowski Roman

1. Najczęściej używam: Skype i Hangouts - do pracy na komputerze, do reszty korespondencji VKontakte z dowolnego urządzenia, ponieważ klienci zwykle używają Skype'a do pracy oraz przyjaciół i znajomych w sieciach społecznościowych.

2. Idealnie chciałbym użyć: Jabber - do korespondencji i połączeń z dowolnego urządzenia. Jak dla mnie klienta można zainstalować na dowolnym urządzeniu i korespondować, gdziekolwiek użytkownik jest, nawet przy słabym łączu internetowym + do tego można wdrożyć własny serwer jabber i przechowywać całą korespondencję na serwerze, dzięki czemu później można szybko znaleźć żądaną korespondencję, jeśli klient nie wie, jak przechowywać historię, a wtyczki do połączeń przez jabber można znaleźć (np. przez ten sam SIP Asterisk 1.8+)

Andriej Bajatakow

Najczęściej używam WhatsApp (głównie do pracy), do rozmów (audio/wideo/rozmowy międzynarodowe) Skype. Choć desktopowy Skype strasznie wkurza (mam transformator i w domu używam go głównie jako tablet)... Viber się nie zapuścił. Aby zadzwonić przez WhatsApp, wystarczy mieć żelazne nerwy. Powiedz coś swojemu rozmówcy i poczekaj minutę lub dwie, kiedy cię usłyszy (połączenie 50Mbit) ...
Możliwe byłoby całkowite przełączenie się na Skype. W systemie Windows 10 Mobile po ostatniej aktualizacji wiadomości ze Skype'a trafiają bezpośrednio do wbudowanej aplikacji Wiadomości (np. SMS), co jest bardzo wygodne.

Maksyma

1. Niechętnie używam ICQ (dla klientów retrograde) i Slacka (dla bardziej nowoczesnych).
2. Chciałbym użyć Jabbera - z tych samych powodów, co Roman Pavlovsky powyżej.

Władimir Kiriuszyn

Witaj Vadim!
Przed tym artykułem przeczytałem Twój artykuł o tym, jak czytać raport o kasie ze wszystkiego dysk systemowy za pomocą polecenia chkdsk. Świetny artykuł! Dzięki niej dzisiaj po sprawdzeniu dysku systemowego poleceniem chkdsk otrzymałem plik raportu tekstowego. W tym artykule wyjaśniono również wiele rzeczy w Program PowerShell... Pewne rzeczy są dla mnie jako emeryta niezrozumiałe, ale staram się nie wpadać w panikę i pilnie czytać do końca. Dziękujemy za naukę u nas! Wszystkiego najlepszego!

Lecron

Jakie przeglądarki i programy pobierające tworzą ten strumień?

Jakie są inne możliwości korzystania ze strumieni przez użytkownika? A w szczególności użytkownik scenarzysty? Bo choć wiedziałem o nich od dawna, nigdy ich nie używałem. W prawdziwej pracy z komputerem po prostu o nich nie pamiętasz, przez co możesz robić kule zamiast wygodne narzędzie, ale bez tej pracy, z pamięci, nie da się niczego wymyślić.
Myślałem tylko o jednej opcji. Komentarz do pliku w przypadku braku możliwości lub chęci wpisania długiego tekstu w nazwie pliku. Wymaga to jednak wsparcia menedżera plików, który wcześniej, a nawet teraz, zapisuje je do descript.ion lub files.bbs.

Guru prędkości

Kolejna technologia śmieciowa, taka jak magazyn USN. Ile odniesiesz korzyści z ZoneIdentifier lub wirusa dołączonego do pliku lub folderu? Oczywiście nie. Co więcej, jest to zaśmiecanie systemu niepotrzebnymi „podtekstami”, które w żaden sposób nie są potrzebne zwykłemu użytkownikowi. Każdy dodatkowy odczyt w katalogu MFT i inne operacje towarzyszące konserwacji i konserwacji strumieni alternatywnych to dodatkowe zużyte cykle procesora, pamięć o dostępie swobodnym, a co najważniejsze, dodatkowe obciążenie dysku twardego.
Możesz mi powiedzieć, że system naprawdę potrzebuje tej technologii. Ale to bzdura - system działałby dobrze bez wątków. Ale nikt nie pyta użytkownika - zostali zmuszeni (jak dziennik USN) i nie dali możliwości całkowitego wyłączenia obsługi tych strumieni. Ale ja jako użytkownicy wcale ich nie potrzebuję, myślę, że tak samo jak ty...
Wszystko, co możemy zrobić, to "streams -s -d% systemdrive%". Ale nawet to nie umożliwia usunięcia wątków na partycji systemowej.

Alexiz kadev

Nazwane strumienie to świetna rzecz i istniały, o ile pamiętam, od pierwszego wydania NTFS. W nazwanych strumieniach wygodnie jest przechowywać np. wersje dokumentów, co, o ile się nie mylę, zrobiło wiele aplikacji. Ale pozostaje zasadzka z kopiowaniem do innego systemu plików - nazwane strumienie są po prostu odcinane.

Szkoda, że nie udało się wybrać kilku komunikatorów w systemie głosowania: korzystam z kilku, bo niektórzy z moich kontaktów preferują pewne. Używam więc WhatsUp, ICQ (choć oczywiście nie natywnego klienta), Skype'a, SkypeforBusiness (cichy horror, nie klienta, jednak jak się nazywał Lync, było jeszcze gorzej) i Vibera (tu jest więcej spamu niż w innych przynajmniej raz na 5).
A najlepiej użyć takiego, jak Miranda z wtyczkami, ponieważ po prostu nierealne jest znalezienie w razie potrzeby, kto powiedział / napisał coś, gdzie iw całej tej kupie. Ale niestety, wielu producentów zamyka swoje protokoły i chroni je jako Kaschey swoją igłę.

Władimir Kokariew

VSh

Vadim Sterkin: Roman, Jabbera nie uwzględniłem w ankiecie. Uznałem, że bardzo niewiele osób z niego korzysta i nie ma perspektyw.

Na próżno
Na przykład używam OpenFire (freeware xmpp) jako komunikatora biurowego na wielu domenach.

Dlatego moim głównym jest XMPP (Pidgin.exe, Spark.exe), ale 99,8% tych wiadomości to wiadomości wewnątrzdomenowe.
Skype — dla zewnętrznych komunikatorów
WhatsApp i Viber - dla "losowych kontaktów", przez ostatnie n miesięcy tylko SPAM, myślę - czy powinienem go usunąć?

Artem

Z jakiegoś powodu wszystko jest w moim klimacie. A jakość połączenia jest całkiem zadowalająca. I tak będą telegramy. Tak, pusto tam.

hazet

1. Skype (na PC) i Viber (na telefonie komórkowym). Powody są w zasadzie takie same jak dla większości - liczba istniejących kontaktów i oczywiście niechęć tych kontaktów do przełączenia się na innego komunikatora.
2.uToks. Miniaturowy, nic zbędnego, klient dla Win, Linux, Mac i Android. Umieszczony jako chroniony.
PS Teraz zacznę mocniej przyciągać do niego kontakty :-)

Jewgienij Karełow

Dziękujemy za Twoją pracę!

Jeśli chodzi o ankietę, na komputerze PC do korespondencji używam QIP 2012, do którego podłączone są kontakty z ICQ, VKontakte i innych. Osobiście wygodnie jest mi używać jednego programu do komunikacji przez kilka protokołów. A możliwość przeglądania kanałów mediów społecznościowych z jednego miejsca jest bardzo zachęcająca. W idealnym przypadku brakuje tylko obsługi Skype'a, którego używam do komunikacji głosowej, ale oczywiście się nie pojawi.
Mimo że ten program wygląda na „porzucony”, bo od dawna nie było żadnych aktualizacji, to doskonale wykonuje przypisane funkcje.

strafer

Ciekawy miszmasz z tematu postu o strumieniach danych i odpytywaniu komunikatorów.

Według sondażu: Jabber / Jabber, których nie powinieneś był umieszczać na liście, chociaż istnieje WhatsApp oparty na XMPP, a nawet poszukiwanie sukcesu.

Jabber ogólnie rozwiązuje wszystkie te problemy dzięki otwartości protokołu, obecności klientów na wiele platform i obecności serwerów, które możesz samodzielnie podnieść. Ale żucie kaktusów jest bardziej tradycyjne, tak.

Lista klientów, a nie protokołów.
ICQ… no cóż, nie umieściłem tam emotikonów, bo i tak powinno być jasne.
Jabber nie rozwiązuje dokładnie jednego problemu – nikogo tam nie ma.
- strafer
  
  Vadim Sterkin: Lista klientów, a nie protokołów.
  
  Ze względu na to, że protokół i kody źródłowe oficjalny klient jest zamknięty, między jedynym klientem a protokołem ustalana jest naturalna tożsamość.
  
  Vadim Sterkin: ICQ... no cóż, nie umieściłem tam emotikonów, bo powinno być jasne.
  
  Zgniłym klockom nie wystarczy, że asechka umiera śmiercią naturalną - dokładają też dodatkowych starań, aby szybciej się zginała.
  
  Vadim Sterkin: Jabber nie rozwiązuje dokładnie jednego problemu - nikogo tam nie ma.
  
  Niemniej jednak w przypadku Telegramu sam napisałeś
  
  wygląda świetnie, ale jest pusty (możliwy do naprawienia)
  
  Jabber miał wszelkie szanse stać się tym, czym jest dzisiaj ekosystem e-mailowy (całkowita otwartość protokołu, możliwość podniesienia swoich serwerów dla każdego i zapewnienia interakcji między serwerami itp.), ale korporacje tego nie potrzebują, co wyraźnie widać na przykładzie odejścia od niego google lub zastrzeżonego Whatsapp.
  - Dla Telegrama - do naprawienia, dla Jabbera - bardzo mało prawdopodobne. Dlatego pierwszy jest na liście, a drugi nie.
    - strafer
      
      Oczywiście Telegram jest stylowy, modny, młodzieńczy i nikt tak fajny jak Pasha Durov nie porusza Jabbera. Jakie są tutaj perspektywy.
      
      Um… wyjdź ze swojego zbiornika teorii spiskowych „cały świat przeciwko wolnemu oprogramowaniu”. Wszystko dużo łatwiej
      
      Jeśli nie jest to jasne, tak dla osoby wygląda pierwsze doświadczenie interakcji z oficjalnie rekomendowanym klientem Jabbera na najpopularniejszej platformie mobilnej.
      
      strafer
    - Niewiele rozumiałem, gdzie w moim komentarzu na temat spisku.
      
      Tak, wszędzie :) Niepowodzenia Jabbera starasz się odpisywać jako niemodne i niemłode, a jego klienci z pierwszego ekranu nie są przystosowani do współczesnej rzeczywistości.
      
      Co powinienem zobaczyć na zrzucie ekranu?
      
      Prośba o podanie numeru telefonu ~~~ O ~

System plików NTFS ma wiele interesujących funkcji, z których jedną jest dostępność alternatywnych strumieni danych (ADS). Ich istotą jest to, że każdy plik w NTFS to zestaw strumieni, w których przechowywane są dane. Domyślnie wszystkie dane znajdują się w strumieniu głównym, ale w razie potrzeby możesz dodać do pliku dodatkowe dane, alternatywne strumienie dane.

Notatka. Alternatywne strumienie danych w systemie NTFS pojawiły się dawno temu, w systemie Windows NT. Zostały stworzone z myślą o kompatybilności z systemem plików HFS, który był następnie używany na MacOS. HFS przechowywał dane plików w dedykowanym strumieniu zasobów.

Pliki w NTFS są podzielone na atrybuty, z których jeden to $DATA lub atrybut danych. Strumienie to dodatkowe właściwości atrybutu $DATA. Domyślnie jest jeden, główny wątek $ DANE: ″ ″... Jak widać nie ma nazwy, dlatego nazywa się anonimowy... Ponadto, jeśli chcesz, możesz na przykład utworzyć dodatkowe, nazwane strumienie. $ DANE: ″ Strumień1 ″... Każdy plik w systemie NTFS może mieć kilka strumieni danych zawierających różne, niepowiązane ze sobą dane.

Wszystkie dane zapisane w pliku domyślnie trafiają do głównego strumienia danych. Po otwarciu pliku widzimy dokładnie główny strumień, podczas gdy alternatywne strumienie są ukryte przed użytkownikiem i nie są wyświetlane w konwencjonalny sposób. Nie można ich zobaczyć standardowe sposoby, chociaż niektóre programy potrafią odczytać dane w nich ukryte. Ponadto do pracy ze strumieniami możesz użyć wiersz poleceń.

Na przykład otwórzmy konsolę i użyjmy polecenia echo, aby utworzyć plik tekstowy streams.txt i zapisać w nim tekst:

echo To jest główny strumień> streams.txt

I za pomocą następującego polecenia napisz tekst w alternatywnym strumieniu stream1:

echo To jest alternatywny strumień> streams.txt: strumień1

Jeśli teraz otworzymy plik streams.txt w dowolnym edytorze tekstu, zobaczymy tylko pierwszy rekord, tekst „To jest strumień alternatywny” pozostanie ukryty. Informacje ukryte w stream1 możesz odczytać za pomocą polecenia:

jeszcze

Alternatywne strumienie można dodawać nie tylko do pojedynczych plików, ale także do katalogów. Na przykład dodajmy alternatywny strumień stream2 zawierający tekst „Ukryj strumień w strumieniach” do bieżącego katalogu Streams:

echo Ukryj strumień w Strumieniu>: strumień2

I wyświetlimy strumień stream2 za pomocą następującego polecenia:

jeszcze<:stream2

Zawartość alternatywnych strumieni można otwierać nie tylko w konsoli. Na przykład Notatnik może również uzyskać dostęp do danych ukrytych w strumieniach, jeśli określisz nazwę alternatywnego strumienia w nazwie pliku oddzieloną dwukropkiem. Powtórzmy poprzedni przykład, zmieniając nieco nazwę strumienia na stream1.txt:

echo To jest alternatywny strumień> streams.txt: stream1.txt

I otwórz alternatywny strumień w notatniku za pomocą polecenia:

notatnik streams.txt: stream1.txt

Notatka. Standardowy Notatnik wymaga rozszerzenia txt w nazwie strumienia, w przeciwnym razie nie będzie mógł go otworzyć. Bardziej zaawansowani edytorzy, na przykład ten sam Notepad ++, mogą wyświetlać zawartość alternatywnego strumienia niezależnie od jego nazwy.

Obecność alternatywnych strumieni w pliku nie jest w żaden sposób wyświetlana w Eksploratorze i innych menedżery plików... Aby je znaleźć, najłatwiej jest użyć polecenia reż / R(zaczynając od Windows Vista), który pokazuje wszystkie strumienie danych, w tym alternatywne.

Możesz pomyśleć, że użycie alternatywnych strumieni ogranicza się do danych tekstowych. Wcale tak nie jest i absolutnie każda informacja może być przechowywana w alternatywnych strumieniach. Stwórzmy dla przykładu plik picture.txt i dodajmy do niego strumień pic1.jpg, w którym umieszczamy obrazek o tej samej nazwie:

echo Obraz> obraz.txt
wpisz zdjęcie1.jpg> zdjęcie.jpg: zdjęcie1.jpg

Tak więc na zewnątrz mamy zwykły plik tekstowy, a do otwarcia obrazu z alternatywnego strumienia w edytor graficzny Malujemy używamy polecenia:

mspaint picture.txt: pic1.jpg

Podobnie możesz dodać dowolne dane do dowolnego typu pliku - dodaj obrazy do plików tekstowych, dodaj informacje tekstowe itp. Co ciekawe, zawartość alternatywna nie zwiększa pozornego rozmiaru pliku, np. dodanie do 1kB plik tekstowy 30 GB wideo HD, eksplorator plików nadal będzie pokazywał rozmiar pliku 1 kB.

Możesz też ukryć się w alternatywnych strumieniach pliki wykonywalne... Na przykład weźmy plik test.txt i dodajmy aplikację Notatnik (notepad.exe) do alternatywnego strumienia note.exe:

wpisz notepad.exe> test.txt: note.exe

Aby uruchomić ukryty notatnik, użyj polecenia:

start. \ test.txt: note.exe

Nawiasem mówiąc, niektóre złośliwe programy wykorzystują tę możliwość, dodając kod wykonywalny do alternatywnych strumieni NTFS.

Narzędzie strumieniowe

Aby pracować z alternatywnymi strumieniami, jest ich kilka narzędzia stron trzecich, na przykład narzędzie konsoli Strumienie z Sysinternals. Może wykryć obecność alternatywnych strumieni i je usunąć. Narzędzie nie wymaga instalacji, wystarczy je rozpakować i uruchomić. Na przykład sprawdźmy obecność strumieni w folderze Strumienie za pomocą polecenia:

Streams.exe -s C: \ Strumienie

I usuń alternatywne strumienie z pliku streams.txt:

Streams.exe -d C: \ Strumienie \ streams.txt

PowerShell

PowerShell wie również, jak pracować z alternatywnymi strumieniami — tworzyć, wykrywać, wyświetlać ich zawartość, a nawet usuwać. Na przykład utwórzmy plik tekstowy:

New-Item -Type file -Path C: \ Streams \ stream.txt

Dodajmy wpis do strumienia głównego:

Set-Content -Path C: \ Streams \ stream.txt -Value ″ Główny strumień ″

I do alternatywnego strumienia o nazwie Drugi:

Set-Content -Path C: \ Streams \ stream.txt -Wartość ″ Drugi strumień ″ - Drugi strumień

Następnie wyświetlimy zawartość głównego

Get-Content -Path C: \ Streams \ stream.txt

i alternatywne strumienie:

Get-Content -Path C: \ Streams \ stream.txt - Stream Second

W celu wykrycia obecności strumieni alternatywnych możesz użyć polecenia:

Get-Item -Path C: \ Strumienie \ stream.txt - Strumień *

I możesz usunąć niepotrzebne strumienie za pomocą polecenia:

Remove-Item -Path C: \ Streams \ streams.txt -Stream *

Stosowanie

Strumienie alternatywne są używane zarówno przez sam system Windows, jak i przez niektóre programy. Na przykład, Internet Explorer dzieli sieć na 4 strefy bezpieczeństwa i podczas wgrywania plików dodaje do nich etykiety zawierające informacje o strefie, z której zostały pobrane.

Etykiety te są przechowywane w strumieniu alternatywnym i reprezentują liczbę od 0 do 4:

Internet (3)
Sieć lokalna (1)
Zaufane witryny (2)
Niebezpieczne strony (4)
Komputer lokalny (0)

Aby to sprawdzić, przejdźmy do folderu pobierania, weź plik pobrany z Internetu i sprawdź go pod kątem alternatywnych strumieni. Jak widać, zawiera strumień o nazwie Strefa.Identyfikator który zawiera linię Identyfikator strefy = 3.

Oznacza to, że plik należy do niezaufanej strefy Internetu i należy zachować ostrożność podczas jego otwierania. Niektóre programy, takie jak Word, odczytują te dane po otwarciu pliku i wyświetlają ostrzeżenie.

Ponadto infrastruktura infrastruktury klasyfikacji plików (FCI) opiera się na wykorzystaniu strumieni alternatywnych. Z programy innych firm alternatywne strumienie używają niektórych oprogramowanie antywirusowe, w szczególności Kaspersky Anti-Virus przechowuje w nich sumę kontrolną uzyskaną w wyniku skanowania.

Jednak korzystanie z alternatywnych strumieni nie ogranicza się do tego, sam możesz wymyślić dla nich dowolne zastosowanie. Na przykład z ich pomocą możesz ukryć dane osobowe przed ciekawskimi oczami. Pliki zawierające alternatywne strumienie można dowolnie kopiować lub przenosić z dysku na dysk, wszystkie strumienie zostaną skopiowane wraz z plikiem.

A jednak, używając alternatywnych strumieni, pamiętaj, że są one sztywno powiązane z systemem plików NTFS. Aby z nich korzystać, pliki muszą znajdować się odpowiednio na dyskach z systemem NTFS, można z nimi pracować tylko pod systemem Windows. Jeśli przeniesiesz plik do innego systemu plików, wszystkie strumienie z wyjątkiem głównego zostaną utracone. Strumienie alternatywne są również obcinane podczas przesyłania plików przez FTP lub podczas wysyłania jako załącznik do wiadomości e-mail.
Pobrane z http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/

Już:
ADS to wbudowana funkcja systemu plików NTFS, której nie można w żaden sposób wyłączyć.

ADS umożliwia dodawanie dowolnych plików do innych plików, a nawet katalogów (!). Sam system operacyjny korzysta z tego od czasu do czasu, dodając strumień „Zone.Identifier” do plików pobieranych z Internetu

Nawiasem mówiąc, Zone.Identifier można edytować, aby pozbyć się ostrzeżeń „ten plik został pobrany z Internetu. Otworzyć w trybie awaryjnym? ”

Możesz dodać strumień do dowolnego pliku w ten sposób:
wpisz plik1> plik2: plik3

Spróbuj znaleźć
reż / r

uruchom exe w ten sposób:
uruchom plik2: plik3

jeśli to nie zadziałało, to w ten sposób:
mklink plik4 plik2: plik3
plik startowy4

To na przykład powiąże kalkulator z dyskiem głównym C (!) I uruchomi go przez link

Zostały wprowadzone w Windows NT 4.0 i były wokół wszystkich potomków (z wyjątkiem potomków win-95: 98, Me). Nadal istnieją w XP, Vista i Win 7. Do widzenia Wersje Windows obsługują NTFS, będą obsługiwać strumienie plików. Będą wspierać NTFS przez długi czas.

Opublikowany przez Ciebie błąd jest opisany na stronie, którą widzisz w swoim pytaniu. Polecenie type nie rozumie strumieni. Stosowanie:

Więcej< 1013.pdf:Zone.Identifier

Praca ze strumieniami

Microsoft ma tylko kilka poleceń, które działają z wątkami, w rzeczywistości tylko< , >pracują ze strumieniami, dlatego można używać tylko poleceń, które mogą współpracować z tymi operatorami przekierowania. Pisałem o tym, jak nadal możesz kontrolować wątki za pomocą tych poleceń.

Strumienie będą działać tylko z programami zaprojektowanymi do pracy z nimi, po prostu dlatego, że muszą być specjalnie obsługiwane (porównaj punkty połączeń oraz funkcję NTFS, ale sterownik ukrywa szczegóły, a programy nie muszą robić nic specjalnego: po prostu liczą rzeczywisty plik punktu połączenia).

Gdy próbujesz otworzyć strumień plików o nazwie start filename: streamname, a program mówi coś w stylu „nielegalna nazwa pliku” lub „nie znaleziono pliku” i masz pewność, że nazwa strumienia jest poprawna, najprawdopodobniej program nie obsługuje strumieni ... Zauważyłem, że Notatnik, Wordpad i Word/Excel działają poprawnie ze strumieniami, chociaż Word i Excel uważają te pliki za niebezpieczne. Poniżej kilka eksperymentów.

UWAGA: uważasz, że alternatywne strumienie danych są dziwne. Są dziwne, ponieważ są tak ukryte, ale wiele głównych systemów plików (HFS, NSS) ma to, a koncepcja sięga wczesnych lat 80-tych. W rzeczywistości strumienie zostały pierwotnie dodane do NTFS w celu interakcji z innymi systemami plików.

Celem tego artykułu jest wyjaśnienie znaczenia
alternatywne strumienie danych
v system operacyjny Okna,
zademonstrować, jak je tworzyć i
skompromitować samochód, jak znaleźć
ukryte pliki używające publicznych
narzędzia. Pierwszym krokiem jest uświadomienie sobie
znaczenie ADS i zagrożenie, jakie stanowią, to
zobaczmy, jak są wykorzystywane do hakowania
i na koniec rozważymy narzędzia
do wykrywania aktywności i jak
zaprzestać dalszej nielegalnej pracy z
im.

Po co?

Dodatkowe strumienie danych pojawiły się w
Windows wraz z NTFS. W rzeczywistości, o ile jestem
Rozumiem, nie było w nich żadnego szczególnego znaczenia – oni
zostały stworzone z myślą o kompatybilności z HFS, stare
System plików Macintosh - Hierarchiczny system plików. Biznes
jest to, że ten system plików używa
zarówno rozwidlenie danych, jak i rozwidlenie zasobów dla
przechowywanie treści. Widelec danych,
odpowiednio odpowiedzialny za treść
dokument i oddział zasobów dla
identyfikacja pliku - jego typ i inne
dane. Do chwili obecnej o istnieniu
dodatkowe strumienie od zwykłych użytkowników
niewiele osób wie. Jednak w świecie komputerów
bezpieczeństwo, które otrzymali pewne
Szerzyć się. Na przykład źli hakerzy
użyj ADS do przechowywania plików na
zhakowane komputery, czasami też
są wykorzystywane przez wirusy i inne złośliwe oprogramowanie. Biznes
ponieważ chodzi o to, że te strumienie nie są
oglądane konwencjonalnymi metodami, to samo
Eksplorator lub wiersz poleceń. Jak
czy te strumienie są interesujące? I fakt, że w przypadku
dochodzenia w sprawie włamań nie zawsze się opłacają
zwróć na nie uwagę, poza tym nie wszystkie antywirusy
domyślnie wyświetlaj strumienie w
szukaj złośliwego oprogramowania.

Do momentu

Aby zrozumieć prawdziwe niebezpieczeństwo
ADS lepiej pokaże, jak z nimi pracować.
W tym przykładzie używamy Metasploit Framework do penetracji
na samochodzie. W tym celu wykorzystujemy podatność
MS04-011 (lsass). Następnie za pomocą TFTP prześlemy pliki,
które umieścimy w dodatkowych strumieniach
dane. Po zakończeniu dnia
uruchom zdalną maszynę z polecenia
skaner ciągów, który przeskanuje sieć w poszukiwaniu
obecność innych samochodów. Notatka,
że autorzy Metasploit Framework udostępnili swoje
kreacja z sygnaturą METASPLOIT, tak aby twórcy
oprogramowanie zabezpieczające może wykryć pakiet
wychodzące z MF. Zwróć uwagę na opakowanie,
pochodzące od atakującego:

Tutaj 192.168.1.102 to komputer atakującego
który ma Metasploit Framework i 192.168.1.101 jest
podatny komputer z Win2K Prof. W tym przypadku oś
dostarczane bez poprawek i pakietów serwisowych,
wyłącznie w celach demonstracyjnych
:). Należy pamiętać, że sam ADS nie jest
zbyt przydatne, naturalnie zachwycają
atakujący tylko wtedy, gdy jest
dostęp do maszyny, luka w systemie w
system operacyjny. W prawdziwej sieci ty
raczej nie znajdziesz niezałatanego W2K, więc
muszę szukać innych zasad
penetracja.

Poniżej widzimy, że atak był udany i trwał
maszyna atakująca ma otwartą odwróconą powłokę,
rozdawane przez ofiarę. Domyślne dla tego
Luka Metasploit wykorzystuje port 4321,
jednak można to zmienić:

Po spenetrowaniu samochodu musisz się tam przenieść
pliki. Do tego używamy TFTP, w tym
jeśli otrzymamy ipeye.exe.

W ten sam sposób pobierz psexec.exe, pslist.exe i
klogger.exe. Zróbmy listing katalogu C:\Compaq\,
gdzie wszystko przeklinało:

Teraz wypchnijmy ipeye.exe ze strumienia,
powiązane z istniejącym plikiem
plik_testowy.

To samo można zrobić ze strzemionami
inne pliki niezbędne do pracy.
Należy pamiętać, że alternatywa
przepływ można zorganizować nie tylko dla
plików, ale także dla katalogów, te same C: \ k
przykład. Uruchommy skaner, o którym mówimy
mówił na początku, ipeye.exe, na zainfekowanych
komputer:

c: \ Compaq \ plik_testowy: ipeye.exe

(Ciąg dalszy nastąpi)