Menu
Jest wolny
Zameldować się
główny  /  Rada / Używając alternatywnych strumieni NTFS. Alternatywne strumienie danych w NTFS lub jak ukryć Notatnik

Używając alternatywnych strumieni NTFS. Alternatywne strumienie danych w NTFS lub jak ukryć Notatnik

Celem tego artykułu do wyjaśnienia znaczenia
Dodatkowe strumienie danych (alternatywne strumienie danych)
w salach operacyjnych systemy Windows.,
wykazać, jak je stworzyć i
kompromisować samochód, jak go znaleźć
Ukryte pliki za pomocą publicznie dostępnych
narzędzia. Pierwszy krok będzie musiał być świadomy
znaczenie reklam i jakie grozi, a potem
Zobaczmy, jak są używane do hakowania
I wreszcie rozważ narzędzia
Wykryć aktywność i jak
zatrzymać dalszą nielegalną pracę
z nimi.

Po co?

Pojawiły się dodatkowe strumienie danych
Windows z NTFS. W rzeczywistości tak daleko jak ja
Rozumiem, nie było w nich konkretnego punktu - oni
zostały wykonane do kompatybilności z HFS, starym
System plików Macintosh - Hierachical Plik System. Biznes
że ten system plików używa
zarówno oddział danych, jak i oddział zasobów
Przechowywanie treści. Oddział
W związku z tym odpowiedzialny za treść
Dokument i oddział zasobów
Identyfikacja plików - jego typ i inne
dane. Do tej pory istniejące
Dodatkowe strumienie od zwykłych użytkowników
Niewielu ludzi wie. Jednak w świecie komputera
bezpieczeństwo, które mają pewne
Rozpiętość. Na przykład złe hakerzy
Użyj reklam, aby przechowywać pliki
zhakowane komputery, a także czasami
Stosować wirusy i inne złośliwe oprogramowanie. Biznes
W końcu wszystko jest takie, że strumienie nie są
oglądane przez konwencjonalne metody, takie same
Dyrygent lub przez wiersz polecenia. Niż
Czy te strumienie są interesujące? I co w przypadku
Badania hakowania nie zawsze płacą
Uwaga na nich, poza tym, a nie wszystkie antywirusy
Domyślnie przejrzyj strumienie
Szukaj złośliwego oprogramowania.

Do biznesu

Aby zrozumieć prawdziwe niebezpieczeństwo
Reklamy lepiej demonstruje z nimi pracę.
W przykładzie stosowanie ram metasploit penetruje
na samochodzie. W tym celu używamy podatności
MS04-011 (LSASS). Następnie za pomocą plików wypełnienia TFTP,
który i umieścić w dodatkowych strumieniach
dane. Jak tylko zostanie zakończony
Remote Machine Uruchom z polecenia
skaner wierszy, na którym skanuje sieć
Dostępność innych maszyn. Uwaga,
że autorzy metasploitów pod warunkiem ich
Metasploit podpisu stworzenia, aby twórcy
Programy ochronne mogą określić pakiet
Wychodzący od MF. Zwróć uwagę na pakiet,
Wychodzący od atakującego:

Tutaj 192.168.1.102 Atakujący PC
który jest ramami metasploitów, a 192.168.1.101 -
Wrażliwy komplet z Win2K Prof. W tym przypadku oś
Ustaw bez łatek i sparów serwisowych,
Wyłącznie do celów demonstracyjnych
:). Należy pamiętać, że same reklamy nie są
zbyt przydatne, naturalnie proszę
atakujący tylko wtedy, gdy jest
Dostęp do samochodu, podatność na system
system operacyjny. W tej sieci
Jest mało prawdopodobne, aby nie znalazł rozblazła W2K, więc
będzie musiał szukać innych zasad
penetracja.

Poniżej widzimy, że atak powiódł się
maszyna do ataku jest otwarta odwracalna skorupa,
Dostarczony. Domyślnie dla tego
Luki w metasploit używać portu 4321,
Jednak można go zmienić:

Przenikający samochód powinien być tam minęły
Akta. Aby to zrobić, użyj TFTP, w tym
Przypadku otrzymujemy iPheye.exe.

W ten sam sposób pobieramy psexec.exe, plax.exe i
Klogger.exe. Wykonajmy listę katalogu C: Compaq,
Gdzie wszystko zawalało:

Strzelać teraz ipeye.exe z strumieniem,
związane z istniejącym plikiem
Test_file.

Wtedy to samo można zrobić i mieszać
Potrzebne inne pliki.
Zauważ, że alternatywę
strumień może być zorganizowany nie tylko dla
Pliki, ale także do katalogów, ten sam C:
Przykład. Uruchom skaner o którym my
mówił na początku, ipeye.exe, na zainfekowany
Komputer:

c: Compaq Test_file: ipeye.exe

(Ciąg dalszy nastąpi)

System plików NTFS ma wiele ciekawych możliwości, z których jedna jest obecność alternatywnych strumieni danych (alternatywny strumień danych, reklamy). Istotą z nich jest to, że każdy plik w NTFS jest zestawem wątków, w których przechowywane są dane. Domyślnie wszystkie dane są głównie strumieniem, ale w razie potrzeby można dodać dodatkowe dane, alternatywne strumienie danych.

Uwaga. Alternatywne przepływy danych w NTFS pojawiły się dawno temu, nawet w Windows NT. Zostały one stworzone do kompatybilności z systemem plików HFS, który jest używany w systemie MacOS. HFS utrzymywał dane dotyczące pliku w specjalnym strumieniu zasobów.

Pliki w NTF są podzielone na atrybuty, z których jeden to $ Data lub atrybut danych. Strumienie są dodatkowymi właściwościami atrybutu danych $. Domyślnie jest jeden, główny strumień $ DATA: "". Jak widać, nie ma nazwy, więc nazywa się niezręczny. W razie potrzeby można również utworzyć dodatkowe, nazwane strumienie, na przykład. $ DATA: "Stream1". Każdy plik w NTFS może mieć kilka strumieni danych zawierających różne dane w jakikolwiek sposób.

Wszystkie dane nagrane w pliku są domyślnie dla głównego strumienia danych. Gdy otworzymy plik, widzimy dokładnie główny strumień, alternatywne strumienie są ukryte od użytkownika i nie są wyświetlane za pomocą konwencjonalnych agentów. Nie można zobaczyć standardowe metodyChociaż niektóre programy są w stanie przeczytać ukryte w nich dane. Również, aby pracować z wątkami, możesz użyć wiersza polecenia.

Na przykład otwórz konsolę i za pomocą polecenia ECHO zostanie utworzone. plik tekstowy Streams.txt i zapisuj tekst:

echo To jest główny strumień\u003e Streams.txt

A następny zespół napisze tekst do alternatywnego strumienia strumienia1:

echo Jest to alternatywny strumień\u003e Streams.txt: Stream1

Jeśli teraz otworzysz plik strumienia.txt w dowolnym edytor tekstu, zobaczymy tylko pierwszy rekord, tekst "Jest to alternatywny strumień" pozostanie ukryty. Aby przeczytać ukryte w strumieniu Stream1, możesz polecenie:

jeszcze

Alternatywne strumienie można dodać nie tylko do poszczególnych plików, ale także do katalogów. Na przykład dodaj alternatywny strumień strumienia strumienia zawierający tekst "Ukryj strumień w strumieniach" do aktualnych strumieni:

echo Ukryj strumień w strumieniach\u003e: Stream2

I wycofaj strumień strumienia strumienia przez następne polecenie:

jeszcze<:stream2

Zawartość alternatywnych strumieni można otworzyć nie tylko w konsoli. Na przykład Notatnik wie, jak uzyskać dostęp do danych ukrytych w strumieniach, jeśli określisz nazwę alternatywnego strumienia w nazwie pliku przez COLON. Powtarzamy poprzedni przykład, zmieniając nazwę strumienia na Stream1.txt:

echo To jest alternatywny strumień\u003e Streams.txt: Stream1.txt

I otwórz alternatywny strumień w zespole notebooka:

notepad Streams.txt: Stream1.txt

Uwaga. Standard Notatnik wymaga rozbudowy TXT w nazwie przepływu, w przeciwnym razie nie będzie w stanie go otworzyć. Więcej zaawansowanych redaktorów, takich jak ta sama notatnik ++, może pokazywać zawartość alternatywnego strumienia niezależnie od jego nazwy.

Obecność alternatywnych strumieni z pliku nie jest wyświetlana w przewodniku i innych menedżerowie plików. Aby je znaleźć, najłatwiejszym sposobem jest użycie zespołu. dir / R.(Począwszy od Windows Vista.), który pokazuje wszystkie strumienie danych, w tym alternatywę.

Możesz wydawać, że stosowanie alternatywnych strumieni jest ograniczone do danych tekstowych. To wcale wcale i alternatywne strumienie można przechowywać absolutnie wszelkie informacje. Na przykład utwórz plik Picture.txt i dodaj strumień PIC1.jpg do niego, w którym obraz tej samej nazwy to:

echo Picture\u003e Picture.txt
Wpisz pic1.jpg\u003e Picture.jpg: pic1.jpg

Tak więc, zewnętrznie mamy zwykły plik tekstowy i otworzyć obraz z alternatywnego strumienia edytor graficzny Farba Używamy zespołu:

mspaint Zdjęcie.txt: pic1.jpg

Podobnie, każde dane można dodawać do dowolnych typów plików - dodaj obrazy do plików tekstowych, Dodaj do plików multimedialnych informacje o tekście I tak na temat

Nawet w alternatywnych strumieniach można ukryć pliki wykonywalne. Na przykład weź plik test.txt i dodaj aplikację notebooka (notepad.exe) w alternatywny strumień note.exe:

wpisz notepad.exe\u003e \u200b\u200btest.txt: note.exe

I uruchomić ukryty notebook, używamy zespołu:

start. Test.txt: note.exe

Nawiasem mówiąc, niektóre szkodliwe programy są wykorzystywane przez tę okazję, dodając kodeksowy kod do alternatywy strumienie NTFS..

Strumienie użytkowe.

Aby pracować z alternatywnymi przepływami, istnieje kilka narzędzi trzecich, takich jak konsole strumieniowe narzędzie z SysInternals. Może określić obecność alternatywnych strumieni i usunąć je. Narzędzie nie wymaga instalacji, wystarczy rozpakować go i uruchomić. Na przykład sprawdź obecność strumieni w poleceniu zespołu strumieni:

Streams.exe -s c: strumienie

I usuń alternatywne strumienie z pliku strumieniowego.

Streams.exe -d C: Streams streams.txt

PowerShell.

PowerShell wie, jak pracować z alternatywnymi strumieniami - Utwórz, wykrywanie, wyświetlaj ich zawartość, a nawet usunąć. Na przykład utworzyć plik tekstowy:

Nowy element-Plik -type -Path C: Streams Stream.txt

Dodaj wpis do głównego strumienia:

Set-Content-Path C: Streams Stream.txt -Value "główny strumień"

Iw alternatywnym strumieniu z nazwą sekundę:

Set-Content -Path C: Streams Stream.txt -Value "Drugi strumień" -Strream drugie

Następnie przynosimy zawartość głównego

Get-Content-Path C: Streams Stream.txt

i alternatywne strumienie:

Get-Content-Path C: Streams Stream.txt -stream Second

Aby wykryć obecność alternatywnych strumieni, możesz użyć polecenia:

Get-Item -Path C: Streams Stream.txt -stream *

I możesz usunąć dodatkowe wątki za pomocą polecenia:

Usuń-element -Path C: Streams.txt -stream *

Za pomocą

Alternatywne strumienie są używane zarówno sam system Windows, jak i niektóre programy. Na przykład, Internet Explorer. Dzieli sieć do 4 stref bezpieczeństwa i przy pobieraniu plików dodaje do nich znaczniki, które zawierają informacje o strefie, z której zostały załadowane.

Etykiety te są przechowywane w strumieniu alternatywnym i reprezentują liczbę od 0 do 4:

Internet (3)
Sieć lokalna (1)
Niezawodne strony (2)
Niebezpieczne miejsca (4)
Lokalny komputer (0)

Aby upewnić się, że przenieślimy się do folderu pobierania, weź plik pobrany z Internetu i sprawdź go do alternatywnych strumieni. Jak widać, jest strumień z nazwą Strefa.dentifier.W którym znajduje się ciąg Zoneid \u003d 3..

Oznacza to, że plik odnosi się do nieokreślonej strefy internetowej, a gdy zostanie odkryta, konieczne jest, aby być ostrożnym. Niektóre programy, takie jak Word, przeczytaj te dane podczas otwierania pliku i podają odpowiednie ostrzeżenie.

Również infrastruktura klasyfikacji plików (klasyfikacja plików infrastruktura, FCI) opiera się na stosowaniu alternatywnych strumieni. Z programy innych firm Alternatywne strumienie używają niektórych programy antywirusoweW szczególności, Kaspersky Anti-Virus przechowuje sumę kontrolną uzyskaną w nich w wyniku sprawdzenia.

Jednak stosowanie alternatywnych strumieni nie ogranicza się do tego, sam możesz wymyślić dowolną aplikację. Na przykład z ich pomocą można ukryć indywidualne informacje z obcych oka. Pliki zawierające strumienie alternatywne mogą być swobodnie skopiowane lub przenoszone z dysku do dysku, wszystkie strumienie zostaną skopiowane razem z plikiem.

A jednak przy użyciu alternatywnych wątków należy pamiętać, że są szczelnie związane z systemem plików NTFS. Aby ich użyć, pliki powinny znajdować się na dyskach z NTFS, odpowiednio pracować z nimi tylko z okien. Jeśli przenosisz plik do dowolnego innego system plikówWszystkie przepływy z wyjątkiem głównego zostaną utracone. Również alternatywne strumienie są przycięte podczas przesyłania plików do FTP lub wysyłki jako załącznik pocztowy.
Zaczerpnięte z http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/

Jeszcze:
Reklamy - wbudowany plik fishka systemy NTFS.który nie może być w żaden sposób wyłączony.

ADS umożliwia dodawanie dowolnych plików do innych plików, a nawet katalogów (!). OS sama jest okresowo używa, dodając plik "Zone.dentifier" pobrany z Internetu

Strefa.dentifier może, tak przy okazji, edytować, aby pozbyć się ostrzeżeń "Ten plik pobrany z Internetu. Otwarty w trybie awaryjnym? ".

Możesz dodać strumień do dowolnego pliku:
Wpisz plik1\u003e file2: file3

spróbuj wykryć
Dir / R.

run EXE tak:
Start plik2: file3

jeśli na pracy, to:
Mklink file4 file2: file3
Uruchom plik4.

To na przykład da kalkulator na dysk z (!) I uruchom go przez link

Artykuł jest napisany na czasopismo "Hacker" w 2004 roku. Wyjechała w pokoju 09/04 (69) zwana "Niszczącymi przepływami".

Przechwytywanie następnego systemu NT i ustanawiając w nim jego domowe oprogramowanie spy, konieczne jest rozwiązanie problemu przechowywania zebranych informacji na komputerze ofiary. Zwykle dziennik jest zapisywany w prostym pliku w katalogu z duża ilość Pliki, na przykład w systemie System32.

Funkcje NTFS.

Jest to powszechne, ale daleko od najlepszym sposobem Ukryj informacje na komputerze lokalnym. Istnieje szansa, że \u200b\u200bużytkownik zauważy dodatkowo, stale aktualizowany plik, który nagle pojawił się w swoim katalogu systemowym. Dodaj dziennik do istniejącego pliku? Najpierw musisz znaleźć taki plik, dodając, do którego informacje nie będą zepsuć jego zawartości. Co z utrzymaniem informacji w takim miejscu, które nie będą widoczne z przewodnika, ani z linii poleceń, ani z żadnego menedżera plików? Ta funkcja zapewnia nam system plików NTFS. Rzadko spotykam się z zwykłą osobą domową, ponieważ większość użytkowników nadal wolą FAT32, nawet tych, którzy siedzą pod Xp. Ale w lokalnej sieci dowolnej firmy pracującej pod Win2K / XP, NTFS jest prawie na pewno używany, ponieważ ten system plików zapewnia funkcje, takie jak przypisanie praw dostępu do użytkowników, szyfrowania i kompresji plików. Ponadto NTFS jest znacznie bardziej niezawodny niż FAT32. Więc metoda ukrywania danych, które opiszę, jest idealny do przemysłowej szpiegostwa. Wraz z pojawieniem się Longhorn NTFS ma szansę na osiedlenie się i na komponentach krajowych, ponieważ nadchodzące system plików WinfS, na podstawie NTFS, obietnice dodatkowe funkcje Aby uzyskać informacje i poszukiwanie informacji, które powinny przyciągać zwykłych użytkowników.

Capping do pliku Dane dane

Metoda jest zapisywania danych nie do pliku, jak zwykle, aw strumieniu pliku NTFS. Strumień może być przymocowany do innego pliku (w tym przypadku jego rozmiar nie zmienia się, a dane pozostają nienaruszone, a zatem narzędzia, które sprawdzają Champs of Pliki nie zauważą zmian) do katalogu lub na dysku. Alternatywne strumienie plików NTFS są jednym z możliwości NTFS, obecne w nim od najwcześniejszego wersje Windows. Nt. Leży w fakcie, że jeden plik może mieć kilka strumieni zawierających dane zawierające tylko wątek, w którym zawartość pliku jest przechowywany. Coś podobnego jest w systemie plików HFS na Macach. Istnieją wątki (strumienie) nazywane są rozgałęzieniem (widelce). Do niedawna były one używane jako repozytorium zasobów plików lub zawierały informacje o rodzaju pliku. Wraz z pojawieniem się MacOS X, zaleca się umieszczenie zasobów oddzielne plikii typy plików do określenia rozszerzeń. Ale wsparcie rozgałęzienia pozostaje i tak pozostaje. W systemie Windows strumienie są zwykle używane do przechowywania dowolnego po więcej informacji O pliku. Na przykład strumień może zawierać podsumowanie dokumentu. Jeśli system znajduje się na dysku z NTFS, plik Explorer.exe prawdopodobnie zawiera podsumowanie. W zależności od zawartości podsumowania, strumienie z nazwiskami podsumowania, dokumentacji dokumentacji, mogą być dołączone do pliku. Na moim komputerze znalazłem strumień o nazwie $ MountmgrremionAdAdabase, przymocowany do napędu C.

Na strumieni dołączony do pliku strumienia może się dowiedzieć tylko w niektórych przypadkach, na przykład podczas kopiowania pliku z załączonym strumieniem do dysku z FAT / FAT32. Te systemy plików nie obsługują ich, więc system da wniosek o potwierdzenie utraty informacji w przepływach, wskazując ich nazwę. Oczywiście sytuacja ta nigdy nie powstała, jeśli wątek jest dołączony do dysku lub do folderu systemowego. Nie jest konieczne używanie strumieni spyware. Jeśli jesteś programistą programów Shareware, możesz łatwo wykorzystać strumienie informacyjnego przepływu, liczba dni przed wygaśnięciem terminu użytkowania, słowo, wszystko, co powinno być ukryte z programu.

Praca z przepływami

W pracy z plikami i strumieniami są podobieństwa i różnice. Wygląda tak bardzo. Zarówno pliki, jak i ich strumienie są tworzone i usunięte przez te same funkcje CreateFile WinAPI i delnetefile. Czytanie i pisanie są wdrażane odpowiednio funkcje odczytu i Writefile. Istnieją podobieństwa na temat tego podobieństwa, wówczas niektóre różnice. W nazwach wątków mogą być zawarte specjalnymi, które nie mogą być częścią nazwy normalnego pliku: takie jak "*", "?", "<”, “>"," | " i symbol cytowania. Ogólnie rzecz biorąc, każda nazwa strumienia jest zapisywana w formacie Unicode. Wciąż można stosować harmonogramy z zakresu 0x01 - 0x20. Nie ma standardowej funkcji kopiowania i transferu strumienia: MOVEFILE i Copyfile nie działają z niciami. Ale nikt nie przeszkadza napisać swoich funkcji. Wątki nie mają własnych atrybutów, tworzenia i dat dostępu. Są odziedziczone z pliku, do którego jest dołączona. Jeśli w samym pliku znajdują się dane, mogą być również reprezentowane jako strumień. Nazwy przepływów są wyświetlane jako "Nazwa pliku: Nazwa wewnętrzna: atrybut". Standardowy atrybut strumienia, w którym dane są nazywane $ DATA. Istnieje wiele innych atrybutów, których nazwy są również zaczynające się od znaku "$". Zawartość pliku znajduje się w bezimiennym strumieniu (nazwa_wymiarowa :: $ Data). Dzięki tej właściwości systemu plików reprezentują zawartość pliku w postaci strumienia, podłączony jest błąd wersje Microsoft. IIS, kiedy haker, który chciał znać tekst skryptu na wrażliwym serwerze, po prostu dodany do jego nazwiska ":: $ Data", a Server, zamiast wykonać skrypt, wydał swój kod źródłowy. Praca ze strumieniami jest podobna do pracy z plikami. Listing 1. Jest to prosty przykład programu, który tworzy plik ze strumieniem i informacjami, które pisze do niego. Po uruchomieniu programu pojawi się pusty plik "testfy" w swoim katalogu. Możesz zobaczyć zawartość załączonego strumienia, wpisując wiersz poleceń "Jeszcze< testfile:stream». Как видишь, имя потока указывается после имени файла, отделенное от него знаком двоеточия. Самое трудное при работе с потоками – это получить их список для конкретного файла. Стандартной функции нет, и поэтому придется писать ее самому. Напишем небольшую program konsoli.który zwróci listę strumieni według nazwy pliku. Taki program jest faceci z Sysinternals, z otwarte źródłoA ona pracuje, ale nie lubiłem ich drogi. Używają natywnych połączeń API, a zatem ich kod jest duży i trudny do zrozumienia. Napiszymy twój prog, który będzie działać z wiersza poleceń, z algorytmem prostszym i standardowymi funkcjami API.

Otrzymujemy listę strumieni

Algorytm opiera się na zastosowaniu funkcji bulgotania. Jest przeznaczony kopia rezerwowa akta. Kiedy to robisz utworzyć kopię zapasową Plik, ważne jest, aby zapisać jak najwięcej danych, w tym strumieni plików. Informacje są pobierane z struktury Win32_stream_id. Stamtąd możesz uzyskać nazwę strumienia, jego rodzaju i rozmiaru. Będziemy potrzebować tylko wątków, takich jak backup_alternate_data. Wszystkie funkcje i struktury opisano w plik nagłówka. Winnt.h. Najpierw musisz otworzyć plik odczytu za pomocą CreateFile. W parametrze DWFLAGSANDATtributes należy określić flagę File_flag_backup_semantics, która pozwoli Ci otworzyć nie tylko pliki, ale także katalogi. Następnie uruchomje cykl, który odczytuje informacje o pliku w strukturze SID, z której otrzymamy informacje o każdym strumieniu. Przed następnym przejściem cyklu wyczyścimy strukturę i przesuwamy wskaźnik pliku do następnego wątku za pomocą funkcji kopii zapasowej. Po znalezieniu wszystkich strumieni czyszczenia LPContext zawierający informacje o usłudze i zamknij plik. Kod źródłowy programu jest wymieniony na liście 2. Już skompilowany PROG można przyjmować z naszego dysku. Aby pracować z przepływami, nie jest konieczne napisanie specjalnych programów. Możesz zrobić coś bezpośrednio z linii poleceń. Na wkładaniu pokazano kilka przykładów.

Wykrycie

Mocowanie przepływu z informacjami, trudno jest dostać się do jego treści, nie znając jego imienia. Jeśli strumień dołączy się do logicznego, nie ma standardowe narzędziawykryć go. Ponieważ nazwa przepływu może zawierać znaki, nieprawidłowe w nazwach zwykłych plików, tworzy dodatkowe trudności, gdy próbujesz znaleźć zawartość strumienia za pomocą wiersza poleceń. Zawartość raportów dokumentów jest zwykle przechowywany w strumieniu z tytułem, który zawiera symbol z kodem 0x05. Ten symbol można wpisać w konsoli (Ctrl + E), ale jeśli był to symbol 0x10 lub 0x13 (wózek zwrotny i tłumaczenie wiersza), a następnie byliby niemożliwe do ich wybierania. Teoretycznie można dowiedzieć się o załączonych strumieniach przez przypadek, używając niektórych oprogramowania, które prawdopodobnie będą miały na komputerze. Winrar ma opcję, a jeśli jest włączony, można zauważyć, że rozmiar małego pliku umieszczonego w archiwum nie tylko nie zmniejsza się, ale nawet wzrasta (ze względu na fakt, że dane w strumieniach są również umieszczane w Archiwum). Może to spowodować podejrzenia. Program do śledzenia połączeń do systemu plików - Filemonitor z tych samych Sysinternals - nie powoduje różnic między plikami lub wątkami. W związku z tym wydaje się uważny badanie dziennika odwołań do dysku podejrzanego programu (Twój Keylogger) i nazwa przepływu, w którym dziennik jest zapisany, a nazwa pliku, do którego jest dołączona.

Wirusy

We wrześniu 2000 r. Nastąpił pierwszy wirus, który używa alternatywnych strumieni plików dla jego dystrybucji. W2K.Stream był pierwszym przedstawicielem nowego typu wirusów - strumienia towarzysza. Szuka plików w swoim katalogu .exe, a jeśli go znajdzie, rozpoczyna proces infekcji. Dodatkowy strumień jest dołączony do pliku, do którego wirus przenosi zawartość oryginalnego pliku, a następnie korpus wirusa jest kopiowany do głównego strumienia pliku. Po uruchomieniu zainfekowanego pliku wirus ponownie próbuje zainfekować pliki w katalogu, a następnie uruchomić program z dodatkowego strumienia. Rzeczywiście, korzystając z funkcji Creastprocess, możesz uruchomić proces ze strumienia. Ponadto plik z strumieniem można spokojnie usunąć, a proces pozostanie. Tylko bajka dla Trojanova! Pomimo faktu, że ponieważ pojawienie się W2K.stream minęło prawie cztery lata, a nie wszystkie antywirusy są w stanie wykryć złośliwy kod W strumieniach plików. Dlatego pojawienie się nowych robaków i wirusów przy użyciu ich może być poważnym niebezpieczeństwem.

Inne wirusy za pomocą wątków

Oprócz W2K.Stream, strumienie znalazły stosowanie w innych wirusach i robakach. PIERWSZA WORMOWANIE STREAMS PLIKÓW BYŁO I-WORM.POTOK. To małe zwierzę mocuje kilka wątków do pliku ODBC.INI w katalogu Windows i przechowuje tam skrypty do wysyłania poczty. Inny wirus jest w2k.team. Opis tych i innych podobnych wirusów można znaleźć na stronie http://www.viruslist.com/

Pracuj z przepływami konsoli

Tworzenie pliku strumieniowego:
Typ Nul\u003e SomeFile.txt: Stream

Wpis strumienia:
Echo "coś" \u003e\u003e somefile.txt: strumień

Czytanie przepływu:
Jeszcze< somefile:Stream

Skopiuj zawartość istniejącego pliku w strumieniu:
Wpisz plik1.txt \u003e\u003e somefile.txt: strumień

Kopiowanie zawartości strumieniowej do pliku:
Jeszcze< somefile.txt:Stream >\u003e File2.txt.

Usuwanie strumieni

Istnieje opinia, że \u200b\u200bprzepływ można usunąć tylko z plikiem, do którego jest dołączony. To nie jest prawda. Jeśli znasz nazwę strumienia, zawsze możesz usunąć go za pomocą standardowej funkcji deletEfile.

Listing 1. Przykład tworzenia strumienia.

#Zawierać. int Main () (DWORD DWRET; Uchwyt Hstream \u003d CreatFile ("Testile: Stream", Generic_Write, File_Share_Write, NULL, Open_always, Null, NULL); Writefile (HFile "To jest strumień", 17, & Dwret, NULL) ; Ślad (hstream); zwrot 0;)

Listing 2. X-Stream: Program Pokazuje listę strumieni

#Zawierać. #Zawierać. #Zawierać. #Zawierać. int _tmain (int argc, _tchar * Argv) (Win32_stream_id SID; Zeromemory (& SID, Sizeof (Win32_stream_id)); DWORD DW1, DW2, DWREAD; INT numofstreams \u003d 0; // bufor do nazwy strumienia w Unicode Wchar Wszstreamname ; LPCOID LPCONTEXT \u003d NULL; / * * Otwórz plik do odczytu z parametrem * file_flag_backup_semantics, co pozwala nam otwierać nie tylko pliki, ale także katalogi z płytami. * / uchwyt HFile \u003d CreateFile (Argv, Generic_READ, File_share_read, Null, Open_existing, file_flag_backup_semantics, null); jeśli (HFile \u003d\u003d Invalid_handle_Value) (Printf ("Nerror:" T Otwórz plik, Directory lub Disk% S ", ARGV); Wyjście (0);) DWORD DWSTREAMHEHEHEHEHETIZE \u003d (LPBYTE \u003d (LPBYTE ) & sid.cstreamname - (LPBYTE) & SID + SID.DWSTREAMNAMEize; Printf ("Informacje NSTREAMS dla% s: n", Argv); While (Backpared (HFile, (LPBYTE) i SID, DWSTReameSerize, & Dwread, Fałsz, True, & LPContext)) (/ / Jeśli typ przepływu jest nieprawidłowy, a następnie przerwanie cyklu, jeśli sid.dwstreamid \u003d\u003d Backup_invalid); Zeromemory (& Wszstreamname, sizeof (Wszstreamname)); // Uzyskaj nazwę strumienia IF (! Backupread (HFile, LPBYTE) WSZSstanamname, Sid.dwstreamNameize, & Dwread, False, True, & LPContext)) Break; Jeśli (sid.dwstreamid \u003d\u003d Backup_data || Sid.dwstreamid \u003d\u003d Backup_alternate_data) (Numofstreams ++; Printf ("n n nstream \\ t #% u", numofstreams); przełącznik (sid.dwstreamid) (case backup_data : Printf ("nname: t :: $ Data"); Break; Case Backup_alternate_data: Printf ("Nname: t% s", Wszstreamname); Break;) Printf ("Nsyze: t% U ", sid.Size);) // Przejdź do następnego strumienia kopii zapasowej (HFILE, SID.SIZE.LOWPART, SID.SIZE.Highpart, & DW1, & DW2, & LPCONEXT); // Oczyść strukturę przed następnym przejściem cyklu zeromemory (& sid, sizeof (sid)); ) // Clean LPContext zawierający informacje o usłudze //, aby pracować backpread backpred (HFILE, NULL, NULL, & DWREAD, true, false i LPCONEXT); // Zamknij plik CloseHandle (HFile); Powrót 0; )

Przedmiot strumieni plików ma również następujące elementy:

  • Program NTFS Stream Explorer 2.00 do pracy z strumieniami NTFS i

Alternatywne strumienie danych w NTFS

System plików NTFS ma wiele ciekawych możliwości, z których jedna jest obecność alternatywnych strumieni danych (alternatywny strumień danych, reklamy). Istotą z nich jest to, że każdy plik w NTFS jest zestawem wątków, w których przechowywane są dane. Domyślnie wszystkie dane są głównie strumieniem, ale w razie potrzeby można dodać dodatkowe dane, alternatywne strumienie danych.

Uwaga. Alternatywne przepływy danych w NTFS pojawiły się dawno temu, nawet w Windows NT. Zostały one stworzone do kompatybilności z systemem plików HFS, który jest używany w systemie MacOS. HFS utrzymywał dane dotyczące pliku w specjalnym strumieniu zasobów.

Pliki w NTF są podzielone na atrybuty, z których jeden to $ Data lub atrybut danych. Strumienie są dodatkowymi właściwościami atrybutu danych $. Domyślnie jest jeden, główny strumień $ DATA: "". Jak widać, nie ma nazwy, więc nazywa się niezręczny. W razie potrzeby można również utworzyć dodatkowe, nazwane strumienie, na przykład. $ DATA: "Stream1". Każdy plik w NTFS może mieć kilka strumieni danych zawierających różne dane w jakikolwiek sposób.

Wszystkie dane nagrane w pliku są domyślnie dla głównego strumienia danych. Gdy otworzymy plik, widzimy dokładnie główny strumień, alternatywne strumienie są ukryte od użytkownika i nie są wyświetlane za pomocą konwencjonalnych agentów. Nie można ich zobaczyć na standardowych sposobach, chociaż niektóre programy mogą przeczytać dane ukryte w nich. Również, aby pracować z wątkami, możesz użyć wiersza polecenia.

Na przykład otwórz konsolę i za pomocą polecenia Echo, utwórz plik tekstowy Streams.txt i zapisuj tekst:

echo To jest główny strumień\u003e Streams.txt

A następny zespół napisze tekst do alternatywnego strumienia strumienia1:

echo Jest to alternatywny strumień\u003e Streams.txt: Stream1

Jeśli teraz otworzysz plik Streams.txt w dowolnym edytorze tekstu, zobaczymy tylko pierwszy rekord, tekst "Jest to alternatywny strumień" pozostanie ukryty. Aby przeczytać ukryte w strumieniu Stream1, możesz polecenie:

jeszcze

Alternatywne strumienie można dodać nie tylko do poszczególnych plików, ale także do katalogów. Na przykład dodaj alternatywny strumień strumienia strumienia zawierający tekst "Ukryj strumień w strumieniach" do aktualnych strumieni:

echo Ukryj strumień w strumieniach\u003e: Stream2

I wycofaj strumień strumienia strumienia przez następne polecenie:

jeszcze<:stream2

Zawartość alternatywnych strumieni można otworzyć nie tylko w konsoli. Na przykład Notatnik wie, jak uzyskać dostęp do danych ukrytych w strumieniach, jeśli określisz nazwę alternatywnego strumienia w nazwie pliku przez COLON. Powtarzamy poprzedni przykład, zmieniając nazwę strumienia na Stream1.txt:

echo To jest alternatywny strumień\u003e Streams.txt: Stream1.txt

I otwórz alternatywny strumień w zespole notebooka:

notepad Streams.txt: Stream1.txt

Uwaga. Standard Notatnik wymaga rozbudowy TXT w nazwie przepływu, w przeciwnym razie nie będzie w stanie go otworzyć. Więcej zaawansowanych redaktorów, takich jak ta sama notatnik ++, może pokazywać zawartość alternatywnego strumienia niezależnie od jego nazwy.

Obecność alternatywnych strumieni z pliku nie jest wyświetlana w Explorerze i innych menedżerach plików. Aby je znaleźć, najłatwiejszym sposobem jest użycie zespołu. dir / R. (Począwszy od systemu Windows Vista), który pokazuje wszystkie strumienie danych, w tym alternatywę.

Możesz wydawać, że stosowanie alternatywnych strumieni jest ograniczone do danych tekstowych. To wcale wcale i alternatywne strumienie można przechowywać absolutnie wszelkie informacje. Na przykład utwórz plik Picture.txt i dodaj strumień PIC1.jpg do niego, w którym obraz tej samej nazwy to:

echo Picture\u003e Picture.txt
wpisz pic1.jpg\u003e Picture.jpg: pic1.jpg

Zatem zewnętrznie mamy zwykły plik tekstowy i otworzyć obraz z alternatywnego strumienia w edytorze grafiki farby, używamy polecenia:

mspaint Zdjęcie.txt: pic1.jpg

W podobny sposób, wszystkie dane można dodawać do dowolnych typów plików - dodać obrazy do plików tekstowych, dodaj informacje tekstowe do plików multimedialnych itp. Co jest interesująca, alternatywna zawartość nie zwiększa widocznego rozmiaru pliku, dodając 1kb Plik tekstowy wideo HD do 30 GB Dyrygent nadal pokazuje rozmiar pliku 1KB.

Nawet w alternatywnych strumieniach można ukryć pliki wykonywalne. Na przykład weź plik test.txt i dodaj aplikację notebooka (notepad.exe) w alternatywny strumień note.exe:

wpisz notepad.exe\u003e \u200b\u200btest.txt: note.exe

I uruchomić ukryty notebook, używamy zespołu:

start. Test.txt: note.exe

Nawiasem mówiąc, niektóre szkodliwe programy są wykorzystywane przez tę okazję, dodając kod wykonywalny do alternatywnych strumieni NTFS.

Strumienie użytkowe.

Aby pracować z alternatywnymi przepływami, istnieje kilka narzędzi trzecich, takich jak konsole strumieniowe narzędzie z SysInternals. Może określić obecność alternatywnych strumieni i usunąć je. Narzędzie nie wymaga instalacji, wystarczy rozpakować go i uruchomić. Na przykład sprawdź obecność strumieni w poleceniu zespołu strumieni:

Streams.exe -s c: strumienie

I usuń alternatywne strumienie z pliku strumieniowego.

Streams.exe -d C: Streams streams.txt

PowerShell.

PowerShell wie, jak pracować z alternatywnymi strumieniami - Utwórz, wykrywanie, wyświetlaj ich zawartość, a nawet usunąć. Na przykład utworzyć plik tekstowy:

Nowy element-Plik -type -Path C: Streams Stream.txt

Dodaj wpis do głównego strumienia:

Set-Content-Path C: Streams Stream.txt -Value "główny strumień"

Iw alternatywnym strumieniu z nazwą sekundę:

Set-Content -Path C: Streams Stream.txt -Value "Drugi strumień" -Strream drugie

Następnie przynosimy zawartość głównego

Get-Content-Path C: Streams Stream.txt

i alternatywne strumienie:

Get-Content-Path C: Streams Stream.txt -stream Second

Aby wykryć obecność alternatywnych strumieni, możesz użyć polecenia:

Get-Item -Path C: Streams Stream.txt -stream *

I możesz usunąć dodatkowe wątki za pomocą polecenia:

Usuń-element -Path C: Streams.txt -stream *

Za pomocą

Alternatywne strumienie są używane zarówno sam system Windows, jak i niektóre programy. Na przykład, Internet Explorer dzieli sieć do 4 stref bezpieczeństwa i przy pobieraniu plików dodaje do nich znaczniki, które zawierają informacje o strefie, z której zostały załadowane.

Etykiety te są przechowywane w strumieniu alternatywnym i reprezentują liczbę od 0 do 4:

Internet (3)
Sieć lokalna (1)
Niezawodne strony (2)
Niebezpieczne miejsca (4)
Lokalny komputer (0)

Aby upewnić się, że przenieślimy się do folderu pobierania, weź plik pobrany z Internetu i sprawdź go do alternatywnych strumieni. Jak widać, jest strumień z nazwą Strefa.dentifier.W którym znajduje się ciąg Zoneid \u003d 3..

Oznacza to, że plik odnosi się do nieokreślonej strefy internetowej, a gdy zostanie odkryta, konieczne jest, aby być ostrożnym. Niektóre programy, takie jak Word, przeczytaj te dane podczas otwierania pliku i podają odpowiednie ostrzeżenie.

Również infrastruktura klasyfikacji plików (klasyfikacja plików infrastruktura, FCI) opiera się na stosowaniu alternatywnych strumieni. Z programów innych firm alternatywny strumienie wykorzystują niektóre programy antywirusowe, w szczególności Kaspersky Anti-Virus przechowuje kontrolę w nich uzyskanych w wyniku testu.

Jednak stosowanie alternatywnych strumieni nie ogranicza się do tego, sam możesz wymyślić dowolną aplikację. Na przykład z ich pomocą można ukryć indywidualne informacje z obcych oka. Pliki zawierające strumienie alternatywne mogą być swobodnie skopiowane lub przenoszone z dysku do dysku, wszystkie strumienie zostaną skopiowane razem z plikiem.

A jednak przy użyciu alternatywnych wątków należy pamiętać, że są szczelnie związane z systemem plików NTFS. Aby ich użyć, pliki powinny znajdować się na dyskach z NTFS, odpowiednio pracować z nimi tylko z okien. Jeśli przeniesiesz plik do dowolnego innego systemu plików, a następnie wszystkie strumienie z wyjątkiem głównego zostaną utracone. Również alternatywne strumienie są przycięte podczas przesyłania plików do FTP lub wysyłki jako załącznik pocztowy.

& NBSP & NBSP Większość użytkowników nowoczesnych systemów operacyjnych rodziny Windows stanęła w obliczu sytuacji, w której plik pomocy w formacie CHM (moduł pomocy (skompilowany) jest tylko częściowo - można wyświetlić tylko spis treści bez zawartości jej elementów:

Ponadto, próbując otworzyć plik CHM zawarty w ogóle folder sieciowy.Korzystanie z Universal Naming Convention (Universal Naming Convention) Ścieżka, na przykład serwer H help.chm. Jego sekcje nie są wyświetlane. Innymi słowy, można normalnie wyświetlać pliki.chm w przypadkach, w których nie zostały odebrane przez sieć.

Podobne zdjęcie jest obserwowane, gdy próbujesz otworzyć plik wykonywalny, który został załadowany z sieci. Zobaczysz system ostrzegawczy bezpieczeństwa:

Co więcej, ten sam plik ekstrahowany z archiwum, który został również załadowany internet, na ten komputer Można otworzyć bez żadnych problemów. W rzeczywistości cała różnica polega na tym, że plik jest otwarty lokalnie, w procesie rozpakowania i nie przesłany przez sieć. Innymi słowy, Windows ma możliwość określenia pochodzenia sieciowego pliku i odpowiadać na niektóre ustawienia systemu bezpieczeństwa.

Mechanizm określania plików pochodzenia sieciowego.

W systemie plików NTFS każdy plik (lub katalog) jest przedstawiony jako zestaw. poszczególne elementy, nazywa atrybuty. Elementy, takie jak nazwa pliku, ustawienia zabezpieczeń, a nawet dane - wszystkie te atrybuty plików. Każdy atrybut jest identyfikowany przez kod typu atrybutu i opcjonalnie nazwa atrybutu. Tak więc na przykład nazwa pliku jest zawarta w atrybucie Nazwa pliku., zawartość - w atrybucie Dane., informacje o właścicielach i prawach dostępu - w atrybucie Deskryptor bezpieczeństwa. itp. Zawartość każdego pliku (Atrybut $ Data) jest zestawem strumieńgdzie przechowywane są dane. Dla każdego pliku lub katalogu w NTFS znajduje się co najmniej jeden, główny strumień, w którym sama jest przechowywana. Jednak oprócz głównego strumienia, plik lub katalog można podłączyć i alternatywny (ZA.lata. RE.aTA. S.reklamy), które mogą również zawierać pewne dane, w żaden sposób powiązane z danymi głównego strumienia. Główny przepływ pliku nie ma nazwy i jest wskazany jako $ DATA: "". Alternatywne strumienie koniecznie mają nazwę, na przykład - $ Data: "Streamdata" - Nazwany strumień alternatywny Streamdata.

Podczas wykonywania funkcji nagrywania danych do pliku są one umieszczane w głównym strumieniu danych. Po otwarciu, na przykład, plik tekstowy z notebookiem, otrzymujemy dostęp do danych głównego strumienia. Dane alternatywnych strumieni, przy użyciu standardowego dostępu, nie są również wyświetlane, nie są nawet żadne oznaki ich obecności. Jednak te alternatywne strumienie związane z konkretny plik. lub katalog może być dostępny specjalne programy Lub przy użyciu specjalnej składni w wierszu polecenia systemu Windows.

Na przykład zapisanie do polecenia tekstu testowego test.txt echo.:

echo główne dane strumieniowe\u003e test.txt - Wpisz tekst "Dane główne strumienia" do pliku test.txt.Co rekord w głównym nieznanym przepływie.

Ale możesz zmienić polecenie:

echo Alternatywne dane strumienia\u003e Test.txt: Stream1 - Wpisz tekst "Alternatywne dane strumieniowe" na alternatywnym strumieniu o nazwie stream1. Plik test.txt.

Teraz możesz otworzyć, na przykład, notebook każdy z strumieni:

notatnik test.txt. - zawartość głównego strumienia z tekstem "Dane główne strumienia"

notatnik test.txt: Stream1 - zawartość alternatywnego strumienia z tekstem "alternatywne dane strumieniowe" otworzy się

Alternatywne strumienie, są jednak niewidoczne dla standardowych narzędzi do pracy z obiektami systemu plików są jednak bardzo często używane do przechowywania dodatkowych informacji o plikach i innych informacjach o serwisie. Na przykład podczas pobierania plików z Internetu, przeglądarki dodają alternatywny strumień do nich z nazwą Strefa.dentifier.który można otworzyć notatnik jak w powyższym przykładzie

notatnik% UserProfile% Downloads Chromesetup.exe: Zone.dentifier - Otwórz alternatywny strumień w notebooku o nazwie Strefa.dentifier. Chrotesetup.exe. Nie można określić ścieżki do pliku, uprzednio zakończono polecenie przejścia do katalogu plików pobierania bieżącego użytkownika (kiedy standardowa lokalizacja Foldery użytkownika użyteczności publicznej):

cD% UserProfile% Pliki do pobrania - Przejdź do katalogu plików do pobrania.

notatnik Chrotesetup.exe: Zone.dentifier - Otwórz alternatywny strumień o nazwie Strefa.dentifier. Do pliku instalacyjnego. browser Google. Chrome z nazwą Chrotesetup.exe. W bieżącym katalogu.

Jak widzimy, zawartość alternatywnego strumienia zawiera ciągi:

- Znak sekcji z opisem strefy transmisji danych
Zoneid \u003d 3. - Identyfikator strefy.

Te informacje umożliwiają określenie pochodzenia pliku według identyfikatora Zoneid.:

0 - komputer lokalny (Lokalny).
1 - Lokalny sieć lokalna (Intranet)
2 - Niezawodne strony internetowe (witryny zaufane)
3 - Internet (Internet)
4 - Niebezpieczne miejsca (Ograniczone strony)

Taka definicja stref, na przykład odpowiada ustawieniach wywiadu z programem Internet Explorer:

W takim przypadku możesz określić, jaki plik Chrotesetup.exe. Uzyskano go z Internetu (identyfikator strefy \u003d 3). Po uruchomieniu takiego pliku, system bezpieczeństwa zostanie przedstawiony dla niewiarygodnego źródła. Narzędzia bezpieczeństwa aplikacji pracują w podobny sposób. Microsoft Office.Kiedy ostrzegasz o niebezpieczeństwie otwarcia plików, które zostały pobrane z Internetu. Z tego samego powodu zawartość plików certyfikatów w formacie CHM nie są otwarte - zawartość alternatywnego przepływu pozwala na klasyfikowanie ich jako niebezpieczne, niezależnie od rzeczywistego lub nieistniejącego niebezpieczeństwa.

Spróbuj zmienić ten sam notatnik, wartość Zoneid na 0 Co spełni lokalne pochodzenie pliku, a ostrzeżenie o bezpieczeństwie zniknie, a także problemy z otwieraniem dokumentów biurowych lub partycji certyfikatów plików VCHM.

Podobne zachowanie systemów bezpieczeństwa będzie w przypadkach usunięcia zawartości alternatywnego strumienia (w celu uzyskania opróżnienia) lub całkowicie usunąć alternatywny strumień.

Począwszy od systemu Windows 7, aby uzyskać listę alternatywnych strumieni plików, możesz użyć polecenia Reż. z parametrem. / R.:

dIR / R% UserProfile% Downloads - Wyświetl listę plików i strumieni alternatywnych w katalogu Pliki do pobrania. Obecny użytkownik.

Aby pracować z alternatywnymi strumieniami w dowolnej wersji systemu Windows, możesz użyć narzędzia streams.exe. Z linii pakiet oprogramowania Apartament Microsoft SysInternals. Pakiet zawiera wiele małych programów do diagnozowania, optymalizacji i podawania, w tym narzędzia, które umożliwia wypełnienie wad w pracy z alternatywnymi strumieniami.

Format linii poleceń:

streams.exe [-s] [-d] Plik lub katalog

Ustawienia linii poleceń:

-s. - Poddziały procesów.
-re. - Usuń alternatywne strumienie.
-Nobanner. - Nie wyświetlaj początkowego banera i informacji o prawach autorskich.

Przykłady użycia:

streams.exe /? - Wyświetl certyfikat za pomocą programu.

strumienie myfile.txt. - Wyświetl informacje o przepływie plików myfile.txt.

streams -d myFile.txt. - Usuń alternatywne strumienie plików myfile.txt.

strumienie -d -s d: Downloads *. * - Usuń alternatywne strumienie wszystkich plików i podkatalogów w katalogu D: Pobieranie

W system operacyjny Windows 8, a następnie powłokę poleceń PowerShell umożliwia również pracę z alternatywnymi strumieniami:

Get-Item -Path -Path C: firefoxsetup.exe -stream * - Wyświetlacz C: Firefokssetup.exe File Information.

Get-Content-Path C: Firefokssetup.exe -stream Zone.dentifier - Wyświetl alternatywną zawartość przepływu Strefa.dentifier. Plik C: Firefokssetup.exe

Usuń-element -Path C: firefokssetup.exe -stream * - Usuń wszystkie alternatywne pliki związane z plikiem C: Firefokssetup.exe

Usuń-element -Path C: Firefoksetup.exe -stream Zone.Identifier - Usuń alternatywny strumień Stream strefa.dentifier.związane z plikiem C: Firefokssetup.exe.

Informacje o strefach bezpieczeństwa są szeroko stosowane grupa politycyW szczególności dyspozytor inwestycyjny Windows wykonujący funkcje ochrony przed złośliwym oprogramowaniem, które mogą być zawarte inwestycje pocztowe lub pliki pobrane z Internetu. Strona Microsoft zawiera szczegółowy artykuł o sposobach konfiguracji dyspozytora inwestycyjnego i rozwiązywania problemów związanych z nim:
Opis menedżera pracy załącznika, który wprowadza system Microsoft Windows.

Podsumowując, dodam, że alternatywne strumienie są właściwością systemu plików NTFS, a na przykład w FAT32 nie są obsługiwane. Odpowiednio, podczas kopiowania plików z NTFS do dowolnego innego systemu plików, alternatywne strumienie są odrzucane.