ev / Tavsiye/ NTFS akışlarında veri nasıl gizlenir. NTFS dosya sisteminin özellikleri

NTFS akışlarında veriler nasıl gizlenir. NTFS dosya sisteminin özellikleri

Bu konuda, bir dosyaya veya dizine eklenebilecek dört tür meta veriye bakacağım. dosya sistemi NTFS... Bu veya bu tür meta verilerin kullanım amaçlarını açıklayacağım, herhangi bir Microsoft teknolojisi veya üçüncü taraf yazılımındaki uygulamasına bir örnek vereceğim.

Ana içeriğine ek olarak bir dosyanın içerebileceği yeniden ayrıştırma noktaları, nesne kimlikleri ve diğer veri türleri hakkında konuşacağız.

nesne tanımlayıcısı bir dosyaya veya dizine eklenebilen 64 bayttır. Bunlardan ilk 16 bayt, birim içindeki dosyayı benzersiz bir şekilde tanımlamayı ve ona adıyla değil, tanımlayıcıyla başvurmayı mümkün kılar. Kalan 48 bayt isteğe bağlı veriler içerebilir.

Nesne kimlikleri, NTFS'de şu şekilde bulunur: Windows zamanları 2000. Sistemin kendisinde, kısayol (.lnk) tarafından başvurulan dosyanın konumunu izlemek için kullanılırlar. Diyelim ki kısayol tarafından başvurulan dosya birim içinde taşındı. Kısayolu başlattığınızda, yine de açılacaktır. Özel pencere servisi dosya bulunamazsa, dosyayı adıyla değil, önceden oluşturulmuş ve kaydedilmiş bir tanımlayıcıyla açmaya çalışır. Dosya silinmediyse ve birimden ayrılmadıysa açılır ve kısayol yeniden dosyaya işaret eder.

Kaspersky Anti-Virus 7 sürümünün iSwift teknolojisinde nesne tanımlayıcıları kullanıldı. Bu teknoloji şu şekilde açıklanmaktadır: Teknoloji dosya için tasarlanmıştır NTFS sistemleri... Bu sistemde her nesneye bir NTFS tanımlayıcısı atanır. Bu tanımlayıcı, özel iSwift veritabanının değerleriyle karşılaştırılır. NTFS tanımlayıcısına sahip veritabanının değerleri eşleşmezse, nesne taranır veya değiştirilmişse yeniden kontrol edilir.

Ancak, oluşturulan tanımlayıcıların fazlalığı, diskin standart yardımcı programla taranmasında sorunlara neden oldu. chkdsk kontrolleri, çok uzun sürdü. Kaspersky Anti-Virus'ün sonraki sürümlerinde NTFS Nesne Kimliği artık kullanılmamaktadır.

Yeniden ayrıştırma noktası

NTFS dosya sisteminde, bir dosya veya dizin, Rusça'ya şu şekilde çevrilmiş bir yeniden ayrıştırma noktası içerebilir: Yeniden ayrıştırma noktası... Dosyaya veya dizine özel veriler eklenir, dosya normal bir dosya olmaktan çıkar ve yalnızca özel bir dosya sistemi filtre sürücüsü onu işleyebilir.

Windows'ta sistemin kendisi tarafından ele alınabilecek yeniden ayrıştırma noktaları vardır. Örneğin, Windows'taki yeniden ayrıştırma noktaları, bir dizine birimler için bağlama noktalarının yanı sıra sembolik bağlantılar ve bağlantı noktaları uygular.
Dosyaya eklenen yeniden ayrıştırma arabelleği, maksimum boyutu 16 kilobayt olan bir arabellektir. Sisteme ne tür bir yeniden ayrıştırma noktası olduğunu söyleyen bir etiketin varlığı ile karakterize edilir. Kendi türünüzde bir yeniden ayrıştırma arabelleği kullanırken, GUID'yi özel bir alanda da belirtmeniz gerekir ve bu, Microsoft yeniden ayrıştırma arabelleklerinde bulunmayabilir.

Ne tür yeniden ayrıştırma noktaları var? Reparse point kullanan teknolojileri listeleyeceğim.Bunlar Windows Storage Server 2008 R2'de Single Instance Storage (SIS) ve Cluster Shared Volumes, Hiyerarşik Depolama Yönetimi, Distributed File System (DFS), Windows Ana Sayfası Sunucu Sürücü Genişletici. Bunlar Microsoft teknolojileridir; burada yeniden ayrıştırma noktalarını kullanan üçüncü taraf teknolojileri yoktur, ancak bazıları vardır.

Genişletilmiş Özellikler

Genişletilmiş dosya öznitelikleri... Onlar hakkındaydı. Burada sadece bu teknolojinin Windows altında pratik olarak kullanılmadığını belirtmekte fayda var. tanıdığım birinden yazılım yalnızca Cygwin, POSIX izinlerini depolamak için genişletilmiş öznitelikleri kullanır. NTFS'deki tek bir dosya, genişletilmiş özniteliklere veya yeniden ayrıştırma noktası arabelleğine sahip olabilir. Her ikisinin aynı anda kurulumu imkansızdır. En büyük boy bir dosya için tüm genişletilmiş özniteliklerin toplamı 64 KB'dir.

Alternatif veri akışları

Ek dosya akışları. Muhtemelen herkes onları zaten biliyor. Bu tür meta verilerin ana özelliklerini listeleyeceğim: adlandırma (yani, bir dosyanın birkaç akışı olabilir ve her birinin kendi adı olabilir), dosya sisteminden doğrudan erişim ("dosya adı, kolon, akış adı"), sınırsız boyut, doğrudan iş parçacığından bir işlem başlatma yeteneği (ve bunun aracılığıyla uygulama yeteneği).

Kaspersky Anti-Virus'ün iStream teknolojisinde kullanılır. Windows'un kendisinde kullanılırlar, örneğin, İnternetten bir dosya indirirken, nereden alındığı hakkında bilgi içeren bir Zone.Identifier akışı eklenir. bu dosya... Yürütülebilir dosyayı çalıştırdıktan sonra kullanıcı mesajı görebilir. "Yayıncı doğrulanamıyor. Bu programı çalıştırmak istediğinizden emin misiniz?".

Böylece kullanıcıya verilir ek korumaİnternetten elde edilen programların düşüncesizce başlatılmasından. Bu, akışlar için yalnızca bir kullanımdır ve çok çeşitli verileri depolayabilirler. Yukarıda bahsedilen Kaspersky Anti-Virus, orada her dosyanın sağlama toplamlarını depoladı, ancak daha sonra bu teknoloji de bir nedenden dolayı terk edildi.

Başka bir şey?

biraz daha var mı güvenlik tanımlayıcısı, ayrıca dosya akışları olarak da uygulanmış olsalar bile doğrudan erişilemeyen standart dosya öznitelikleri. Ve bunlar, genişletilmiş öznitelikler, yeniden ayrıştırma ve nesne kimliği, sistemin bakış açısından tüm dosya akışlarıdır. Aşağıdaki resimde :: $ SECURITY_DESCRIPTOR olarak gösterilen SEC'i doğrudan değiştirmenin bir anlamı yoktur, bırakın sistem yapsın. Sistemin kendisi diğer akış türlerine doğrudan erişim sağlamaz. İşte bu kadar.

Programı kullanarak, nesne kimliğinin, yeniden değerlendirme noktalarının içeriğini görüntülemek ve ayrıca genişletilmiş nitelikler ve alternatif dosya akışlarıyla çalışmak mümkündür.

Görünür görünmez

Blog okuyucusu Victor, İnternet'ten indirilen PowerShell komut dosyasını çalıştıramadı. Talimatlarımı dikkatli bir şekilde okumak sorunu önledi, ancak PowerShell'in katı güvenlik ilkelerinden kaynaklanmadı.

Victor, TechNet galerisinden arşivi PSWindowsUpdate.zip komut dosyasıyla indirdi. Windows yönetimi Bahsettiğim güncelleme. Ancak, paketlenmemiş komut dosyası çalışmayı reddetti. Okuyucuya, talimatlarımın ilk paragrafının arşivin kilidini açma gereğini söylediğini önerdiğimde, her şey saat gibi gitti.

Victor, sistemin komut dosyasını neden engellediğini ve arşivin başka bir bilgisayardan indirildiğini nasıl bildiğini açıklamasını istedi.

Dürüst olmak gerekirse, bugünün konusu yeni değil, ancak birkaç nedenden dolayı bunu blogumda ele almaya karar verdim:

Birçok makale geri yazıldı Windows zamanları XP veya Windows 7 ve daha yeni Microsoft işletim sistemlerinin yerleşik özelliklerini dikkate almayın.
Yakın gelecek için planlanan makalelerden birinde, bu konuya değiniliyor ve ilgililiği ve doğruluğundan kendim sorumlu olduğum malzemeye atıfta bulunmak benim için daha kolay.
Blogun geniş bir kitlesi var ve birçok okuyucu için bu konu hala bir yenilik olacak :)

Bugün programda

NTFS veri akışları

Windows, NTFS dosya sisteminin alternatif veri akışından (ADS) dosyanın kaynağı hakkında bilgi alır. Dosyanın özelliklerinde, alçakgönüllülükle, onun başka bir bilgisayardan olduğunu yazıyor, ancak daha sonra göreceğiniz gibi, aslında biraz daha fazlasını biliyor.

NTFS perspektifinden bir dosya, bir öznitelik koleksiyonudur. Dosyanın içeriği $ DATA adlı bir veri özelliğidir. Örneğin, “Merhaba, Dünya!” Satırını içeren bir metin dosyası. "Merhaba, Dünya!" veri özniteliğine sahip

NTFS'de, $ DATA özniteliği bir veri akışıdır ve birincil veya adsız olarak adlandırılır, çünkü ... adı yoktur. Resmi olarak, şöyle görünür:

$ VERİ: ""

$ VERİ- isim bağlanmak
: - sınırlayıcı
"" - isim akış(bu durumda isim eksiktir - tırnak işaretleri arasında hiçbir şey yoktur)

Alternatif veri akışlarının ilginç özellikleri

Yukarıdaki örnekler bağlamında, birkaç ilginç noktaya dikkat çekmek istiyorum.

Görünmez değişiklikler

İlk komutla bir metin dosyası oluşturduktan sonra onu açabilirsiniz. Metin düzeltici ve diğer tüm manipülasyonların dosyanın içeriğini hiçbir şekilde etkilemediğinden emin olun.

Dosya, örneğin Notepad ++ ile açıldığında ilginç hale gelir. Bu düzenleyici, dosya değişiklikleri hakkında uyarabilir. Ve bunu, dosyaya alternatif akışı yazdığınızda yapacak, ancak içerik aynı kalacak!

ADS'yi CMD'den Kaydedin ve Görüntüleyin

ADS, komut satırından oluşturulabilir ve görüntülenebilir. Aşağıdaki komutlar, MyStream2 adlı ikinci bir ADS'ye gizli metin yazar ve ardından bunu görüntüler.

Echo Gizli Metin> C: \ temp \ test.txt: MyStream2 daha fazla< C:\temp\test.txt:MyStream2

ADS'yi metin düzenleyicilerde görüntüleme

Komut satırında akışın adını belirtirseniz, aynı Notepad ++ size ADS'nin içeriğini gösterecektir.

"C: \ Program Dosyaları (x86) \ Notepad ++ \ notepad ++. Exe" C: \ temp \ test.txt: MyStream1

Sonuç:

Not defteri ile, bu numara yalnızca akış adının sonunda varsa çalışır. .txt... Aşağıdaki komutlar üçüncü bir ADS ekler ve not defterinde açar.

Echo Gizli Metin> C: \ temp \ test.txt: MyStream3.txt not defteri C: \ temp \ test.txt: MyStream3.txt

Sonuç:

İndirilen dosyaları engelleme

Bir okuyucunun bana sorduğu soruya geri dönelim. Dosyanın engellenip engellenmeyeceği öncelikle indirildiği programa ve ikinci olarak işletim sistemi parametrelerine bağlıdır. Bu nedenle, tüm modern tarayıcılar engellemeyi destekler ve Windows'ta bulunur.

Bir arşiv kilitlendiğinde, paketlenmemiş tüm dosyaların kilitli olarak devralınacağını unutmayın. Ayrıca ADS'nin bir NTFS özelliği olduğunu unutmayın, yani. FAT32'de bir arşivi kaydederken veya paketini açarken kilitleme olmaz.

Kilitli bir dosyanın kaynağı hakkındaki bilgileri görüntüleyin

PowerShell'de indirilen dosyanın bulunduğu klasöre gidin ve tüm akışlarla ilgili bilgileri görün.

Get-Item. \ PSWindowsUpdate.zip -Stream * DosyaAdı: C: \ Users \ Vadim \ Downloads \ PSWindowsUpdate.zip Akış Uzunluğu ------ ------: $ DATA 45730 Zone.Identifier 26

Bildiğiniz gibi $ Data dosyanın içeriğidir ancak ADS de listede görünmektedir. Zone.Identifier... Bu, dosyanın bir bölgeden alındığına dair açık bir ipucudur. Bu resmin nereden geldiğini biliyor musunuz?

Bölgeyi bulmak için ADS'nin içeriğini okumanız gerekir.

Get-Content.\ PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId = 3

Açıkçası, toplu kilit açmayı amaçlamaktadır (örneğin, arşiv zaten açılmışken). Aşağıdaki komut, adında bulunan tüm dosyaların İndirilenler klasöründe kilidini açacaktır. not:

Dir C: \ İndirilenler \ * Not * | Engellemeyi Kaldır-Dosya

Tabii ki, her türlü yardımcı program var grafik arayüzü, nasıl entegre edileceğini bilenler bile bağlam menüsü... Ancak bence PowerShell veya en kötü ihtimalle akışlar yeterlidir.

Dosya engelleme nasıl önlenir

Grup ilkesi, Eklerin kaynak bölgesi hakkında bilgi saklamanın engellenmesinden sorumludur. Adından da anlaşılacağı gibi, engelleme standart Windows davranışıdır ve ilke bunu değiştirmenize olanak tanır.

Ancak, politikanın sadece posta ekleri, aynı zamanda İnternet'ten indirilen dosyalar. KB883260'da Ek Yöneticisi hakkında daha fazla bilgi edinin.

Editörün ana sayfa sürümlerinde grup politikaları hayır, ama kimse kayıt defterini iptal etmedi: SaveZoneInformation.zip.

Pratik ADS uygulamalarının diğer örnekleri

ADS'nin kapsamı, indirilen dosyanın bir bölgesini eklemekle sınırlı değildir, tıpkı ADS'de yalnızca metni depolamanın hiç gerekli olmadığı gibi. Herhangi bir program bu NTFS özelliğini her türlü veriyi depolamak için kullanabilir, bu yüzden farklı alanlardan sadece birkaç örnek vereceğim.

Dosya sınıflandırma altyapısı

yazar hakkında

İlginç şeyler, teşekkürler. PowerShell hakkında henüz pek bilmediğim yeni bir şey öğrendim :)

Ailemle iletişim kurmak için sık sık WhatsApp kullanıyorum - şimdiye kadar bu hizmetle ilgili en az sorun oldu, ailem bile buna alıştı. Temas da esas olarak aile içindir, ancak oradaki mesaj alışverişi esas olarak fotoğraf ve videolarla yayınlanan albümler etrafındadır. Bazı akrabalar Viber'e sadık kalıyor - bir şekilde benim için iyi olmadı, sadece onlar için saklıyorum, onları WhatsApp'a sürükleme girişimlerini terk etmiyorum.

Ağırlıklı olarak Slack iş için, acil bir şey WhatsApp olduğunda, SMS çok acildir. Dış dünya ile iletişim için VKontakte.

Skype'ı yalnızca görüntülü aramalar için kullanıyorum, çoğunlukla ailemle tekrar. Görüntülü arama olsaydı, memnuniyetle WhatsApp ile değiştirirdim.

urix

Viber'in artık görüntülü aramaları ve hatta masaüstü sürümü için görüntülü aramaları var. Yani belki Viber bir sonraki skype olacak ... iyi bir şekilde

Andrey Kuznetsov

Malzeme ilginç, teşekkürler. İş parçacıklarının varlığından haberdardım ama onlarla PowerShell aracılığıyla çalışmanın bu kadar kolay olduğunu bilmiyordum.
IM'ye gelince: Skype'a gelince, yalnızca başlatma süresiyle ilgili şikayetlerim var. Windows Telefon... ipad ve Windows'ta böyle bir sorun yok. Sesli iletişim için kullanıyorum, bir nedenden dolayı GSM kullanmanın uygun olmadığı durumlarda.
Ve yazışmalar Whatsapp üzerinden. Sadece telefonda bulunması, mahremiyet açısından bir artıdır.

Andrey Kuznetsov: Ve yazışmalar Whatsapp üzerinden. Sadece telefonda bulunması, mahremiyet açısından bir artıdır.

Andrey, burada artının ne olduğunu açıkla.

Pavlovski Roman

1. En sık kullanıyorum: Skype ve Hangouts - bir bilgisayarda çalışmak için, herhangi bir cihazdan VKontakte yazışmalarının geri kalanı için, çünkü müşteriler genellikle Skype'ı iş için ve Sosyal Ağlardaki arkadaşlar ve tanıdıklar için kullanır.

2. İdeal olarak şunu kullanmak isterim: Jabber - herhangi bir cihazdan yazışma ve aramalar için. Bana gelince, istemci herhangi bir cihaza kurulabilir ve kullanıcı nerede olursa olsun, zayıf bir İnternet bağlantısında bile buna karşılık gelebilir + buna jabber sunucunuzu yerleştirebilir ve tüm yazışmaları sunucuda saklayabilirsiniz, böylece daha sonra hızlı bir şekilde yapabilirsiniz istenen yazışmayı bulun. müşteri geçmişi nasıl depolayacağını bilmiyorsa ve jabber aracılığıyla aramalar için eklentiler bulunabilir (örneğin, aynı SIP Asterisk 1.8+ aracılığıyla)

Andrey Bayatakov

Çoğu zaman WhatsApp'ı (çoğunlukla iş için), aramalar (sesli / görüntülü / uluslararası aramalar) için kullanırım Skype. Masaüstü Skype çok sinir bozucu olsa da (bir transformatörüm var ve evde onu esas olarak tablet olarak kullanıyorum) ... Viber kök salmadı. WhatsApp üzerinden arama yapmak için demir sinirlere sahip olmanız yeterli. Muhatapınıza bir şey söyleyin ve sizi duyduğunda bir iki dakika bekleyin (50Mbit bağlantı) ...
Tamamen Skype'a geçmek mümkün olacaktır. Windows 10 Mobile'da, yakın zamanda yapılan bir güncellemeden sonra, Skype'tan gelen mesajlar doğrudan yerleşik Mesajlar uygulamasına (SMS gibi) gider ve bu çok kullanışlıdır.

Maksim

1. İsteksizce ICQ (geriye dönük müşteriler için) ve Slack (daha modern müşteriler için) kullanıyorum.
2. Jabber'ı kullanmak istiyorum - yukarıdaki Roman Pavlovsky ile aynı nedenlerle.

Vladimir Kiryushin

Merhaba Vadim!
Bu makaleden önce, her şeyin ödeme raporunun nasıl okunacağına dair makalenizi okudum. sistem diski chkdsk komutu ile. Harika makale! Onun sayesinde bugün sistem diskini chkdsk komutuyla kontrol ettikten sonra bir metin rapor dosyası aldım. Ve bu makale ayrıca birçok şeyi açıklığa kavuşturuyor PowerShell programı... Bir emekli olarak bazı şeyler bana anlaşılmaz geliyor ama panik yapmamaya ve özenle sonuna kadar okumaya çalışıyorum. Bizimle yaptığınız çalışmalar için teşekkür ederiz! Senin için her şeyin en iyisini dilerim!

Lekron

Bu akışı hangi tarayıcılar ve indiriciler oluşturuyor?

Kullanıcının akışları kullanması için başka hangi seçenekler var? Ve özellikle, bir senaryo yazarı kullanıcısı mı? Onları uzun zamandır bilmeme rağmen, onları hiç kullanmadım. Bir bilgisayarla gerçek çalışmada, onları hatırlamazsınız ve bu nedenle koltuk değneği yerine koltuk değneği yapıyor olabilirsiniz. uygun araç, ancak bu çalışma olmadan, hafızadan bir şey bulmak imkansız.
Sadece bir seçenek düşündüm. Dosya adına uzun metin yazma imkanı veya isteği yoksa dosyaya bir açıklama. Ancak bu, daha önce ve hatta şimdi onları descript.ion veya files.bbs'ye yazan dosya yöneticisinden destek gerektirir.

hız gurusu

USN dergisi gibi başka bir çöp teknolojisi. ZoneIdentifier veya bir dosya veya klasöre eklenen bir virüsten ne kadar yararlanacaksınız? Tabii ki değil. Üstelik bu, sistemi hiçbir şekilde normal bir kullanıcı için gerekli olmayan gereksiz "alt dosyalar" ile karıştırıyor. MFT dizinindeki her fazladan okuma ve alternatif akışların bakım ve bakımına eşlik eden diğer işlemler, fazladan harcanan işlemci döngüleridir, rasgele erişim belleği ve en önemlisi, sabit sürücüde fazladan bir yük.
Sistemin gerçekten bu teknolojiye ihtiyacı olduğunu söyleyebilirsiniz. Ancak bu saçmalık - sistem iş parçacığı olmadan iyi çalışır. Ancak kimse kullanıcıya sormuyor - zorlandılar (bir USN günlüğü gibi) ve bu akışların bakımını tamamen devre dışı bırakma fırsatı vermediler. Ama ben kullanıcılar olarak bunlara hiç ihtiyacım yok, sanırım sizin kadar iyi...
Tek yapabileceğimiz "streams -s -d% systemdrive%". Ancak bu bile sistem bölümündeki iş parçacıklarının silinmesini mümkün kılmaz.

Alexiz Kadev

Adlandırılmış akışlar harika bir şey ve hatırladığım kadarıyla NTFS'nin ilk sürümünden beri varlardı. Adlandırılmış akışlarda, örneğin, yanılmıyorsam bir dizi uygulamanın yapmış olduğu belge sürümlerini depolamak yeterince uygundur. Ancak, başka bir dosya sistemine kopyalarken bir pusu kalır - adlandırılmış akışlar basitçe kesilir.

Oylama sisteminde birden fazla haberci seçmenin imkansız olması üzücü: Birkaç tane kullanıyorum, çünkü bazı bağlantılarım belirli olanları tercih ediyor. Bu yüzden WhatsUp, ICQ (elbette yerel bir istemci değil), Skype, SkypeforBusiness (sessiz korku, müşteri değil, ancak Lync olarak adlandırıldığında daha da kötüydü) ve Viber (burada daha fazla spam var) kullanıyorum diğerlerine göre en az bir kez 5).
Ve ideal olarak, eklentileri olan Miranda gibi birini kullanın, çünkü gerekirse, tüm bu yığının neresinde ve nerede bir şey yazdığını / yazdığını bulmak gerçekçi değildir. Ama ne yazık ki, bir dizi üretici protokollerini kapatıyor ve onları iğneleri Kaschey olarak koruyor.

Vladimir Kokarev

VSh

Vadim Sterkin: Roman, Jabber'ı ankete dahil etmedim. Çok az insanın kullandığına ve hiçbir umut olmadığına karar verdim.

Boşuna
Örneğin, OpenFire'ı (ücretsiz xmpp) bir ofis iletişimcisi olarak birden çok alanda kullanıyorum.

Bu nedenle, benim asıl mesajım XMPP (Pidgin.exe, Spark.exe), ancak bu mesajların %99,8'i etki alanı içidir.
Skype - harici IM için
WhatsApp ve Viber - "rastgele kişiler" için, son n ay sadece SPAM, sanırım - silmeli miyim?

artem

Nedense her şey benim havamda. Ve bağlantının kalitesi oldukça tatmin edici. Ve böylece telgraflar olurdu. Evet, orada boş.

hazet

1. Skype (PC'de) ve Viber (Mobil'de). Sebepler temelde çoğunluk için aynıdır - mevcut temasların sayısı ve doğal olarak, bu temasların başka bir haberciye geçme konusundaki isteksizliği.
2.uTox. Minyatür, gereksiz bir şey yok, Win, Linux, Mac ve Android için istemci. Korumalı olarak konumlandırıldı.
not Şimdi bağlantılarımı ona daha sıkı çekmeye başlayacağım :-)

Evgeni Karelov

Çalışmanız için teşekkürler!

Anketle ilgili olarak, yazışma için bir bilgisayarda ICQ, VKontakte ve diğerlerinden kişilerin bağlı olduğu QIP 2012 kullanıyorum. Şahsen, birkaç protokol üzerinden iletişim kurmak için bir program kullanmak benim için uygundur. Ve sosyal medya beslemelerini tek bir yerden görüntüleme yeteneği çok cesaret verici. İdeal olarak, eksik olan tek şey, sesli iletişim için kullandığım Skype desteğidir, ancak belli ki görünmeyecektir.
Bu program "terkedilmiş" gibi görünse de uzun süredir güncelleme yapılmadığı için kendisine atanan işlevleri kusursuz bir şekilde yerine getiriyor.

tacir

IM'de veri akışları ve yoklama hakkında gönderinin konusundan ilginç bir karışıklık.

Ankete göre: XMPP tabanlı bir WhatsApp ve hatta başarı arayışı olmasına rağmen listeye dahil etmemeniz gereken Jabber / Jabber.

Jabber genel olarak tüm bu sorunları protokolün açık olması, birçok platform için istemcilerin bulunması ve kendi kendinize yükseltebileceğiniz sunucuların bulunması nedeniyle çözmektedir. Ama kaktüs çiğnemek daha geleneksel, evet.

İstemciler listelenir, protokoller değil.
ICQ ... iyi, oraya ifadeler koymadım çünkü zaten açık olmalı.
Jabber tek bir sorunu tam olarak çözmüyor - orada kimse yok.
- tacir
  
  Vadim Sterkin: İstemciler listelenir, protokoller değil.
  
  Protokol gereği ve kaynak kodları resmi istemci kapatılır, tek istemci ile protokol arasında doğal bir kimlik kurulur.
  
  Vadim Sterkin: ICQ ... iyi, oraya ifadeler koymadım çünkü açık olmalı.
  
  Asechka'nın doğal bir ölümle ölmesi çürümüş bir posta kilidi için yeterli değildir - ayrıca daha hızlı bükülmesi için ek çaba gösterirler.
  
  Vadim Sterkin: Jabber tek bir sorunu tam olarak çözmüyor - orada kimse yok.
  
  Yine de, Telegram için kendiniz yazdınız
  
  harika görünüyor, ama boş (düzeltilebilir)
  
  Jabber, bugünkü e-posta ekosistemi haline gelmek için her fırsata sahipti (protokolün tam açıklığı, sunucularını herkese yükseltebilme ve sunucular arasında etkileşim sağlayabilme vb.), ancak kurumların buna ihtiyacı yok ki bu açıkça görülüyor. ondan ayrılma örneğinde google veya tescilli Whatsapp.
  - Telegram için - düzeltilebilir, Jabber için - pek olası değil. Bu nedenle, ilki listede, ancak ikincisi yok.
    - tacir
      
      Elbette Telegram şık, modaya uygun, genç ve Pasha Durov gibi havalı kimse Jabber'ı hareket ettirmiyor. Buradaki beklentiler nelerdir.
      
      Um ... "Bütün dünya özgür yazılıma karşı" komplo teorileri tankınızdan çıkın. Her şey daha kolay
      
      Açık değilse, resmi olarak önerilen Jabber istemcisi ile en yaygın mobil platformda ilk etkileşim deneyimi bir kişi için böyle görünüyor.
      
      tacir
    - Komplo hakkındaki yorumumun neresinde biraz anlamadım.
      
      Evet, her yerde :) Jabber'ın başarısızlıklarını modası geçmiş ve genç değil diye yazmaya çalışıyorsunuz, müşterileri ise ilk ekrandan modern gerçekliğe adapte değil.
      
      Ekran görüntüsünde ne görmeliyim?
      
      Telefon numarasını girme istemi ~~~ O ~

NTFS dosya sisteminin birçok ilginç özelliği vardır, bunlardan biri alternatif veri akışlarının (ADS) kullanılabilirliğidir. Özleri, NTFS'deki her dosyanın, verilerin depolandığı bir dizi akış olmasıdır. Varsayılan olarak, tüm veriler ana akıştadır, ancak gerekirse dosyaya ek veriler ekleyebilirsiniz, alternatif akışlar veri.

Not. NTFS'deki alternatif veri akışları, Windows NT'de uzun zaman önce ortaya çıktı. Daha sonra MacOS'ta kullanılan HFS dosya sistemiyle uyumluluk için oluşturuldular. HFS, dosya verilerini özel bir kaynak akışında tuttu.

NTFS'deki dosyalar, biri $ DATA veya veri özniteliği olan özniteliklere bölünmüştür. Akışlar, $ DATA özniteliğinin ek özellikleridir. Varsayılan olarak, bir tane var, ana iş parçacığı $ VERİ: ″ ″... Gördüğünüz gibi, adı yok, bu yüzden denir. isimsiz... Ayrıca dilerseniz, örneğin ek olarak adlandırılmış akışlar oluşturabilirsiniz. $ VERİ: ″ Akış1 ″... NTFS'deki her dosya, farklı, ilgisiz veriler içeren birkaç veri akışına sahip olabilir.

Dosyaya yazılan tüm veriler varsayılan olarak ana veri akışına gider. Dosyayı açtığımızda tam olarak ana akışı görüyoruz, alternatif akışlar ise kullanıcıdan gizleniyor ve geleneksel yollarla görüntülenmiyor. onlar görülemez standart yollar, ancak bazı programlar içlerinde gizli olan verileri okuyabilir. Ayrıca, akışlarla çalışmak için şunları kullanabilirsiniz: Komut satırı.

Örneğin, konsolu açalım ve bir streams.txt metin dosyası oluşturmak için echo komutunu kullanalım ve metni buna yazalım:

echo Bu ana akış> streams.txt

Ve aşağıdaki komutla, metni alternatif stream1 akışına yazın:

echo Bu alternatif akış> akışlar.txt: akış1

Şimdi streams.txt dosyasını herhangi bir metin düzenleyicide açarsak, yalnızca ilk kaydı göreceğiz, "Bu alternatif akış" metni gizli kalacaktır. Stream1'de gizlenen bilgileri şu komutla okuyabilirsiniz:

daha fazla

Alternatif akışlar yalnızca tek tek dosyalara değil, dizinlere de eklenebilir. Örneğin, mevcut Akışlar dizinine "Akışlarda akışı gizle" metnini içeren alternatif bir akış2 akışı ekleyelim:

echo Akışlarda akışı gizle>: akış2

Ve aşağıdaki komutla stream2'yi görüntüleyeceğiz:

daha fazla<:stream2

Alternatif akışların içeriği konsoldan daha fazlasında açılabilir. Örneğin, dosya adında iki nokta üst üste ile ayrılmış alternatif bir akışın adını belirtirseniz, Not Defteri akışlarda gizlenen verilere de erişebilir. Akışın adını biraz değiştirerek stream1.txt olarak önceki örneği tekrarlayalım:

echo Bu alternatif akış> akışlar.txt: akış1.txt

Ve şu komutla not defterinde alternatif bir akış açın:

not defteri streams.txt: stream1.txt

Not. Standart Not Defteri, akış adında txt uzantısını gerektirir, aksi takdirde onu açamaz. Daha gelişmiş düzenleyiciler, örneğin aynı Notepad ++, adından bağımsız olarak alternatif akışın içeriğini gösterebilir.

Bir dosyadaki alternatif akışların varlığı, Explorer'da ve diğerlerinde hiçbir şekilde görüntülenmez. dosya yöneticileri... Onları bulmanın en kolay yolu komutu kullanmaktır. yön / R(ile başlayan Windows Vista), alternatif olanlar da dahil olmak üzere tüm veri akışlarını gösterir.

Alternatif akışların kullanımının metinsel verilerle sınırlı olduğunu düşünebilirsiniz. Bu hiç de öyle değil ve kesinlikle herhangi bir bilgi alternatif akışlarda saklanabilir. Örneğin, bir resim.txt dosyası oluşturalım ve içine aynı adlı resmi yerleştirdiğimiz pic1.jpg akışını ekleyelim:

yankı Resim> resim.txt
pic1.jpg> resim.jpg yazın: pic1.jpg

Böylece, dışarıdan normal bir metin dosyamız var ve alternatif bir akıştan bir görüntü açmak için grafik düzenleyici Paint komutunu kullanıyoruz:

mspaint resim.txt: pic1.jpg

Benzer şekilde, herhangi bir dosya türüne herhangi bir veri ekleyebilirsiniz - metin dosyalarına resim ekleyin, metin bilgisi vb. İlginç bir şekilde, alternatif içerik görünen dosya boyutunu artırmaz, örneğin 1kB'ye ekleme Metin dosyası 30GB HD video, dosya gezgini hala 1kB dosya boyutunu gösterecek.

Alternatif akışlarda da gizleyebilirsiniz yürütülebilir dosyalar... Örneğin, test.txt dosyasını alalım ve Not Defteri uygulamasını (notepad.exe) alternatif note.exe akışına ekleyelim:

notepad.exe> test.txt yazın: note.exe

Ve gizli not defterini başlatmak için şu komutu kullanın:

başlangıç \ test.txt: note.exe

Bu arada, bazı kötü amaçlı programlar, NTFS alternatif akışlarına yürütülebilir kod ekleyerek bu fırsatı kullanır.

Akış yardımcı programı

Alternatif akışlarla çalışmak için birkaç üçüncü taraf yardımcı programları, örneğin Sysinternals'dan gelen konsol yardımcı programı Akışları. Alternatif akışların varlığını algılayabilir ve silebilir. Yardımcı program kurulum gerektirmez, paketini açıp çalıştırmak yeterlidir. Örneğin, şu komutla Akışlar klasöründeki akışların varlığını kontrol edelim:

Streams.exe -s C: \ Akışlar

Alternatif akışları streams.txt dosyasından kaldırın:

Streams.exe -d C: \ Akışlar \ streams.txt

Güç kalkanı

PowerShell ayrıca alternatif akışlarla nasıl çalışılacağını da bilir - içeriklerini oluşturun, algılayın, görüntüleyin ve hatta silin. Örneğin, bir metin dosyası oluşturalım:

Yeni Öğe -Tür dosyası -Yol C: \ Akışlar \ akış.txt

Ana akışa bir giriş ekleyelim:

Set-Content -Path C: \ Streams \ stream.txt -Value ″ Ana akış ″

Ve Second adlı alternatif bir akışa:

Set-Content -Path C: \ Akışlar \ akış.txt -Değer ″ İkinci akış ″ - İkinci Akış

Ardından ana içeriğin içeriğini görüntüleyeceğiz.

Get-Content -Path C: \ Akışlar \ stream.txt

ve alternatif akışlar:

Get-Content -Path C: \ Streams \ stream.txt - İkinci Akış

Alternatif akışların varlığını tespit etmek için şu komutu kullanabilirsiniz:

Get-Item -Path C: \ Akışlar \ akış.txt - Akış *

Ve şu komutla gereksiz akışları kaldırabilirsiniz:

Kaldır-Öğe -Yol C: \ Akışlar \ akışlar.txt - Akış *

kullanım

Alternatif akışlar hem Windows tarafından hem de bazı programlar tarafından kullanılır. Örneğin, Internet Explorer ağı 4 güvenlik bölgesine böler ve dosya yüklerken bunlara indirildikleri bölge hakkında bilgi içeren etiketler ekler.

Bu etiketler alternatif akışta saklanır ve 0 ile 4 arasında bir sayıyı temsil eder:

İnternet (3)
Yerel ağ (1)
Güvenilir siteler (2)
Tehlikeli Siteler (4)
yerel bilgisayar (0)

Bunu doğrulamak için indirilenler klasörüne gidelim, internetten indirilen dosyayı alıp alternatif akışlar için kontrol edelim. Gördüğünüz gibi, adında bir akış içeriyor Zone.Identifier hangi satırı içerir Bölge Kimliği = 3.

Bu, dosyanın İnternetin güvenilmeyen bölgesine ait olduğu ve dosyayı açarken dikkatli olmanız gerektiği anlamına gelir. Word gibi bazı programlar, dosyayı açtığınızda bu verileri okur ve bir uyarı verir.

Ayrıca, Dosya Sınıflandırma Altyapısı (FCI) altyapısı, alternatif akışların kullanımına dayanmaktadır. İtibaren üçüncü taraf programları alternatif akışlar bazılarını kullanır antivirüs yazılımı, özellikle Kaspersky Anti-Virus, tarama sonucunda elde edilen sağlama toplamını saklar.

Bununla birlikte, alternatif akışların kullanımı bununla sınırlı değildir, onlar için herhangi bir kullanımı kendiniz belirleyebilirsiniz. Örneğin, onların yardımıyla kişisel bilgileri meraklı gözlerden gizleyebilirsiniz. Alternatif akışlar içeren dosyalar serbestçe kopyalanabilir veya diskten diske taşınabilir, tüm akışlar dosyayla birlikte kopyalanacaktır.

Yine de, alternatif akışları kullanırken, bunların NTFS dosya sistemine sıkı sıkıya bağlı olduklarını unutmayın. Bunları kullanmak için dosyaların sırasıyla NTFS'li disklerde bulunması gerekir, onlarla yalnızca Windows altında çalışabilirsiniz. Dosyayı başka bir dosya sistemine taşırsanız, ana sistem dışındaki tüm akışlar kaybolur. Dosyaları FTP yoluyla aktarırken veya e-posta eki olarak gönderirken alternatif akışlar da kesilir.
http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/ adresinden alınmıştır.

Henüz:
ADS, NTFS dosya sisteminin hiçbir şekilde kapatılamayan yerleşik bir özelliğidir.

ADS, diğer dosyalara ve hatta dizinlere (!) herhangi bir dosya eklemenize izin verir. İşletim sisteminin kendisi bunu zaman zaman kullanır ve İnternet'ten indirilen dosyalara "Zone.Identifier" akışını ekler.

Zone.Identifier bu arada “bu dosya internetten indirilmiştir” uyarılarından kurtulmak için düzenlenebilir. Güvenli Modda açılsın mı?"

Bunun gibi herhangi bir dosyaya bir akış ekleyebilirsiniz:
dosya1> dosya2 yazın: dosya3

bulmayı dene
yön / r

exe'yi şu şekilde çalıştırın:
dosya2'yi başlat: dosya3

işe yaramazsa, o zaman şöyle:
mklink dosya4 dosya2: dosya3
dosya4'ü başlat

Bu, örneğin, hesap makinesini C (!) kök sürücüsüne bağlar ve bağlantı yoluyla başlatır.

Windows NT 4.0'da tanıtıldı ve tüm torunları arasında yer aldı (win-95 soyundan gelenler hariç: 98, Me). Hala XP, Vista ve Win 7'de varlar. Hoşçakal Windows sürümleri NTFS'yi destekler, dosya akışlarını desteklerler. NTFS'yi uzun süre destekleyecekler.

Gönderdiğiniz hata, sorunuzda gördüğünüz sayfada açıklanmıştır. type komutu akışları anlamıyor. Kullanım:

Daha< 1013.pdf:Zone.Identifier

Akışlarla çalışma

Microsoft'un iş parçacıklarıyla çalışan yalnızca birkaç komutu vardır, aslında yalnızca< , >akışlarla çalışır ve bu nedenle yalnızca bu yeniden yönlendirme operatörleriyle çalışabilen komutlar kullanılabilir. Sadece bu komutlarla hala konuları nasıl kontrol edebileceğinizi yazdım.

Akışlar yalnızca kendileriyle çalışmak üzere tasarlanmış programlarla çalışır, çünkü özel olarak ele alınmaları gerekir (bağlantı noktalarını ve NTFS işlevini karşılaştırın, ancak sürücü ayrıntıları gizler ve programların özel bir şey yapması gerekmez: sadece birleşme noktası gerçek dosyasını sayarlar).

start filename: streamname ile bir dosya akışını açmaya çalıştığınızda ve program "geçersiz dosya adı" veya "dosya bulunamadı" gibi bir şey söylüyorsa ve akış adının doğru olduğundan eminseniz, program büyük olasılıkla akışları desteklemiyor. ... Not Defteri, Wordpad ve Word / Excel'in akışlarla doğru çalıştığını fark ettim, ancak Word ve Excel dosyaları tehlikeli olarak görüyor. Aşağıda bazı deneyler bulunmaktadır.

NOT: alternatif veri akışlarının tuhaf olduğunu düşünüyorsunuz. Garipler çünkü çok gizliler, ancak birçok büyük dosya sistemi (HFS, NSS) buna sahip ve konsept 80'lerin başına kadar uzanıyor. Aslında, akışlar başlangıçta diğer dosya sistemleriyle etkileşim kurmak için NTFS'ye eklendi.

Bu makalenin amacı, anlamını açıklamaktır.
alternatif veri akışları
v işletim sistemleri Pencereler,
nasıl oluşturulacağını göstermek ve
arabayı tehlikeye at, nasıl bulunur
public kullanarak gizli dosyalar
araçlar. İlk adım farkına varmaktır
ADS'nin anlamı ve oluşturdukları tehdit, o zaman
hack için nasıl kullanıldığını görelim
ve son olarak araçları ele alacağız
aktivite tespiti için ve nasıl
ile daha fazla yasadışı çalışmayı durdurmak
onlara.

Ne için?

Ek veri akışları şurada göründü:
NTFS ile birlikte Windows. Aslında, olduğum kadarıyla
Anlıyorum, onlarda özel bir anlam yoktu - onlar
HFS ile uyumluluk için yapılmıştır, eski
Macintosh dosya sistemi - Hiyerarşik Dosya Sistemi. Bir iş
bu dosya sisteminin kullandığı
için hem veri çatalı hem de kaynak çatalı
içeriğin depolanması. Veri Çatalı,
buna göre, içerikten sorumlu
belge ve için kaynak dalı
dosya kimliği - türü ve diğerleri
veri. Şimdiki zamana kadar varoluş hakkında
normal kullanıcılardan ek akışlar
az kişi bilir. Ancak bilgisayar dünyasında
belirli bir güvenlik aldıkları
Yayılmış. Örneğin, kötü bilgisayar korsanları
dosyaları depolamak için ADS'yi kullanın
güvenliği ihlal edilmiş bilgisayarlar, bazen de
virüsler ve diğer kötü amaçlı yazılımlar tarafından kullanılır. Bir iş
çünkü bütün mesele şu ki, bu akışlar
geleneksel yöntemlerle bakıldığında, aynı
Gezgin veya komut satırı. Nasıl
Bu akışlar ilginç mi? Ve bu durumda olduğu gerçeği
hırsızlık soruşturmaları her zaman ödeme yapmaz
bunlara dikkat, ayrıca tüm antivirüsler değil
varsayılan olarak akışları görüntüle
kötü amaçlı yazılım arayın.

Diyeceğim şey şu ki

Gerçek tehlikeyi anlamak için
ADS, onlarla nasıl çalışılacağını daha iyi gösterecektir.
Örnekte, nüfuz etmek için Metasploit Çerçevesini kullanıyoruz.
arabada. Bunu yapmak için güvenlik açığını kullanıyoruz
MS04-011 (lsas). Ardından, TFTP kullanarak dosyaları yükleyeceğiz,
ek akışlara yerleştireceğimiz
veri. Bir kez bittiğinde
uzak makineyi komuttan çalıştırın
ağı tarayacak bir dizi tarayıcı
diğer arabaların varlığı. Not,
Metasploit Çerçevesinin yazarlarının sağladıkları
METASPLOIT imzası ile yaratım, böylece yaratıcılar
güvenlik yazılımı bir paketi algılayabilir
MF'den çıkış. Pakete dikkat,
saldırgandan geliyor:

Burada 192.168.1.102 saldırganın bilgisayarıdır
Metasploit Framework ve 192.168.1.101 olan
Win2K Prof. Bu durumda eksen
Yamalar ve hizmet paketleri olmadan teslim edilir,
sadece gösteri amaçlı
:). Lütfen ADS'nin tek başına olmadığını unutmayın.
çok faydalı, doğal olarak zevk veriyorlar
saldırgan yalnızca varsa
makine erişimi, sistem güvenlik açığı
işletim sistemi. Gerçek bir ağda,
yamasız bir W2K bulmanız pek olası değildir, bu nedenle
başka ilkeler aramak zorunda
penetrasyon.

Aşağıda saldırının başarılı olduğunu ve devam ettiğini görüyoruz.
saldıran makinenin açık bir ters kabuğu var,
kurban tarafından verildi. Bunun için varsayılan
Metasploit güvenlik açığı 4321 numaralı bağlantı noktasını kullanır,
ancak değiştirilebilir:

Arabaya girdikten sonra oraya transfer etmelisiniz.
Dosyalar. Bunun için TFTP kullanıyoruz, bu
eğer ipeye.exe alırsak.

Aynı şekilde, psexec.exe, pslist.exe dosyasını indirin ve
klogger.exe. C:\Compaq\ dizininin bir listesini yapalım,
her şeyin yemin ettiği yer:

Şimdi ipeye.exe'yi akıştan itelim,
mevcut bir dosyayla ilişkili
test_dosyası.

Daha sonra aynı şey üzengi ile yapılabilir.
iş için gerekli diğer dosyalar.
Lütfen alternatifin
akış sadece
dosyalar için değil, aynı zamanda dizinler için de aynı C: \ k
örnek. Bahsettiğimiz tarayıcıyı başlatalım
başlangıçta konuştu, ipeye.exe, virüslü
bilgisayar:

c: \ Compaq \ test_file: ipeye.exe

(Devam edecek)