Menü
Bedava
giriş
ana  /  Tavsiye / Alternatif NTFS akışlarını kullanarak. NTFS'de alternatif veri akışları veya Not Defteri'ni nasıl gizleyeceğiz

Alternatif NTFS akışlarını kullanarak. NTFS'de alternatif veri akışları veya Not Defteri'ni nasıl gizleyeceğiz

Bu makalenin amacı anlamını açıklamak için
Ek Veri Akışları (Alternatif Veri Akışları)
Ameliyathanelerde windows Sistemleri,
nasıl oluşturulacağını ve
arabayı tehlikeye atmak, nasıl bulmak
Halka açık kullanan gizli dosyalar
araçlar. İlk adımın farkında olması gerekecek
reklamların anlamı ve ne tehdit ediyorlar, sonra
Hacking için nasıl kullanıldığını görelim
Ve nihayet araçları düşünün
Etkinliği tespit etmek ve nasıl
daha fazla yasadışı çalışmayı durdur
onlarla.

Ne için?

Ek veri akışları göründü
NTFS ile Windows. Aslında, benim kadarıyla
Anlıyorum, bunlarda belirli bir nokta yoktu - onlar
HFS, eski ile uyumluluk için yapıldı
Macintosh dosya sistemi - Hierachical dosya sistemi. Bir iş
Bu dosya sisteminin kullandığı
Hem veri şubesi hem de kaynak şubesi
İçerik depolama. Veri şubesi
Buna göre, içeriğinden sorumlu
belge ve kaynakların dalı
Dosya tanımlaması - türü ve diğer
veri. Şimdi varoluş zamanı
Sıradan kullanıcılardan ek akışlar
Birkaç kişi biliyor. Ancak, bilgisayar dünyasında
Güvenlik kesintileri var
Yayılmış. Örneğin, kötü hackerlar
dosyaları saklamak için reklamları kullanın
bilgisayarları hacked, yanı sıra bazen
Virüsleri ve diğer kötü amaçlı yazılımları uygulayın. Bir iş
Sonuçta, her şey bu akışların olmamasıdır.
geleneksel yöntemlerle incelenen, aynı
İletken veya komut satırı aracılığıyla. göre
Bu akarsular ilginç mi? Ve ne durumunda
Hacking'in araştırılması her zaman ödeme yapmaz
Onlara dikkat, yanı sıra, tüm antivirüsler değil
Varsayılan olarak, akışlara bakın.
Kötü amaçlı yazılım arayın.

İş için

Gerçek bir tehlikeyi anlamak için
Reklamlar onlarla çalışmayı daha iyi göstermektedir.
Örnekte MetaSploit Framework kullanarak nüfuz etme
arabada. Bunun için güvenlik açığı kullanıyoruz
MS04-011 (LSASS). Sonra TFTP'nin yardımı ile dosyaları doldurun,
hangisi ve ek akışlara koymak
veri. Tamamlandığı anda
Uzak makine komuttan çalıştırın
Ağı tarayan satır tarayıcı
Diğer makinelerin kullanılabilirliği. Not,
MetaSploit çerçevesinin yazarlarının onların sağladığı
Yaratılış İmzası Metasploit, böylece yaratıcılar
Koruyucu programlar paketi belirleyebilir
MF'den giden. Pakete dikkat edin,
Saldırgandan giden:

Burada 192.168.1.102 PC saldırganı
Hangi MetaSploit Framework ve 192.168.1.101
Win2k Prof. ile savunmasız comp Bu durumda, eksen
Yamalar ve servis sparları olmadan ayarlayın,
Sadece gösteri hedefleri için
:). Reklamların kendilerinin olmadığını lütfen unutmayın.
çok yararlı, doğal olarak lütfen
Saldırgan sadece varsa
Arabaya erişim, sistem güvenlik açığı
işletim sistemi. Bu ağda
Bilirkisiz W2K'yı bulmanın pek mümkün değil
diğer ilkeleri aramak zorunda kalacak
penetrasyon.

Aşağıda, saldırının başarılı olduğunu görüyoruz.
Saldırak makinesi açık geri dönüşümlü kabuk,
Teslim edildi. Bunun için varsayılan
Metasploit'teki güvenlik açıkları 4321 numaralı bağlantı noktası,
Ancak, değiştirilebilir:

Otomobilin nüfuz edilmesi oraya geçilmelidir
Dosyalar. Bunu yapmak için, bu konuda TFTP kullanın.
Dava iPheye.exe alırız.

Aynı şekilde, psexec.exe, pslist.exe ve
Klogger.exe. C: \\ Compaq \\ dizininin listesini yapalım.
Her şeyin çöktüğü yer:

Şimdi Street, Stream ile Ipeye.exe,
mevcut bir dosya ile ilişkili
TEST_FILE.

Sonra aynı yapılabilir ve karıştırılabilir
Gerekli diğer dosyalar.
Bu alternatif not
Stream sadece için değil düzenlenebilir
Dosyalar, aynı zamanda dizinler için de aynı C: \\ K
Misal. Hangi tarayıcıyı çalıştırdığımız hakkında çalıştırın
başlangıçta ipeye.exe, virüslü konuştu
Bilgisayar:

c: \\ Compaq \\ Test_File: iPeye.exe

(Devam edecek)

NTFS dosya sistemi, biri alternatif veri akışlarının (alternatif veri akışı, reklamlar) varlığı olan birçok ilginç fırsatlara sahiptir. Bunların özü, NTFS'deki her dosyanın verilerin depolandığı bir dizi iş parçacığıdır olmasıdır. Varsayılan olarak, tüm veriler çoğunlukla bir akıştır, ancak gerekirse, ek veri, alternatif veri akışları ekleyebilirsiniz.

Not. NTFS'deki alternatif veri akışları, Windows NT'de bile uzun zaman önce ortaya çıktı. MacOS'ta kullanılan HFS dosya sistemi ile uyumluluk için yaratıldılar. HFS, dosya verilerini özel bir kaynak akışına tuttu.

NTFS'teki dosyalar, biri $ veri veya veri özniteliği olan özelliklere ayrılmıştır. Akışlar, $ veri niteliğinin ek özellikleridir. Varsayılan olarak, ana akış var $ Veri: "". Gördüğünüz gibi, adı yok, bu yüzden çağırır. Özensiz. Ayrıca, istenirse, örneğin ek, adlandırılmış akışlar oluşturabilirsiniz. $ Veri: "Stream1". NTFS'teki her dosya, herhangi bir şekilde çeşitli verileri içeren birkaç veri akışına sahip olabilir.

Dosyada kaydedilen tüm veriler varsayılan olarak ana veri akışına göredir. Dosyayı açtığımızda, tam olarak ana akışı görüyoruz, alternatif akışlar kullanıcıdan gizlenmiş ve geleneksel ajanlar kullanılarak görüntülenmiyor. Görülemezler standart yöntemlerHer ne kadar bazı programlar onlara gizlenmiş verileri okuyabilse de. Ayrıca, ipliklerle çalışmak için, komut istemini kullanabilirsiniz.

Örneğin, konsolu açın ve ECHO komutunu kullanarak oluşturulacaktır. metin dosyası Streams.txt ve metni yazmak:

echo bu ana akıştır\u003e Streams.txt

Ve bir sonraki takım alternatif akış akışına metin yazacak1:

echo bu alternatif akıştır\u003e Streams.txt: Stream1

Şimdi Streams.txt dosyasını herhangi bir şekilde açarsanız metin düzeltici, sadece ilk kaydı göreceğiz, "bu alternatif akış" metnini gizlenecek. Stream1 Stream'taki gizli okumak için, komutu yapabilirsiniz:

daha

Alternatif akışlar sadece bireysel dosyalara değil, dizinlere de eklenebilir. Örneğin, mevcut akış dizinine "akışlarda akışları gizle" metnini içeren alternatif bir street2 akışı ekleyin:

echo akışlarda akışı gizle\u003e: Stream2

Ve Stream2 akışını bir sonraki komutla geri çekin:

daha<:stream2

Alternatif akışların içeriği sadece konsolda değil açılabilir. Örneğin, Notepad, Colon üzerinden dosya adındaki alternatif akışın adını belirtirseniz, akışlarda gizlenen verilerin nasıl erişileceğini de biliyor. Stream1.txtt üzerindeki akışın adını değiştirerek önceki örneği tekrarlıyoruz:

echo bu alternatif akıştır\u003e Streams.txt: Stream1.txt

Ve bir dizüstü bilgisayar ekibinde alternatif bir akış açın:

notepad streams.txt: stream1.txt

Not. Standart Notepad, TXT'nin akış adına genişlemesini gerektirir, aksi takdirde açılamayacaktır. Aynı Not Defteri ++ gibi daha gelişmiş editörler, adından bağımsız olarak alternatif bir akışın içeriğini gösterebilir.

Dosyadan alternatif akışların varlığı iletken ve diğerlerde görüntülenmiyor dosya yöneticileri. Onları bulmak için, en kolay yol takımı kullanmaktır. dir / R.(ile başlayan Windows Vista.), alternatif dahil tüm veri akışlarını gösteren.

Alternatif akışların kullanımının metin verileri ile sınırlı olduğu görebilirsiniz. Bu hiç öyle değil ve alternatif akışlarda kesinlikle herhangi bir bilgiyi saklayabilirsiniz. Örneğin, bir Picture.txt dosyası oluşturun ve aynı adın görüntüsünün şu şekilde olduğu için bir PIC1.JPG akışı ekleyin:

echo picture\u003e picture.txt
Pic1.jpg yazın\u003e picture.jpg: pic1.jpg

Böylece, dışarıdan normal bir metin dosyasına sahibiz ve bir alternatif bir akıştan görüntü açmak için grafik editörü Takımı kullandığımız boya:

mspaint picture.txt: pic1.jpg

Benzer şekilde, herhangi bir veri herhangi bir dosya türüne eklenebilir - metin dosyalarına görüntüler eklenebilir, medya dosyalarına eklenebilir metin Bilgisi Ve böylece. İlginç olan, alternatif içerik görünür dosya boyutunu arttırmaz, örneğin, bir metin dosyasına HD videoya 1KB'ye 30 GB'a 1KB'ye ekleyerek, iletken hala 1KB dosyasının boyutunu gösterecektir.

Alternatif akışlarda bile, yürütülebilir dosyaları gizleyebilirsiniz. Örneğin, Test.txt dosyasını alın ve bir alternatif note.exe akışına bir dizüstü bilgisayar uygulaması (Notepad.exe) ekleyin:

notepad.exe\u003e \u200b\u200bTest.txt: Note.exe

Ve gizli bir dizüstü bilgisayar başlatmak için ekibi kullanıyoruz:

başlat. \\ Test.txt: note.exe

Bu arada, bazı kötü amaçlı programlar bu fırsat tarafından kullanılmakta, alternatif olarak yürütülebilir kod ekler nTFS akışları.

Faydalı akışlar.

Alternatif akışlarla çalışmak için, Console, SysInternals'tan yardımcı programlar gibi birkaç üçüncü taraf yardımcı programı vardır. Alternatif akışların varlığını belirleyebilir ve bunları silebilir. Yardımcı program kurulum gerektirmez, onu açmak ve çalıştırmak için yeterlidir. Örneğin, Streams Team komutundaki akışların varlığını kontrol edin:

Streams.exe -s C: \\ Streams

Ve alternatif akışları Streams.txt dosyasından çıkarın:

Streams.exe -d C: \\ Streams \\ Streams.txt

Güç kalkanı

PowerShell ayrıca alternatif akışlarla nasıl çalışacağını biliyor - içeriğini oluştur, algıla, içeriğini göster ve hatta silme. Örneğin, bir metin dosyası oluşturun:

Yeni-Öğe -Type Dosyası -Path C: \\ Streams \\ Stream.txt

Ana akışa giriş ekleyin:

Set-Content -Path C: \\ Streams \\ Stream.txt -Value "Ana Akış"

Ve ikinci adıyla alternatif bir akışta:

Set-Content -Path C: \\ Streams \\ Stream.txt - Değerli "İkinci Akış" - Geçiş İkinci

Sonra ana içeriğini getiriyoruz

Get-Content -Path C: \\ Streams \\ Stream.txt

ve alternatif akışlar:

Get-Content -Path C: \\ Streams \\ Stream.txt -Stream İkinci

Alternatif akışların varlığını tespit etmek için komutu kullanabilirsiniz:

GET-item -Path C: \\ Streams \\ Stream.txt-Stream *

Ve ekstra dişleri komutla kaldırabilirsiniz:

Kaldır-Öğe -Path C: \\ Streams \\ StreReams.txt-Stream *

Kullanma

Alternatif akışlar hem camların hem de bazı programları kullanıyor. Örneğin, Internet Explorer. Ağı 4 güvenlik bölgesine böler ve dosya indirirken, yüklendikleri bölge hakkında bilgi içeren etiketleri ekler.

Bu etiketler alternatif bir akışta saklanır ve 0'dan 4'ten 4'ten bir sayıyı temsil eder:

İnternet (3)
Yerel ağ (1)
Güvenilir siteler (2)
Tehlikeli Siteler (4)
Yerel bilgisayar (0)

İndirme klasörüne geçtiğimizden emin olmak için internetten indirilen dosyayı alın ve alternatif akışlar için kontrol edin. Gördüğünüz gibi, adıyla bir akış var Bölge.İçinde bir dize var Zourid \u003d 3..

Bu, dosyanın güvenilmeyen bir internet bölgesini ve keşfedildiğinde, dikkatli olması gerektiği anlamına gelir. Word gibi bazı programlar, dosyayı açarken ve uygun uyarıyı verirken bu verileri okuyun.

Ayrıca, dosya sınıflandırma altyapısı (dosya sınıflandırması altyapısı, FCI) alternatif akışların kullanımına dayanmaktadır. Nın-nin Üçüncü taraf programları Alternatif akışlar biraz kullanın antivirüs ProgramlarıÖzellikle, Kaspersky Anti-Virus, kontrol toplamını kontrol etme sonucu olarak saklar.

Bununla birlikte, alternatif akışların kullanımı bununla sınırlı değildir, kendiniz için herhangi bir uygulamaya gelebilir. Örneğin, yardımlarıyla birlikte bireysel bilgileri yabancı gözden gizleyebilirsiniz. Alternatif akışları içeren dosyalar serbestçe kopyalanabilir veya diske aktarılabilir, tüm akışlar dosyayla birlikte kopyalanacaktır.

Ve yine de, alternatif konuları kullanırken, NTFS dosya sistemine sıkıca bağlandıklarını hatırlamak gerekir. Onları kullanmak için, dosyalar NTFS ile disklerde bulunmalıdır, sırasıyla onlarla sadece Windows'un altından çalışır. Dosyayı diğerlerine taşırsanız dosya sistemiAna hariç tüm akışlar kaybolacak. Ayrıca, dosyaları FTP'ye aktarırken veya posta eki olarak gönderilirken alternatif akışlar kesilir.
Http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/ adresinden alınmış

Hala:
Reklamlar - Dahili dosya Fishka nTFS Sistemleriherhangi bir şekilde kapatılamaz.

Reklamlar, diğer dosyalara ve hatta dizinlere (!) Herhangi bir dosya eklemenizi sağlar. OS'nin kendisi periyodik olarak kullanır, internetten indirilen "Zone.Idifier" dosyasını ekleyerek

Zone.Identifier, bu arada, uyarılardan kurtulmak için düzenle, "internetten indirilen bu dosya. Güvenli modda açık mı? ".

Bunun gibi herhangi bir dosyaya bir akış ekleyebilirsiniz:
Tip File1\u003e File2: File3

tespit etmeye çalış
Dir / R.

eXE'yi böyle çalıştırın:
Start file2: file3

eğer çalışıldıysa, o zaman:
Mklink file4 file2: file3
File4'ü başlat.

Bu, örneğin, (!) 'Den kök diskine bir hesap makinesi verecek ve bağlantı yoluyla başlatmak

Makale, 2004'te "Hacker" dergisi için yazılmıştır. 09/04 (69) "yıkıcı akışlar" olarak adlandırılan odada çıktı.

Bir sonraki NT sistemini yakalamak ve ev yapımı casus yazılımını oluşturmak, toplanan bilgileri kurbanın bilgisayarında saklama problemini çözmek gerekir. Genellikle log, katalogdaki basit bir dosyada yazılır. büyük miktar Örneğin, System32'de dosyalar.

NTFS özellikleri

Bu ortak, ama uzak en iyi yol Yerel bir bilgisayardaki bilgileri gizle. Kullanıcının, aniden bir anda kendi sistem dizininde görünen ekstra, sürekli güncellenmiş bir dosyayı fark edeceği bir şans var. Mevcut bir dosyaya bir günlük ekleyin? Öncelikle böyle bir dosyayı bulmanız, hangi bilgilerin içeriğini bozmayacağını eklemeniz gerekir. Bilgiyi, iletkenden veya komut satırından veya herhangi bir dosya yöneticisinden görünmeyen bir yerde tutmaya ne dersiniz? Bu özellik bize NTFS dosya sistemini sağlar. Çoğu kullanıcı hala FAT32'yi tercih edenler, hatta XP altında oturan olanlar bile, her zamanki evinizde nadiren buluşacak. Ancak, Win2k / XP altında çalışan herhangi bir firmanın yerel ağında, NTF'ler neredeyse kesinlikle kullanılır, çünkü bu dosya sistemi kullanıcılara, şifreleme ve dosyaların sıkıştırılması gibi özellikler gibi özellikler sunar. Ek olarak, NTF'ler FAT32'den çok daha güvenilirdir. Bu nedenle, tarif edeceğim verileri gizleme yöntemi, endüstriyel casusluk için idealdir. Longhorn'un ortaya çıkmasıyla NTFS, NTFS'ye dayalı yaklaşmakta olan WinFS dosya sisteminden bu yana, yurt içi bileşenlere yerleşme ve yerleşik olma şansı var. ek özellikler Sıradan kullanıcıları çekmesi gereken bilgileri sıralamak ve aramak için.

Dosyaya herhangi bir veri kapatma

Yöntem, verileri her zamanki gibi dosyaya veya NTFS dosya akışında kaydetmektir. Akarsu başka bir dosyaya eklenebilir (bu durumda, boyutu değişmez ve veriler bozulmadan kalır ve bu nedenle dosyaların şampiyonlarını kontrol eden yardımcı programlar değişiklikleri ve diske değiştirilmez. Alternatif NTFS dosya akışları, en eskiden bu yana içinde bulunan NTF'lerin olanaklarından biridir. windows sürümleri Nt. Bir dosyanın, dosyanın içeriğinin depolandığı ana iplik içeren bir dosyanın veri içeren birkaç akışa sahip olabileceği gerçeğindedir. Benzer bir şey MAC'lerde HFS dosya sistemindedir. İplikler var (akarsular) dallanma (çatallar) denir. Son zamanlarda, dosya kaynağı deposu olarak kullanılmışlar veya dosya türü hakkında bilgi içeriyorlardı. MacOS X'in ortaya çıkışı ile Apple, kaynakları yerleştirmek için önerilir. ayrı dosyalarıve uzantıları belirlemek için dosya türleri. Ancak dallanma desteği yine de kalır. Windows'ta akışlar genellikle herhangi birini saklamak için kullanılır. daha fazla bilgi için Dosya hakkında. Örneğin, bir akış, bir belge özeti içerebilir. Sistem NTFS ile diskteyse, Explorer.exe dosyası muhtemelen bir özet içeriyor. Özetin içeriğine bağlı olarak, Sunucunun adları ile akışlar, belgelerMaryInformation ve diğerleri dosyaya eklenebilir. Bilgisayarımda, C sürücüsüne bağlı, $ Mountmgrremoticadabase adlı bir akış buldum.

Akış dosyasına bağlı akışlarda, yalnızca bazı durumlarda, örneğin bir dosyayı bir dosyayı yağ / FAT32 olan bir diske bir diske kopyalarken öğrenebilir. Bu dosya sistemleri bunları desteklemez, bu nedenle sistem akışlardaki bilgi kaybını onaylamak, adlarını belirten bir istek verecektir. Tabii ki, iplik diske veya sistem klasörüne takılıysa bu durum asla ortaya çıkmaz. Spyware akışlarını kullanmak gerekli değildir. Bir shareware programlarının geliştiricisiyseniz, daha sonra akış bilgisi akışlarını, kullanım süresinin sona ermesinden önceki gün sayısını, Word, Word, programınızdan gizlenmesi gereken gün sayısı kolayca kullanabilirsiniz.

Akışlarla çalışmak

Dosyalar ve akışlarla çalışırken benzerlikler ve farklılıklar vardır. Çok fazla değil gibi görünüyor. Hem dosya hem de akışları aynı Winapi Createfile ve SeleteFile özellikleri tarafından oluşturulur ve silinir. Okuma ve yazma sırasıyla, ReadFile ve WriteFile işlevlerini yerine getirir. Bu benzerlikte benzerlikler var, daha sonra bazı farklılıklar gider. İplik adlarında, normal dosyanın adının bir parçası olamayan uzmanlar içerebilir: "*", "?", "Gibi<”, “>"," | " ve tırnak simgesi. Genel olarak, akışın herhangi bir adı Unicode formatında kaydedilir. 0x01 - 0x20 aralığındaki programlar hala kullanılabilir. Standart bir akış kopyası yok ve transfer işlevi yok: MoveFile ve CopyFile iş parçacığı ile çalışmıyor. Fakat kimse işlevlerini yazmak için rahatsız edici değil. Konuların kendi nitelikleri, oluşturma ve erişim tarihleri \u200b\u200byoktur. Eklendiği dosyadan devralınırlar. Dosyada herhangi bir veri varsa, ayrıca bir akış olarak da temsil edilebilirler. Akış İsimleri "Dosya Adı: İç Mekan Adı: Öznitelik" olarak görüntülenir. Verilerin $ veri adı verdiği standart akış özelliği. İsimleri aynı zamanda "$" işaretinden de başlayan diğer birçok öznitelik var. Dosyanın içeriği isimsiz akışta (NAME_NAME :: $ veri). Dosya sisteminin bu özelliği ile dosyanın içeriğini bir akış biçiminde temsil eder, daha yaşlı bir hata bağlandı microsoft sürümleri IIS, bir komut dosyasının metnini savunmasız bir sunucuya tanımak isteyen bir hacker, basitçe ":: $ veri" adına eklenir ve Sunucu, komut dosyasını yürütmek yerine, kaynak kodunu yayınladı. Akışlarla çalışmak, dosyalarla çalışmaya benzer. 1. Liste 1. Bu, akışlı bir dosya oluşturan bir programın basit bir örneği ve buna yazan bilgileri oluşturur. Programı başlattıktan sonra, dizininde boş bir "testfile" dosyası görünecektir. Ekli akışın içeriğini yazarak görebilirsiniz. komut satırı "Daha< testfile:stream». Как видишь, имя потока указывается после имени файла, отделенное от него знаком двоеточия. Самое трудное при работе с потоками – это получить их список для конкретного файла. Стандартной функции нет, и поэтому придется писать ее самому. Напишем небольшую konsol programıBu, dosya adına göre bir akış listesi döndürür. Böyle bir program, Sysinternals'tan gelen adamlardır. açık kaynakVe çalışıyor, ama kendi yollarını beğenmedim. Yerel API çağrıları kullanırlar ve bu nedenle kodları büyük ve anlaşılması zordur. Prog'unuzu komut satırından çalışacak, algoritma daha basit ve standart API özellikleriyle yazacağız.

Bir akış listesi alıyoruz

Algoritma, BackupRead işlevinin uygulanmasına dayanır. İçin tasarlanmıştır rezerv kopyası Dosyalar. Ne zaman yaptığında destek olmak Dosya, dosya akışları dahil olmak üzere mümkün olduğunca fazla veri tasarrufu sağlamak önemlidir. Bilgi Win32_stream_id yapısından alınır. Oradan akışın adını, türünü ve boyutunu alabilirsiniz. Yalnızca BACKUP_ALternate_Data gibi konulara ihtiyacımız olacak. Tüm fonksiyonlar ve yapılar açıklanmaktadır. başlık dosyası Winnt.h. Öncelikle CreateFile kullanarak bir okuma dosyası açmanız gerekir. DwFlagSandatTributes parametresinde, yalnızca dosyaları değil, aynı zamanda dizinleri de açmanıza izin verecek olan File_Flag_Backup_Semantics bayrağını belirtmelisiniz. Ardından, SID yapısındaki dosya bilgilerini okuyan iken döngüsünü çalıştırın, bunlardan her dere hakkında bilgi alacağız. Bir sonraki döngü geçişinden önce, yapıyı temizleriz ve dosya işaretçisini Backupseek işlevini kullanarak bir sonraki ipliğe kaydırıyoruz. Tüm akışlar bulunduktan sonra, servis bilgilerini içeren LPContext'i temizliyoruz ve dosyayı kapatıyoruz. Programın kaynak kodu listelemede listelenmiştir. 2. Zaten derlenmiş prog diskimizden alabilirsiniz. Akışlarla çalışmak için, özel programlar yazmak gerekli değildir. Doğrudan komut satırından bir şeyler yapabilirsiniz. Yerleşimde birkaç örnek gösterilmiştir.

Tespit etme

Akışı bilgiyle herhangi bir şeye takmak, ismini bilmemek, içeriğine ulaşmak zordur. Akış mantığa eklerse, o zaman yok standart araçlartespit etmek için. Akış adı, normal dosyaların adlarında geçersiz olan karakter içerebileceğinden, komut satırını kullanarak akışın içeriğini bulmaya çalıştığınızda ek zorluklar oluşturur. Belge raporlarının içeriği, genellikle 0x05 kodlu bir sembol içeren bir başlığa sahip bir akışta depolanır. Bu sembol konsolda (CTRL + E) yazılabilir, ancak 0x10 veya 0x13 sembolü (iade taşıyıcı ve satır çevirisi) olsaydı, bunları aramak imkansız olurlar. Teorik olarak, bilgisayarınızda sahip olması muhtemel olan bazı yazılımları kullanarak ekli akışları tesadüfen öğrenebilirsiniz. WinRAR'ın bir seçeneğine sahiptir ve etkinse, arşive yerleştirilen küçük bir dosyanın boyutunun sadece azaltılmadığını, ancak hatta arttığını fark edebilirsiniz (akıştaki verilerin de yerleştirildiğinden dolayı) Arşiv). Bu şüphelere neden olabilir. Dosya sistemine yapılan aramaları izlemek için bir program - aynı SySinternals'tan Firemonitor - dosya veya dişler arasında farklılıklar yapmaz. Buna göre, şüpheli bir programın (Keylogger'ınız) diskine olan temyiz başvurusunun özenli çalışması yapılır ve kütüğün yazıldığı akışın adı ve eklendiği dosyanın adı.

Virüsler

Eylül 2000'de, dağılımı için alternatif dosya akışlarını kullanan bir ilk virüs vardı. W2K.Stream, yeni virüs türlerinin ilk temsilcisiydi - Stream Companion. .Exe dosyasındaki dosyaları arıyor ve bulursa, enfeksiyon işlemini başlatır. Virüsün orijinal dosyanın içeriğini aktardığı dosyaya ek bir akım eklenir ve ardından virüs gövdesi ana dosya akışına kopyalanır. Virüslü dosyayı çalıştırdıktan sonra, virüs tekrar dosyalarında dosyalara enfekte etmeye çalışır ve ardından programı ek akıştan başlatır. Nitekim, CreateProcess özelliğini kullanarak akıştan bir işlem yapabilirsiniz. Ayrıca, akışa sahip dosya sakince kaldırılabilir ve işlem kalacaktır. Trojanov için sadece bir masal! W2K.Stream'in görünümünden bu yana neredeyse dört yıl geçtiği gerçeğine rağmen, tüm antivirüsler tespit edebiliyor zararlı kod dosya akışlarında. Bu nedenle, onları kullanan yeni solucanların ve virüslerin ortaya çıkması ciddi bir tehlike olabilir.

İplikleri kullanarak diğer virüsler

W2K.Stream'e ek olarak, akışlar diğer virüslerde ve solucanlarda kullanım buldu. İlk solucan kullanılmış dosya akışları i-worm.potok idi. Bu küçük hayvan, Windows dizininde ODBC.INI dosyasına birkaç diş açar ve kendinizi posta yoluyla göndermek için komut dosyaları saklar. Başka bir virüs w2k.team. Sitede bulabileceğiniz bu ve diğer benzer virüslerin açıklaması http://www.viruslist.com/

Konsol akışları ile çalışmak

Bir Akış Dosyası Oluşturma:
Nul\u003e somefile.txt türü: akış

Akış girişi:
Echo "bir şey" \u003e\u003e somefile.txt: akış

Akış okuması:
Daha< somefile:Stream

Akıştaki mevcut bir dosyanın içeriğini kopyalayın:
File1.txt türü \u003e\u003e somefile.txt: akış

Akış içeriğini dosyaya kopyalama:
Daha< somefile.txt:Stream >\u003e File2.txt

Akışların çıkarılması

Akışın yalnızca eklendiği dosyayla silinebileceği bir görüş vardır. Bu doğru değil. Akışın adını biliyorsanız, standart bir deletefile işleviyle her zaman silebilirsiniz.

Liste 1. Bir akış oluşturma örneği.

#Dahil etmek. int main () () (DWORD DWRET; HSTEAM \u003d Createfile ("Testfile: Stream", Generic_Write, File_Share_Write, Null, Open_Always, Null, Null); WriteFile (HFILE, "Bu bir akış", 17, & Dwret, NULL) ; Closehandle (HSTEAM); geri dönüş 0;)

Listeleme 2. X-Stream: Bir akış listesini gösteren program

#Dahil etmek. #Dahil etmek. #Dahil etmek. #Dahil etmek. int _tmain (int argc, _tchar * argv) (Win32_Stream_ID SID; Zeromemory (& SID, SizeOF (Win32_stream_id)); DWORD DW1, DW2, DWREAD; int numofstreams \u003d 0; // Unicode Wchar WszStreamName'deki akışın adı için tampon ; lpvoid lpcontext \u003d null; / * * Sadece dosyaları değil, aynı zamanda disklerle dizinleri de açmamızı sağlayan * file_flag_backup_semantictic parametresiyle okunacak dosyayı açın. * / HOLD HFILE \u003d CreateFile (argv, genel, file_share_read, , open_existing, file_flag_backup_semantics, null); eğer (hfil \u003d\u003d invalid_handle_value) (printf ("\\ neRror) (Dosya, dizin veya% s \\ n", argv); çıkış (0);) dword dwstreamheadersize \u003d (lpbyte) ) & sid.cstreamname - (lpbyte) ve sid + sid.dwstreamnamesize; printf ("\\ nstreams% s: \\ n", argv için bilgi; iken (Backupread (HFILE, (LPBYTE) & SID, DWSTEAMHEADERSIZE, & DWRED, false, true, & lpontext)) (/ / Akış tipi yanlışsa, eğer döngüyü (sid.dwstreamid \u003d\u003d backup_invalid) kırılmasını keser; Zeromemory (& wszstreamname, SizeOf (Wszstreamname)); // eğer akış adını (! Backecroad (hfil, lpbyte) wszstreamname, sid.dwstreamnamesize, & dwrad, false, true, & lpontext) ara; if (sid.dwstreamid \u003d\u003d backup_data || sid.dwstreamid \u003d\u003d backup_alternate_data) (numofstreams ++; printf ("\\ n \\ nstream \\ t \\ t # u", numofstream); anahtar (sid.dwstreamid) (vaka backup_data) : Printf ("\\ nname: \\ t \\ t :: $ veri"); Break; case backup_alternate_data: printf ("\\ nname: \\ t \\ t% s", wszstreamname); Break;) printf ("\\ nsize: \\ t \\ t u \\ n ", sid.size);) // bir sonraki BackupSEEK akışına geçin (HFILE, SID.SIZE.LOWPART, SID.SIZE.HIGHPART, & DW1, & DW2 ve LPCONTEXT); // Zeromemory döngüsünün bir sonraki geçişinden önce yapıyı temizleyin (& SID, SID (SID)); ) // servis bilgilerini içeren LPContext // Backupread Backupread (HFILE, NULL, NULL, & DWRED, DOĞRU, YANLIŞ VE LPCONTEXT) çalışmak için; // closehandle dosyasını (HFILE) kapatın; Geri dönüş 0; )

Dosya akışlarının konusu ayrıca aşağıdakilere de sahiptir:

  • NTFS Stream Explorer 2.00 NTFS akışlarıyla çalışmak için program ve

NTFS'de Alternatif Veri Akışları

NTFS dosya sistemi, biri alternatif veri akışlarının (alternatif veri akışı, reklamlar) varlığı olan birçok ilginç fırsatlara sahiptir. Bunların özü, NTFS'deki her dosyanın verilerin depolandığı bir dizi iş parçacığıdır olmasıdır. Varsayılan olarak, tüm veriler çoğunlukla bir akıştır, ancak gerekirse, ek veri, alternatif veri akışları ekleyebilirsiniz.

Not. NTFS'deki alternatif veri akışları, Windows NT'de bile uzun zaman önce ortaya çıktı. MacOS'ta kullanılan HFS dosya sistemi ile uyumluluk için yaratıldılar. HFS, dosya verilerini özel bir kaynak akışına tuttu.

NTFS'teki dosyalar, biri $ veri veya veri özniteliği olan özelliklere ayrılmıştır. Akışlar, $ veri niteliğinin ek özellikleridir. Varsayılan olarak, ana akış var $ Veri: "". Gördüğünüz gibi, adı yok, bu yüzden çağırır. Özensiz. Ayrıca, istenirse, örneğin ek, adlandırılmış akışlar oluşturabilirsiniz. $ Veri: "Stream1". NTFS'teki her dosya, herhangi bir şekilde çeşitli verileri içeren birkaç veri akışına sahip olabilir.

Dosyada kaydedilen tüm veriler varsayılan olarak ana veri akışına göredir. Dosyayı açtığımızda, tam olarak ana akışı görüyoruz, alternatif akışlar kullanıcıdan gizlenmiş ve geleneksel ajanlar kullanılarak görüntülenmiyor. Bazı programlar onlara gizlenmiş verileri okuyabilse de, standart şekillerde görülemezler. Ayrıca, ipliklerle çalışmak için, komut istemini kullanabilirsiniz.

Örneğin, konsolu açın ve ECHO komutunu kullanarak, bir metin dosyası oluşturun. Streams.txt ve metni yazın:

echo bu ana akıştır\u003e Streams.txt

Ve bir sonraki takım alternatif akış akışına metin yazacak1:

echo bu alternatif akıştır\u003e Streams.txt: Stream1

Şimdi Streams.txt dosyasını herhangi bir metin düzenleyicisinde açarsanız, yalnızca ilk kaydı göreceğiz, "bu alternatif akışın" metnini gizlenecektir. Stream1 Stream'taki gizli okumak için, komutu yapabilirsiniz:

daha

Alternatif akışlar sadece bireysel dosyalara değil, dizinlere de eklenebilir. Örneğin, mevcut akış dizinine "akışlarda akışları gizle" metnini içeren alternatif bir street2 akışı ekleyin:

echo akışlarda akışı gizle\u003e: Stream2

Ve Stream2 akışını bir sonraki komutla geri çekin:

daha<:stream2

Alternatif akışların içeriği sadece konsolda değil açılabilir. Örneğin, Notepad, Colon üzerinden dosya adındaki alternatif akışın adını belirtirseniz, akışlarda gizlenen verilerin nasıl erişileceğini de biliyor. Stream1.txtt üzerindeki akışın adını değiştirerek önceki örneği tekrarlıyoruz:

echo bu alternatif akıştır\u003e Streams.txt: Stream1.txt

Ve bir dizüstü bilgisayar ekibinde alternatif bir akış açın:

notepad streams.txt: stream1.txt

Not. Standart Notepad, TXT'nin akış adına genişlemesini gerektirir, aksi takdirde açılamayacaktır. Aynı Not Defteri ++ gibi daha gelişmiş editörler, adından bağımsız olarak alternatif bir akışın içeriğini gösterebilir.

Dosyadan alternatif akışların varlığı, Explorer ve diğer dosya yöneticilerinde görüntülenmez. Onları bulmak için, en kolay yol takımı kullanmaktır. dir / R. (Windows Vista ile başlayarak), alternatif dahil tüm veri akışlarını gösterir.

Alternatif akışların kullanımının metin verileri ile sınırlı olduğu görebilirsiniz. Bu hiç öyle değil ve alternatif akışlarda kesinlikle herhangi bir bilgiyi saklayabilirsiniz. Örneğin, bir Picture.txt dosyası oluşturun ve aynı adın görüntüsünün şu şekilde olduğu için bir PIC1.JPG akışı ekleyin:

echo picture\u003e picture.txt
pic1.jpg yazın\u003e picture.jpg: pic1.jpg

Böylece, dışarıdan normal bir metin dosyasına sahibiz ve boya grafik düzenleyicisindeki alternatif bir akıştan bir görüntü açmak için komutu kullanıyoruz:

mspaint picture.txt: pic1.jpg

Benzer şekilde, herhangi bir veri türüne herhangi bir veri eklenebilir - Metin dosyalarına görüntüler eklenebilir, medya dosyalarına metin bilgisi ekleyin, vb. İlginç olan, alternatif içerik görünür dosya boyutunu arttırmaz, örneğin 1KB'ye eklenir. Metin dosyası HD video 30GB'a iletken, 1KB dosyasının boyutunu hala gösterecektir.

Alternatif akışlarda bile, yürütülebilir dosyaları gizleyebilirsiniz. Örneğin, Test.txt dosyasını alın ve bir alternatif note.exe akışına bir dizüstü bilgisayar uygulaması (Notepad.exe) ekleyin:

notepad.exe\u003e \u200b\u200bTest.txt: Note.exe

Ve gizli bir dizüstü bilgisayar başlatmak için ekibi kullanıyoruz:

başlat. \\ Test.txt: note.exe

Bu arada, bazı kötü amaçlı programlar bu fırsat tarafından kullanılır, alternatif NTFS akışlarına yürütülebilir bir kod ekler.

Faydalı akışlar.

Alternatif akışlarla çalışmak için, Console, SysInternals'tan yardımcı programlar gibi birkaç üçüncü taraf yardımcı programı vardır. Alternatif akışların varlığını belirleyebilir ve bunları silebilir. Yardımcı program kurulum gerektirmez, onu açmak ve çalıştırmak için yeterlidir. Örneğin, Streams Team komutundaki akışların varlığını kontrol edin:

Streams.exe -s C: \\ Streams

Ve alternatif akışları Streams.txt dosyasından çıkarın:

Streams.exe -d C: \\ Streams \\ Streams.txt

Güç kalkanı

PowerShell ayrıca alternatif akışlarla nasıl çalışacağını biliyor - içeriğini oluştur, algıla, içeriğini göster ve hatta silme. Örneğin, bir metin dosyası oluşturun:

Yeni-Öğe -Type Dosyası -Path C: \\ Streams \\ Stream.txt

Ana akışa giriş ekleyin:

Set-Content -Path C: \\ Streams \\ Stream.txt -Value "Ana Akış"

Ve ikinci adıyla alternatif bir akışta:

Set-Content -Path C: \\ Streams \\ Stream.txt - Değerli "İkinci Akış" - Geçiş İkinci

Sonra ana içeriğini getiriyoruz

Get-Content -Path C: \\ Streams \\ Stream.txt

ve alternatif akışlar:

Get-Content -Path C: \\ Streams \\ Stream.txt -Stream İkinci

Alternatif akışların varlığını tespit etmek için komutu kullanabilirsiniz:

GET-item -Path C: \\ Streams \\ Stream.txt-Stream *

Ve ekstra dişleri komutla kaldırabilirsiniz:

Kaldır-Öğe -Path C: \\ Streams \\ StreReams.txt-Stream *

Kullanma

Alternatif akışlar hem camların hem de bazı programları kullanıyor. Örneğin, Internet Explorer şebekeyi 4 güvenlik bölgesine böler ve dosya indirirken, bunlara yüklendikleri bölge hakkında bilgi içeren etiketleri ekler.

Bu etiketler alternatif bir akışta saklanır ve 0'dan 4'ten 4'ten bir sayıyı temsil eder:

İnternet (3)
Yerel ağ (1)
Güvenilir siteler (2)
Tehlikeli Siteler (4)
Yerel bilgisayar (0)

İndirme klasörüne geçtiğimizden emin olmak için internetten indirilen dosyayı alın ve alternatif akışlar için kontrol edin. Gördüğünüz gibi, adıyla bir akış var Bölge.İçinde bir dize var Zourid \u003d 3..

Bu, dosyanın güvenilmeyen bir internet bölgesini ve keşfedildiğinde, dikkatli olması gerektiği anlamına gelir. Word gibi bazı programlar, dosyayı açarken ve uygun uyarıyı verirken bu verileri okuyun.

Ayrıca, dosya sınıflandırma altyapısı (dosya sınıflandırması altyapısı, FCI) alternatif akışların kullanımına dayanmaktadır. Üçüncü taraf programlardan, alternatif akışlar bazı virüsten koruma programlarını kullanır, özellikle Kaspersky Anti-Virus, testin bir sonucu olarak elde edilenler içindeki sağlama toplamını saklar.

Bununla birlikte, alternatif akışların kullanımı bununla sınırlı değildir, kendiniz için herhangi bir uygulamaya gelebilir. Örneğin, yardımlarıyla birlikte bireysel bilgileri yabancı gözden gizleyebilirsiniz. Alternatif akışları içeren dosyalar serbestçe kopyalanabilir veya diske aktarılabilir, tüm akışlar dosyayla birlikte kopyalanacaktır.

Ve yine de, alternatif konuları kullanırken, NTFS dosya sistemine sıkıca bağlandıklarını hatırlamak gerekir. Onları kullanmak için, dosyalar NTFS ile disklerde bulunmalıdır, sırasıyla onlarla sadece Windows'un altından çalışır. Dosyayı başka bir dosya sistemine taşırsanız, ana kişi dışındaki tüm akışlar kaybolur. Ayrıca, dosyaları FTP'ye aktarırken veya posta eki olarak gönderilirken alternatif akışlar kesilir.

& NBSP & NBSP Modern Windows Aile işletim sistemlerinin çoğu kullanıcısı, CHM formatındaki (derlenmiş Yardım Modülü) yardım dosyasının yalnızca kısmen açıldığı bir durumla karşılaştı - yalnızca içeriğini yalnızca öğelerinin içeriği olmadan görüntüleyebilirsiniz:

Ek olarak, genel olarak yer alan CHM dosyasını açmaya çalışırken ağ klasörüEvrensel adlandırma kuralı (evrensel adlandırma kongresi) yolunu kullanarak, örneğin \\\\ Sunucu \\ h \\ help.chm. Bölümleri görüntülenmez. Başka bir deyişle, normalde ağ üzerinden alınmadıkları durumlarda dosya.chm'i görüntüleyebilirsiniz.

Ağdan yüklenen çalıştırılabilir dosyayı açmaya çalıştığınızda benzer bir resim gözlenir. Bir güvenlik uyarı sistemi göreceksiniz:

Dahası, aynı dosya arşivden çıkan arşivden çıkarıldı İnternet, üzerinde bu bilgisayar Herhangi bir sorun olmadan açılabilir. Aslında, tüm fark sadece dosyanın yerel olarak açıldığı, açılış işleminde ve ağ üzerinden yüklenmemiştir. Başka bir deyişle, Windows, dosyanın ağ kökenini belirleme ve belirli güvenlik sistemi ayarlarını kullanarak yanıt verme yeteneğine sahiptir.

Ağ kökenli dosyalarının belirlenmesi için mekanizma.

NTFS dosya sisteminde, her bir dosya (veya dizin) ayar olarak sunulur. bireysel unsurlar, aranan Öznitellikler. Dosya adı, güvenlik ayarları ve hatta veri - tüm bu dosya öznitelikleri gibi öğeler. Her özellik, öznitelik türü kodu ve isteğe bağlı olarak öznitelik adı ile tanımlanır. Bu nedenle, örneğin, dosya adı öznitelikte bulunur. Dosya adı., İçerik - niteliğinde Veri., sahibi ve erişim hakları hakkında bilgi - öznitelikte Güvenlik tanımlayıcısı vb. Her dosyanın içeriği ($ veri niteliği) bir settir akışVerilerin depolandığı yer. NTFS'deki her dosya veya dizin için, verilerinin kendisinin depolandığı ana akışta en az bir tane var. Bununla birlikte, ana akışa ek olarak, dosya veya dizin bağlanabilir ve alternatif (A.lternate. D.ata S.tREAM - ADS), ayrıca bazı veriler içerebilen, ana akışın verilerinin verilmesiyle ilgili değildir. Dosyanın ana akışı bir adı yoktur ve olarak belirtilir. $ Veri: "". Alternatif akışların mutlaka bir isim var, örneğin - $ Veri: "StreamData" - Adlandırılmış alternatif akış Streamdata.

Dosyaya veri kaydı işlevleri gerçekleştirirken, ana veri akışına yerleştirilirler. Örneğin, bir not defterine sahip bir metin dosyası açtığımızda, ana akışın verilerine erişiyoruz. Alternatif akışların verileri, standart erişim kullanırken, görüntülenmez, de varlıklarının belirtileri yoktur. Ancak, bu alternatif akışlarla ilişkili belirli bir dosya veya katalog ile müsait olabilir Özel Programlar Veya Windows komut isteminde özel bir sözdizimi kullanırken.

Örneğin, Test.txt dosyası metin komutuna yazma eko.:

echo ana akış verileri\u003e Test.txt - "Ana akış verileri" metnini dosyaya yazın test.txtAna isimsiz akıştaki kaydı ne yapar?

Ancak komutu değiştirebilirsiniz:

echo alternatif akış verileri\u003e Test.txt: Stream1 - "Alternatif Akış Verileri" metnini adlandırılan alternatif bir akışta yazın. stream1 Dosya test.txt

Şimdi, örneğin, akışların her birini bir dizüstü bilgisayar açabilirsiniz:

not defteri test.txt - Ana akışın içeriği "Ana akış verileri" metni ile

notepad test.txt: Stream1 - "Alternatif Akış Verileri" metni ile alternatif bir akışın içeriği açılacak

Bununla birlikte, dosya sistemi nesneleriyle çalışmak için standart araçlara görünmez olan alternatif akışlar, dosyalar ve diğer hizmet bilgileri hakkında ek bilgileri saklamak için kullanılır. Örneğin, internetten dosyaları indirirken, tarayıcılar adıyla onlara alternatif bir akış ekler. Bölge.bu, yukarıdaki örnekte olduğu gibi not defteri açılabilir

not Defteri% userprofile% \\ indirmeler \\ chromesetup.exe: zone.identicier - Adlandırılmış not defterinde alternatif bir akış açın Bölge. Chroteyetup.exe. Daha önce geçerli kullanıcının indirilebilir dosyalarının dizinine geçiş komutunu önceden tamamlamışla dosyanın yolunu belirleyemezsiniz (ne zaman standart Konum Utility Kullanıcı Klasörleri):

cd% userprofile% \\ indirme - İndirilebilir dosyaların dizinine gidin.

not defteri chrotesetup.exe: zone.identicier - Adlandırılmış alternatif bir akış açın Bölge. Kurulum dosyası için google tarayıcısı İsmiyle krom Chroteyetup.exe. geçerli dizinde.

Gördüğümüz gibi, alternatif akışın içeriği dizeleri içeriyor:

- Veri iletim bölgesinin açıklaması olan bölüm belirtisi
Zourid \u003d 3. - Bölge tanımlayıcısı.

Bu bilgi, dosyanın kökenini tanımlayıcı tarafından belirlemeyi mümkün kılar. Zehirli:

0 - yerel bilgisayar (Yerel).
1 - yerel yerel ağ (İntranet)
2 - Güvenilir İnternet Siteleri (Güvenilir Siteler)
3 - İnternet (İnternet)
4 - Tehlikeli Siteler (Sınırlı Siteler)

Örneğin, bölgelerin böyle bir tanımı, Internet Explorer güvenlik görüşme ayarlarına karşılık gelir:

Bu durumda, hangi dosyayı belirleyebilirsiniz. Chroteyetup.exe. İnternetten elde edildi (bölge tanımlayıcısı \u003d 3). Böyle bir dosyayı başlattığınızda, güvenilmez bir kaynak için bir güvenlik sistemi sunulacaktır. Uygulama güvenlik araçları benzer şekilde çalışıyor. Microsoft Office.Sizi internetten indirilen dosyaları açma tehlikesi hakkında uyarırken. Aynı sebepten dolayı, CHM formatındaki sertifika dosyalarının içeriği açılmamış - alternatif bir akışın içeriği, gerçek veya var olmayan tehlikeden bağımsız olarak onları tehlikeli olarak sınıflandırmanıza olanak sağlar.

Aynı not defteri, zoneID değerini değiştirmeye çalışın 0 Dosyanın yerel kökenini karşılayacak olan ve güvenlik uyarısı yanı sıra, Office belgelerini veya VCHM dosyalarının sertifikalarının bölünmesiyle ilgili sorunların yanı sıra kaybolacaktır.

Güvenlik sistemlerinin de benzer davranışları, alternatif bir akışın içeriğinin (boşaltılması için) veya alternatif akımı tamamen kaldırın.

Windows 7'den başlayarak Alternatif dosya akışlarının bir listesini almak için, komutu kullanabilirsiniz. Dir. parametre ile / R.:

dIR / R% userprofile% \\ indirme - Katalogda bir dosya listesi ve alternatif akışlar göster İndirilenler. Geçerli kullanıcı.

Herhangi bir Windows sürümünde alternatif akışlarla çalışmak için, yardımcı programı kullanabilirsiniz. streams.exe. Dizilişinden yazılım paketi Microsoft Sysinternals Suite. Paket, alternatif akışlarla çalışmada dezavantajları doldurmanıza olanak sağlayan bir yardımcı program dahil olmak üzere tanı, optimizasyon ve uygulama için birçok küçük program içerir.

Komut satırı formatı:

streams.exe [-S] [-D] dosyası veya dizin

Komut satırı ayarları:

-s. - İşlem alt dizinleri.
-d. - Alternatif akışları silin.
-Nobanner. - Başlangıç \u200b\u200bafişini ve telif hakkı bilgilerini göstermeyin.

Kullanma örnekleri:

streams.exe /? - Programı kullanmak için bir sertifika görüntüleyin.

myfile.txt akıntıları - Dosya akış bilgisini görüntüle myfile.txt

akarsu -d myfile.txt - Alternatif dosya akışlarını sil myfile.txt

akarsu -D -S D: \\ Yüklemeler \\ *. * - Katalogdaki tüm dosyaların ve alt dizinlerin alternatif akışlarını silin D: \\ indirmeler \\

İÇİNDE işletim sistemleri Windows 8 ve üstü, PowerShell komut kabuğu da alternatif akışlarla çalışmanıza izin verir:

Eal-item -Path -Path C: \\ firefoxsetup.exe-stream * - Ekran C: \\ firefoxsetup.exe dosya alanı bilgisi.

Get-Content -Path C: \\ firefoxsetup.exe-stream bölgesi. - Alternatif akış içeriğini görüntüleyin Bölge. Dosya C: \\ firefoxsetup.exe

Kaldır-Öğe -Path C: \\ firefoxsetup.exe-stream * - Dosyayla ilgili tüm alternatif dosyaları silin C: \\ firefoxsetup.exe

Kaldır-öğe -Path C: \\ firefoxsetup.exe-stream bölgesi. - Alternatif akışı kaldırın Akış bölgesi.Dosya ile ilişkili C: \\ firefoxsetup.exe.

Güvenlik bölgeleri hakkında bilgi yaygın olarak kullanılmaktadır. grup politikacılarıve özellikle, içerebilecek kötü amaçlı yazılım koruma fonksiyonlarını gerçekleştiren Windows yatırım göndericisi posta Yatırımları veya internetten indirilen dosyalar. Microsoft web sitesi, yatırım göndericisini yapılandırmanın ve bununla ilgili sorunları çözme yolları hakkında ayrıntılı bir makale içerir:
Microsoft Windows sistemine giren ekin çalışma yöneticisinin açıklaması.

Sonuç olarak, alternatif akışların NTFS dosya sisteminin özelliği olduğunu ve örneğin FAT32'de desteklenmemesini sağlayacağım. Buna göre, dosyaları NTFS'den başka bir dosya sistemine kopyalarken, alternatif akışlar atılır.