Kre*_*dns 104 windows virus ntfs alternate-data-stream
您只需键入以下内容即可将任何文件隐藏在另一个文件中:
type sol.exe > container.txt:sol.exe
并运行文件隐藏文件只需使用:
start c:\hide\container.txt:sol.exe
但是关于这个的疯狂部分是它不会增加文件的大小(所以它完全隐藏)。
如果您删除包含隐藏内容的文件,则隐藏内容不会被删除。只需使用:
more < container.txt:sol.exe > sol.exe
为什么 NTFS 允许这样做?这似乎是隐藏病毒的最佳方式。
RBe*_*eig 98
这个问题有两个方面。第一个是此功能存在的原因,第二个是 GUI(或命令提示符)为什么不能更轻松地查看和管理该功能。
它存在是因为它有用。其他几个平台支持每个文件的多个数据流。例如,在 Mac 上,它们被称为forks。我有理由确信在大型机世界中存在类似的东西,但今天我不能把我的手指放在任何明确的例子上。
在现代 Windows 上,它用于保存文件的额外属性。您可能会注意到,Windows 资源管理器中可用的“属性”框有一个“摘要”选项卡,在“简单”视图中(我使用的是 Windows XP,您的里程数在其他版本上会有所不同)包括一堆有用的字段,例如标题、主题、作者和等等。该数据存储在备用流中,而不是创建某种侧车数据库来保存所有很容易与文件分离的数据。
备用流还用于保存表示文件来自不受信任的网络源的标记,该网络源由 Internet Explorer 和 Firefox 应用于下载。
困难的问题是为什么没有更好的用户界面来注意流的存在,以及为什么可以将可执行内容放入其中,更糟糕的是,稍后再执行。如果这里有错误和安全风险,就是这样。
编辑:
受到对另一个答案的评论的启发,这是一种确定您的防病毒和/或反恶意软件保护是否知道备用流的方法。
获取EICAR 测试文件的副本。它是 68 字节的 ASCII 文本,恰好也是一个有效的 x86 可执行文件。尽管完全无害,但反病毒行业已同意将其视为真正的病毒进行检测。创始者认为用真病毒测试AV软件有点像通过点燃废纸篓来测试火警......
EICAR 文件是:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
将它与扩展名一起保存,.COM它将执行(除非您的 AV 正在注意)并打印问候语。
将其保存在备用数据流中并运行扫描将是有用的...
Bru*_*eod 15
Windows Server 的跨平台功能需要此功能:用于 mac 的服务。
这允许运行在 NTFS 上的 Windows 服务器通过 AFP 共享到 Mac。要使此功能起作用,NTFS 文件系统必须支持分叉,而且从一开始就支持分叉。
在你问之前,这个功能还在使用吗?是的,我每天在我支持的客户端的服务器上运行和使用它。
当人们和应用程序忘记或没有意识到它的存在时,主要的安全问题就出现了。
尽管可能应该有一个选项可以将分叉包含在总文件大小中或在 Windows 资源管理器中显示它们。
这是一篇关于Alternate Data Streams带来的潜在安全漏洞的好文章。
我想主要用途之一(甚至可能是预期用途)是透明地允许将任何类型的元数据添加到文件中。文件大小不改变的原因是在这种情况下,您不希望文件看起来或行为有任何不同,以免原始应用程序依赖于文件外观的某些方面。
例如,我可以想象在 IDE 中的有趣用途,有时涉及多个文件以形成一个单元(代码文件/表单文件等),可以通过这种方式将它们附加到原始文件,这样它们就不会意外分离。
我还相信有一个命令可以在给定的目录树中查找所有此类“附件”,因此它们实际上并未完全隐藏。如果更好的病毒扫描程序没有意识到这一点并检查这些“隐藏”区域,我也会感到惊讶,但是您可以通过故意将受感染的可执行文件附加到文本文件并查看它是否被拾取来检查这一点。
| 归档时间: |
|
| 查看次数: |
3422 次 |
| 最近记录: |