您只需键入以下内容即可将任何文件隐藏在另一个文件中:
type sol.exe > container.txt:sol.exe
并运行文件隐藏文件只需使用:
start c:\hide\container.txt:sol.exe
但是关于这个的疯狂部分是它不会增加文件的大小(所以它完全隐藏)。
如果您删除包含隐藏内容的文件,则隐藏内容不会被删除。只需使用:
more < container.txt:sol.exe > sol.exe
为什么 NTFS 允许这样做?这似乎是隐藏病毒的最佳方式。
Windows 中的任何主要压缩存档格式(例如 zip、rar、7z)是否支持 NTFS 备用数据流?
我想使用相同的描述性字段标记不同的文件类型(即 .pdf、.epub、.iso、.bin、文件夹等)。例如,我想要一个元数据字段“type”,它在 pdf 和 epub 文件上是“eBook”,在 iso 和 bin 文件上是“CD-Image”。
我阅读了备用数据流 (ADS) 以实现这一点。有谁知道 Windows 7 标记不同文件并搜索它们的好程序?对我来说重要的是元数据不存储在单独的数据库中。我经常移动文件,需要保持灵活性(ADS“粘”到文件上)。
有任何想法吗?
windows-7 ntfs file-management metadata alternate-data-stream
如果我将文件从我的 PC 复制到新格式化的 USB 闪存驱动器,将文件带到公共 PC 和公共 Internet 连接,从那里创建新电子邮件,在上传服务器上创建一个新帐户,上传文件,共享一个在网络上下载此文件的链接以及下载文件后的匿名个人或组织,此人或组织是否可以追踪此文件?
另外,如果这个文件不是我从别人那里拿来的 PDF 文件,我怎样才能使这个文件无法追踪?
我得到了 .vbs 文件,其中使用记事本添加了备用数据流。有没有办法将其发送给某人而不丢失。我试图寻找答案,但似乎备用数据流无法移动到另一个设备。那是对的吗?
在考虑 NTFS 时,我突然想到一个有趣的想法。
NTFS 支持硬链接、符号链接和备用数据流。ADS 是否有可能成为另一个文件的链接?相反,附加到链接的备用数据流是属于链接本身还是属于底层文件系统数据?
ntfs filesystems symbolic-link hardlink alternate-data-stream
我的 Windows 10 机器有大量的 NTFS备用数据流,它们被命名为Win32App_1连接到整个系统驱动器的各种文件夹。NoVirusThanks 的 Stream Detector 将它们检测为零大小的$DATA流。
有谁知道是什么创造了这些流?
Windows Defender 脱机扫描检测到任何不需要的东西。
我也看到了很多Zone.Identifier $DATA流,尽管我已经知道这些只是 Windows 元数据流,用于识别从 Internet 下载的文件的来源。我根本不关心他们。
我自己在空白磁盘上安装了 Windows 10,因此制造商没有添加它们。我无法发布示例,因为我已经删除了流。
2017 年 4 月 18 日更新:我刚刚再次扫描了我的机器,备用数据流又回来了。Usingmore < C:\path\to\alternate_data_stream:Win32App_1显示流的内容为空,与 NoVirusThanks 的 Stream Detector 报告的结果一致。我已经设置了 SysInternals 的 Process Monitor 来查找正在创建/接触这些备用数据流的进程,如果我看到任何监控结果,我会更新这个问题。
仅供参考,我已经对此进行了大量研究。我第一次接触替代数据流是在 90 年代初首次宣布 NTFS 时。我不太关心实际的 ADS 本身,因为它们都是零大小,但这或多或少可能是某些恶意软件的“煤矿中的金丝雀”。
我已经启动了一个开源命令行实用程序,它可以识别并选择性地删除 NTFS 备用数据流。该项目托管在 gitHub,以防有人发现它有用。
截至 5 月 10 日,我已经能够观察到其他非我拥有或接触的 Windows 10 计算机将名为 Win32App_1 的备用数据流附加到整个系统驱动器的各个文件夹中。它们似乎与 Windows 10 本身有关。我希望它们用于某种编目过程。
我在一台运行 Windows Server 2008 的机器上有很多文件,我想将它们移到 Fedora 机器上。在将媒体文件(拍摄日期、评级、长度等)传输到 NTFS备用数据流领域之外时,我如何保持其存储在媒体文件中的属性?
我知道其他文件系统中也存在类似的元数据,但是当您移动这些文件时会发生什么?将它们保留在其他文件系统中的最佳方法是什么?
我一直在阅读有关备用数据流的文章,我很好奇是否有任何适用于 Windows 的大型应用程序实际上使用了 NTFS 的此功能。
我也很好奇传统的备份和归档实用程序是否备份这些数据并且能够恢复。
通常,在创建可执行文件作为备用数据流之后,例如:
type exec_this.bat > C:\blank.txt:exe.bat
可以简单地说
start C:\blank.txt:exe.bat
运行可执行文件。在 Windows 7 中,我似乎得到的只是“访问被拒绝”。或“系统找不到文件 $WHATEVER_THE_FILE_IS。”
如何执行此批处理文件?
我最近做了一个 CTF,涉及 samba 共享上的一个文件,该文件在备用数据流中有一个密码。要阅读它,我必须使用 Windows 进行连接,但我很好奇是否有任何方法可以使用 SMBclient 或其他工具从 linux 读取 ADS。
标题说明了一切,我正在努力寻找一个合理的答案来解释为什么这个流存在以及它在 Windows 中的用途。
ntfs ×9
windows ×4
filesystems ×3
metadata ×2
windows-7 ×2
7-zip ×1
batch ×1
file-sharing ×1
hardlink ×1
linux ×1
rar ×1
samba ×1
virus ×1
windows-10 ×1
zip ×1