Golovna → O listă de probleme Fluxuri de fișiere NTFS alternative. Două metode de colectare a datelor

Fluxuri de fișiere NTFS alternative. Două metode de colectare a datelor

Te întrebi despre Fluxuri NTFS? Functionalitate foarte buna Sistemul de fișiere, Cum poți ști practic zastosuvannya. Astăzi vom vorbi despre ce și cum poți câștiga bani.

Pentru un pic de teorie.
S-a adăugat suport pentru fluxuri de date alternative NTFS pentru utilizare cu sistemul de fișiere HFS Macintosh, care a exploatat fluxul de resurse pentru a salva pictograme și alte informații despre fișier. Duhoarea este prezentă în NTFS mai mult de la noi înșine versiuni anterioare Windows NT. Esența tehnologiei este că fișierul pe NTFS Pot exista o serie de fire pentru a stoca datele. Explorator iar cei mai populari manageri de fișiere sunt interconectați cu munca fără fluxul capului(care nu are nume), care este în schimb fișierul principal. Fluxurile pot fi abuzate pentru a salva metadatele fișierelor, așa cum au fost abuzate Windows 2000, după cum știu.

U Windows 7 alternativă Fluxuri NTFS Ceea ce este în fișier nu poate fi făcut folosind metode obișnuite. Și degeaba: virușii incredibil de vicleni, de exemplu, pot scrie în fluxurile lor orice fișier complet nevinovat. După ce ați analizat fișierul cu fluxuri care conțin date de volum, puteți vedea că locul s-a schimbat semnificativ mai mult, fără a lua fișierul pe gânduri Explorator.
Pentru a vizualiza fluxurile curente, vom folosi un utilitar de consolă creat de Mark Russinovich.

Cum să creați un flux NTFS alternativ

Deyaks comenzile consolei vă permit să creați și să transformați în schimb curgere NTFS de exemplu echipa ecou Puteți crea un flux alternativ la un fișier text. Pentru a clarifica cum funcționează, să aruncăm o privire la fund. Introduceți linia de comandă:
echo Hello Happy Bulldozer > hello.txt
echo Hello World > hello.txt:test

Acum deschideți fișierul hello.txt în Notepad:

Text Salut Lume pierdut „în culise”, fiind în contact permanent cu ei Test. Dacă specificați în numele fișierului ce să deschideți și numele fluxului, fluxul nu va putea deschide fișierul: caseta dublă este un caracter inacceptabil pentru numele fișierului. Cu toate acestea, puteți urma rapid linia de comandă, oricare dintre acestea este loială și puteți permite următoarea comandă:
Mai mult< hello.txt:test

Pereglyad Fluxuri NTFS După cum am scris mai sus, vă puteți conecta folosind utilitarul streams.exe
streams.exe salut.txt

Respect că totul a devenit mai clar aici.

Fluxuri alternative NTFS și Notepad

Programele introduse se vor deschide fără prea mult efort și vă vor afișa în loc de flux:

Notepad standard atribuie extensia txt numelui fluxului. Dacă doriți să o schimbați, trebuie să denumiți fluxurile astfel:
echo Hello World > hello.txt:test.txt
Todi vikonana cu comanda cmd.exe da un rezultat pozitiv:
blocnotes hello.txt:test.txt

Fluxuri alternative NTFS și fișiere de diferite tipuri

S-ar putea să vă gândiți că domeniul de aplicare al fluxurilor alternative NTFS nu se extinde dincolo de fișierele text. Nu asa. În aplicația actuală, am adăugat un flux în fișierul hello.txt, care conține datele pentru arhiva 7z:

Vreau să spun că fluxurile pot fi create nu numai pentru fișiere, ci și pentru foldere și trimise pentru diviziuni ale zhorstkogo disc.

Totul este înconjurat de imaginația și nevoile tale speciale. Descrierile lui Vikoryst ale tehnicilor, se pot captura cu ușurință informații speciale dintr-un koristuvach nepregătit, de exemplu. Orice varietate de zakhistu este ca un prost, cum vrei tu.

Aproape invizibil

Cititorul de blog Viktor nu a reușit să înceapă să atragă atenția de pe internet Script PowerShell. Citirea cu atenție a instrucțiunilor mele ar fi eliminat problema, dar rădăcina acesteia nu au fost politicile stricte de securitate ale PowerShell.

Victor a descărcat arhive din galeria TechNet cu scriptul PSWindowsUpdate.zip Gestionare Windows Update, despre ce am auzit. Scriptul de despachetare Prote pare să funcționeze. Dacă le-am subliniat cititorilor că primul punct al instrucțiunilor mele vorbește despre necesitatea deblocării arhivei, totul a mers ca un ceas.

Victor a cerut să explice de ce sistemul a blocat scriptul și știe că arhivele au fost importate de pe alt computer.

Sincer să fiu, subiectul de astăzi nu este nou, dar am decis să-l evidențiez în minte din mai multe motive:

S-au scris o mulțime de articole Ceasul Windows XP sau Windows 7 și nu profitați de noile capabilități ale noului sistem de operare Microsoft.
Într-unul dintre articolele planificate pentru următoarea oră se discută acest subiect, și ar fi mai ușor să mă refer la materialul, pentru relevanța și corectitudinea căruia mă atest eu însumi.
Blogul are o audiență numeroasă, iar pentru mulți cititori acest subiect este încă ceva nou:)

Astăzi în program

Fluxuri de date NTFS

Windows obține informații despre fișierul fișierului din fluxul de date alternativ (ADS) al sistemului de fișiere NTFS. Autoritățile scriu cu modestie la dosar că este de pe alt computer, dar chiar știu puțin mai multe, căci vei afla mai departe.

În NTFS, un fișier este un set de atribute. În loc de fișier – acesta este atributul de date de la numele $DATA. De exemplu, un fișier text cu un rând de „Hello, World!” Atributul de date este „Hello, World!”

În NTFS, atributul $DATA este un flux de date și este numit atributul principal sau fără nume, ceea ce înseamnă că nu are nume. Formal, arată astfel:

$DATA:""

$DATE- Sunt atribut
: – separator
"" - Sunt curgere(y la acest tip Nu există nimic între labele mele în fiecare zi)

Caracteristici selectate ale fluxurilor de date alternative

În contextul aplicațiilor, aș dori să subliniez o serie de momente importante.

Schimbări invizibile

După ce ați creat un fișier text cu prima comandă, îl puteți deschide în editor de textși reconvertiți astfel încât toate manipulările ulterioare să nu afecteze fișierul.

Nu mai funcționează când fișierul este deschis, de exemplu, în Notepad ++. Acest editor poate face modificări fișierului. Și dacă scrieți un flux alternativ la fișier, nu îl veți pierde!

Înregistrarea și vizualizarea ADS de la CMD

ADS poate fi creat și afișat din rândul de comandă. Iată comenzile pentru a înregistra textul primit într-un alt ADS numit MyStream2 și apoi a-l afișa.

Echo Hidden Text > C:\temp\test.txt:MyStream2 mai mult< C:\temp\test.txt:MyStream2

Revizuirea ADS în editorii de text

Același Notepad++ vă va afișa în loc de ADS, introducând numele fluxului în linia de comandă

„C:\Program Files (x86)\Notepad++\notepad++.exe” C:\temp\test.txt:MyStream1

Rezultat:

Cu un notepad, acest truc va funcționa doar în același mod ca numele fluxului. .TXT. Comenzile de mai jos adaugă al treilea ADS și îl deschideți în blocnotes.

Echo Hidden Text > C:\temp\test.txt:MyStream3.txt notepad C:\temp\test.txt:MyStream3.txt

Rezultat:

Blocarea fișierelor nedorite

Să revenim la mâncare, după ce m-a pus pe cititor. Dacă fișierul este blocat, acesta va fi stocat mai întâi în programe, în unele cazuri, în setările sistemului de operare. Da asta e browserele actuale Suportă blocarea și este activată înainte de Windows.

Vă rugăm să rețineți că dacă arhivele sunt blocate, toate fișierele despachetate vor fi blocate „la recesiuni”. De asemenea, nu uitați că ADS nu este o funcție NTFS. Când salvați sau despachetați o arhivă pe FAT32, nu există nicio blocare a hard diskului.

Revizuirea informațiilor despre conținutul fișierului blocat

În PowerShell, accesați folderul cu fișierul descărcat și uitați-vă la informații despre toate fluxurile.

Get-Item .\PSWindowsUpdate.zip -Stream * FileName: C:\Users\Vadim\Downloads\PSWindowsUpdate.zip Lungimea fluxului ------ ------ :$DATA 45730 Zone.Identifier 26

După cum știți deja, $Data nu este un fișier, dar lista include și ADS Zona.Identificator. Această perspectivă se referă la cei pentru care fișierul a fost eliminat din fiecare zonă. Cunoști stelele din spatele imaginilor?

Pentru a înțelege zona, trebuie să citiți în schimb ADS-ul.

Get-Content .\PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId=3

Evident, accentul se pune pe deblocarea pachetului (de exemplu, dacă ați despachetat deja arhivele). Comanda de mai jos se deblochează tată Descărcări toate fișierele care sunt în nume PS:

Dir C:\Descărcări\*PS* | Deblocați fișierul

Desigur, există tot felul de utilități de la interfata grafica Faceți clic aici pentru a vă integra în contextual nu meniu. Ei bine, după părerea mea, PowerShell sau la sfârșitul fluxurilor sunt complet suficiente.

Cum să evitați blocarea fișierelor

Blocarea este acoperită de politica de grup Nu salvați informații despre zona în care se află atașamentele. Numele indică faptul că blocarea este un comportament standard al Windows, iar politica vă permite să o schimbați.

Cu toate acestea, din nume nu este evident că politica se extinde nu numai la cutiile poștale, ci și la achiziționarea de fișiere de pe Internet. Citiți raportul despre managerul de depozit în KB883260.

Acasă nu există editori de politici de grup, dar registrul nu este salvat: SaveZoneInformation.zip.

Alte aplicații pentru utilizarea practică a ADS

Zona de stocare ADS nu se limitează la zona adăugată a fișierului descărcat, așa că este necesar să salvați doar text în ADS. Dacă orice program poate folosi această funcție NTFS pentru a salva orice date, atunci voi indica câteva exemple din diferite zone.

Infrastructura de clasificare a fișierelor

Despre autor

Material ceramic, Dyakuyu. Învăț ceva nou despre PowerShell, despre care încă nu știu prea multe :)

Pentru utilizarea cu această familie, cel mai adesea vikorist WhatsApp - până acum au fost mai puține probleme cu acest serviciu, dar părinții par să se fi obișnuit cu el. Contactul este în principal pentru familie, vreau să fac schimb de informații acolo în principal despre albumele care sunt publicate, cu fotografii și videoclipuri. Prietenii și rudele mei rămân fideli lui Viber - nu am nicio problemă cu el, îl încerc doar pentru ei, nu vă pierdeți timpul încercând să le obțineți de pe WhatsApp.

Pentru roboți, Slack este cel mai important, cel mai frecvent WhatsApp și chiar SMS. VKontakte pentru colaborarea cu lumea exterioară.

Skype vikorystvoy numai pentru apeluri video, să ne întoarcem din nou împreună cu familia. Din satisfacție, l-am înlocuit cu WhatsApp, de parcă erau apeluri video acolo.

urix

Viber are acum apeluri video și apeluri video pentru versiunea desktop. Atunci, poate, Viber va deveni următorul Skype... după bunul simț

Andri Kuznețov

Materialul este solid, gros. Știam originile fluxurilor, dar nu știam că este atât de ușor să lucrez cu ele prin PowerShell.
Ce mă plâng de IM: Înainte de Skype, am plângeri doar despre ora de lansare Windows Phone. Nu există astfel de probleme pe iPad și Windows. Legătura vocală Vikoristvoy, dacă din mai multe motive nu este ușor să vikoristovat GSM.
Și ascult prin Whatsapp. Vizibilitatea acestei persoane la telefon este un mare plus, din punct de vedere al confidențialității.

Andri Kuznețov: Și defilarea prin Whatsapp Vizibilitatea acestei persoane la telefon este un mare plus, din punct de vedere al confidențialității.

Andriy, explică de ce acesta este un plus

Pavlovski Roman

1. Folosesc cel mai des: Skype și Hangouts - online pe un computer, navigând prin VKontakte de pe orice dispozitiv, astfel încât clienții să poată folosi Skype online, iar prietenii și cunoștințele în Social Media.

2. Aș dori în mod ideal să accelereze lucrurile: Jabber - pentru navigarea și navigarea de pe orice dispozitiv. În ceea ce mă privește, clientul poate fi instalat pe orice dispozitiv și poate corespunde fără a fi nevoie să găsești un client, pe o conexiune la Internet slabă + la care poți să-ți pornești serverul Jabber și să salvezi toată navigarea pe server, despre asta putem vorbi mai târziu aflați necesitatea navigării, dacă clientul nu poate salva istoricul, și pot fi găsite pluginuri pentru apelarea prin Jabber (de exemplu, prin același SIP Asterisk 1.8+)

Andri Bayatakov

Cel mai des folosesc WhatsApp (mai ales prin robot), pentru apeluri (audio/video/apeluri internaționale) Skype. Vreau să folosesc desktopul Skype (am un transformator și acasă îl folosesc în principal ca tabletă)... Viber - nu a prins rădăcină. Pentru a suna prin WhatsApp, mama ta trebuie doar să se enerveze. Spune-i spionului tău și verifică dacă o glumă sau două când simți asta (conexiune de 50 Mbit).
Ar fi posibil să treci complet la Skype. Pe Windows 10 Mobile, după o actualizare recentă, puteți primi notificări de la Skype direct din programul de notificare încorporat (cum ar fi SMS), ceea ce este mult mai ușor.

Maxim

1. ICQ zdrobitoare, crustă (pentru rudele retrograde) și Slack (pentru cele mai urgente).
2. Aș dori să folosesc Jabber - din aceleași motive pe care Roman Pavlovsky are mai mult.

Volodimir Kiryushin

Salut Vadim!
După ce ați citit înainte de acest articol articolul dvs. despre cum să citiți recenzia tuturor disc de sistem comanda chkdsk. Minunat articol! Astăzi, după ce am verificat discul de sistem cu comanda chkdsk, am extras fișierul text. Și acest articol explică multe despre programul PowerShell. Nici ca pensionar nu sunt conștient, dar încerc să nu intru în panică și să citesc cu sârguință până la final. Vă mulțumim pentru sfat, veți obține viza la noi! Toate cele bune!

Lecron

Ce browsere și programe de descărcare creează acest flux?

Care sunt opțiunile pentru reducerea fluxurilor de către însuși koristuvach? Eu, zokrema, scenarist koristuvach? Chiar dacă știu de ei de mult timp, nu am fost niciodată învingător. În munca reală cu un computer, pur și simplu nu știi despre ei și, prin aceasta, poate poliția, în loc de un instrument de mână, și fără acest robot, din memorie, nu poți veni cu nimic.
Să ne gândim doar la o singură opțiune. Un comentariu la fișier, deoarece nu este posibil sau necesar să scrieți mai mult text în numele fișierului. Dacă aveți nevoie de asistență din partea managerului de fișiere, pe care l-ați scris anterior la descript.ion sau files.bbs.

Guru al vitezei

O altă tehnologie Smith pentru revista USN. Cât de mult vei fi expus la ZoneIdentifier sau la virusul atașat fișierului folderului? Desigur nu. Mai mult decât atât, sistemul nu este plin de „podfiles” intrigante, de zi cu zi, care nu sunt necesare corespondenților obișnuiți. Citirea aplicației skin în catalogul MFT și alte operațiuni care sprijină întreținerea și înlocuirea firelor alternative, fără a pierde ciclurile procesorului, RAM, și cel mai important - se aplică pe hard disk.
Îmi puteți spune că această tehnologie este într-adevăr nevoie de sistem. Din păcate, sistemul ar funcționa miraculos chiar și fără fluxuri. Ale koristuvacha nu hrănește pe nimeni - au aburit (ca o revistă USN) și nu a fost oferită capacitatea de a activa complet aceste fluxuri. Chiar dacă nu am nevoie deloc de mirosuri ruginite, cred că și tu.
Tot ceea ce putem obține este „streams -s -d %systemdrive%”. Acest lucru nu vă permite să vizualizați fluxuri pe partiția de sistem.

Alexiz Kadev

Fluxurile cu nume sunt un lucru criptic, din câte îmi amintesc de la prima lansare a NTFS. În fluxurile denumite, este posibil să salvați manual, de exemplu, versiunile documentelor, astfel încât să nu regret o serie de completări și muncă. În caz contrar, înregistrarea copiilor pe alt sistem de fișiere se pierde - fluxurile denumite sunt ușor tăiate.

Skoda în sala de vot nu a putut vedea câțiva mesageri: mă plâng de câțiva, unele dintre contactele mele dau prioritate unor melodii. Așadar, folosesc WhatsUp, ICQ (deși, desigur, nu este un client obișnuit), Skype, Skypefor Business (unul liniștit, nu un client, deși se numea Lync, ceea ce este mai rău) și Viber (dau mai mult spam aici de multe ori la altele).mamă o dată la 5).
Și, în mod ideal, este pur și simplu nerealist să alegi unul, pe platforma Mirandi cu pluginuri, pentru a afla în orice moment ce spui/scrii din întreaga achiziție. Păcat că un număr de producători își închid protocoalele și îi protejează de parcă și-ar ascunde capetele.

Vladimir Kokarev

VSh

Vadim Sterkin: Roman, nu l-am inclus pe Jabber în experiența lui Virishiv, pentru că puțini oameni beneficiază de ea și nu există perspective.

Durham
De exemplu, folosesc OpenFire (freeware xmpp) ca comunicator de birou pe mai multe domenii.

Prin urmare, principalul este XMPP (Pidgin.exe, Spark.exe), dar 99,8% dintre acestea sunt domenii interne.
Skype – pentru IM extern
WhatsApp și Viber - pentru „conexiuni cu victime”, cele n luni rămase vor fi libere de SPAM, mă întreb de ce nu îl voi vedea?

Artem

Sunt încă blocat pe Viber. Și vâscozitatea liantului este complet rezistentă la umiditate. Și așa telegramă bi. E gol acolo.

hazet

1. Skype (pe PC) și Viber (pe mobil). Motivele se datorează în principal și mai ales numărului de contacte evidente și a contactelor în mod natural inutile, trecerea la un alt messenger.
2.uTox. Miniatură, nimic de lux, client pentru Win, Linux, Mac și Android. Poziționat ca furt.
P.S. Acum voi începe să-mi strâng din nou contactele la un nou nivel :-)

Evgen Karelov

Vă mulțumim pentru munca dvs.!

În primul rând, pe computer pentru a naviga pe vikoryst QIP 2012, înainte de orice conexiune, contactează ICQ, VKontakte și alții. Este deosebit de dificil să utilizați un singur program pentru a combina mai multe protocoale. Capacitatea de a căuta paginile de rețele sociale într-un singur loc este și mai silențioasă. În mod ideal, nu va mai exista suport pentru Skype, pe care îl folosesc pentru conexiunea vocală, altfel evident nu va apărea.
Deși acest program pare „blocat”, deoarece nu a existat o actualizare de mult timp, funcționalitatea funcției a dispărut în mod miraculos.

strafer

Tsikava mishanina cu acele postări despre fluxurile de date și instruirea cu IM.

Pentru antrenament: Jabber/Jabber, care încă nu a fost inclus în listă, deși există WhatsApp, baze pe XMPP și o rată de aprindere, care probabil va avea succes.

Jabber analizează toate problemele identificate pe baza deschiderii protocolului, a disponibilității clienților pe non-platforme și a disponibilității serverelor care pot fi ridicate independent. Ale cactusi mestecă în mod tradițional, așa.

Lista are clienți, dar nu protocoale.
ICQ... ei bine, nu am pus emoticoane acolo, pentru că ar putea fi atât de evident.
Jabber cu siguranță nu are nicio problemă - nu e nimeni acolo.
- strafer
  
  Vadim Sterkin: Lista are clienți, nu protocoale
  
  Prin acele protocol i Codurile de weekend Clientul oficial este închis, se stabilește o asemănare firească între un singur client și protocol.
  
  Vadim Sterkin: ICQ ... ei bine, nu am pus emoticoane acolo, pentru că ar putea fi atât de evident.
  
  Micul lucru putred nu este suficient că viespea moare de moarte naturală - cei mai împuțiți încă raportează că va fi îndoită în curând.
  
  Vadim Sterkin: Jabber cu siguranță nu are o problemă - nu este nimeni acolo
  
  Tu ai scris protecția pentru Telegram
  
  arată minunat, dar este gol (ce poate fi corectat)
  
  Jabber are șanse mari să devină la fel ca ecosistemul de e-mail de astăzi (mai deschis la protocol, capacitatea de a găzdui propriile servere și comunicarea securizată între servere etc.), dar corporațiile nu au nevoie de el, ceea ce este clar vizibil pe fundul promoției Google sau WhatsApp.
  - Pentru Telegram - îl puteți corecta, pentru Jabber - este și mai puțin complicat. Primul este pe listă, dar celălalt nu.
    - strafer
      
      Desigur, Telegram este elegant, la modă, tineresc, iar Jabber nu este nimic cool în imaginea lui Pasha Durov și nu se prăbușește. Care sunt perspectivele aici?
      
      Hm... nu te lăsa să scapi de rezervorul tău cu teoria „întreaga lume este împotriva PZ-ului liber”. Mustață mult mai simplu
      
      Deloc surprinzător, aceasta pare să fie prima dovadă a interacțiunii cu clientul Jabber, care este recomandat oficial pe cea mai avansată platformă mobilă.
      
      strafer
    - Nu înțeleg puțin comentariul meu despre limbă.
      
      Așa că iată-ne :) Sunteți tentat să atribui eșecurile lui Jabber demodității și vârstei, într-un moment în care clienții tăi de pe primul ecran nu sunt potriviți realității de astăzi.
      
      Ce pot vedea în captură de ecran?
      
      Propunerea introduceți numărul de telefon ~~~O~

Meta-statisticile explică sensul
fluxuri de date alternative
V sisteme de operare Windows
demonstrați cum să le creați
compromite mașina, cum să știi
fișiere primite, vikoryst și accesibile în secret
utilitati. Prima dată trebuie să mă informezi
sens ADS și cele care poartă amenințarea de duhoare, atunci
Mă minunez de duhoarea de vikory pentru cel rău
Ei bine, haideți să găsim instrumentele și apoi să le privim
pentru a identifica activitatea care
zupiniti departe de munca ilegala
lor.

Ce s-a întâmplat?

Au apărut fluxuri suplimentare de date în
Windows din NTFS. Într-adevăr, la fel de mult ca mine
Adică, nu avea un sens special în ele - era o duhoare
mingi pentru utilizare cu HFS, vechi
Sistem de fișiere Macintosh - Sistem de fișiere ierarhic. Pe dreapta
pentru faptul că acest sistem de fișiere este vikoryst
atât un morman de date, cât şi un morman de resurse pt
salvarea conținutului. date Gilka,
certificat, certificabil pentru înlocuire
document și un folder de resurse pentru
Identificarea fișierului - tipul acestuia și altele
tributuri Până acum despre somn
fluxuri suplimentare de la producătorii primari
putini oameni stiu. Cu toate acestea, în lumea computerelor
siguranţa duhoarei a fost luată de cântec
mai larg De exemplu, hackeri răi
Utilizați ADS pentru a salva fișiere
computere rele, pur și simplu miros
infectați cu viruși și alte programe malware. Pe dreapta
chiar și totul este că aceste fluxuri nu sunt
sunt trecute cu vederea de cele mai avansate metode, de noi înșine
Prin conductor sau prin Linie de comanda. Chim
Care sunt fluxurile? Și Tim, ce e în neregulă
investigarea răului nu mai comite niciodată atrocități
Le respect, nu toate antivirusurile sunt așa
pentru pregătirile lor se uită la pâraiele din
caută software ieftin

Verifică

Pentru a înțelege adevărata preocupare
ADS va fi mai bine demonstrat că lucrează cu ei.
În aplicații, putem folosi Metasploit Framework pentru a ajuta
la mașină. Pentru cine se revarsă vikorystvo
MS04-011 (Lsass). Apoi, pentru ajutor, transferați fișiere TFTP,
care sunt potrivite pentru fluxuri suplimentare
tributuri Cum se va termina asta?
De la o mașină la distanță, rulați din comandă
scaner de rând, care scanează marginile
prezența altor mașini. Aduceți înapoi respectul
că autorii Metasploit Framework și-au asigurat
creat cu semnătura METASPLOIT, de autor
programele bolnave ar fi putut fura pachetul,
ieșire MF. Întoarce respectul pentru pachet,
Ieșire din vizualizarea atacatorului:

Aici 192.168.1.102 este computerul atacatorului
cine merită Metasploit Framework și 192.168.1.101 -
Calculatoare variate cu Win2K Prof. în acest videoclip
livrat fără patch-uri sau pachete de service,
inclusiv în scop demonstrativ
:). Vă rugăm să rețineți că ADS în sine nu este
trebuie să fie maro, împuțit, natural, plăcut
atacatorul numai în acel atac, așa cum este
acces la mașină, umplere sistemică
sistem de operare. La această măsură tu
Este puțin probabil să găsiți W2K nepatchat sau
va trebui să glumească despre alte principii
profund.

Suntem umiliți că atacul a avut succes și mai departe
vehiculul atacator are o carcasă deschisă reversibilă,
dat prin sacrificiu. Pregătește-te pentru asta
Portul 4321 este vikorizat în Metasploit,
cu toate acestea, îl puteți schimba:

După ce ați intrat în mașină, trebuie să o predați lui Tudi
fișiere. Pentru cine este nevoie de TFTP, în asta
ipeye.exe poate fi eliminat în orice moment.

Așa descarcăm psexec.exe, pslist.exe și
klogger.exe. Vedeți lista de director C: Compaq,
unde a mers totul:

Acum îndepărtați ipeye.exe de sudoare,
asocieri cu dosarul existent
fișier_test.

Atunci poți câștiga rapid aceleași lucruri
Alte dosare de lucru necesare.
Vă rugăm să rețineți că există o alternativă
fluxul poate fi organizat nu numai pentru
fișiere și, de asemenea, pentru directoarele aceluiași C:\ to
fundul. Să începem scanerul, despre ceea ce suntem
a vorbit pe cob, ipeye.exe, pe cei infectați
calculator:

c:\Compaq\test_file:ipeye.exe

(Urmează și altele)

Fileova sistem NTFS Nu există un număr de posibilități, dintre care una este disponibilitatea fluxurilor de date alternative (Alternate Data Stream, ADS). Ideea este că un fișier în NTFS este un set de fluxuri în care sunt stocate datele. Toate datele sunt conținute în fluxul principal și, dacă este necesar, fluxuri de date suplimentare, alternative pot fi adăugate la fișier.

Notă. Fluxuri de date alternative au apărut în NTFS cu mult timp în urmă, chiar și în Windows NT. Crearea a fost făcută pentru confuzia cu sistemul de fișiere HFS, care este folosit și pe MacOS. HFS a salvat datele fișierului într-un pool special de resurse.

Fișierele NTFS sunt împărțite în atribute, dintre care unul este $DATA și atributul de date. Fluxurile au puteri suplimentare atributului $DATA. Există un fir principal în spatele spălării $DATA:″″. După cum vedeți, nu există nume, așa că va suna Nume. De asemenea, puteți crea fluxuri suplimentare, cu nume, de exemplu. $DATA:″Stream1″. Fiecare fișier din NTFS poate avea mai multe fluxuri de date pentru a găzdui date diferite care nu sunt legate între ele.

Toate datele care sunt înregistrate în fișier se pierd în fluxul de date principal. Când deschidem un fișier, apoi fluxul principal în sine, fluxurile alternative sunt primite de la client și nu sunt afișate din niciun alt motiv. Ele nu pot fi accesate folosind metode standard, dar ați dori ca unele programe să citească datele stocate în ele. Puteți folosi și rândul de comandă pentru roboții cu fire.

De exemplu, deschideți consola și utilizați comanda suplimentară echo pentru a crea fișierul text streams.txt și scrieți următorul text în el:

echo Acesta este fluxul principal>streams.txt

Și cu următoarea comandă vom scrie textul în fluxul alternativ stream1:

echo Acesta este flux alternativ>streams.txt:stream1

Dacă acum deschideți fișierul streams.txt în orice editor de text, cel mai probabil vom elimina prima intrare și textul „Acesta este un flux alternativ” de la adăugare. Puteți citi informațiile conținute în stream1 cu comanda:

Mai mult

Fluxurile alternative pot fi adăugate nu numai fișierelor individuale, ci și directoarelor. De exemplu, adăugați un flux alternativ de flux2 pentru a plasa textul „Ascunde fluxul în fluxuri” în directorul de fluxuri de fluxuri:

echo Ascunde fluxul în Fluxuri>:stream2

Afișez stream stream2 cu următoarea comandă:

Mai mult<:stream2

În loc de fluxuri alternative, puteți deschide consola. De exemplu, Notepad se poate deschide și pentru a primi fluxuri de date dacă introduceți numele unui flux alternativ în numele fișierului printr-o casetă dublă. Repetați partea din față, schimbând ușor numele fluxului în stream1.txt:

echo Aceasta este o alternativă stream>streams.txt:stream1.txt

Deschid un flux alternativ în notepad cu comanda:

blocnotes streams.txt:stream1.txt

Notă. Notepad standard așteaptă o extensie txt de la numele fluxului, altfel nu o veți putea deschide. Editorii mai avansati, de exemplu, același Notepad++, pot afișa în loc de un flux alternativ, indiferent de numele acestuia.

Prezența fluxurilor alternative în fișier nu este afișată în Explorer și altele manageri de fișiere. Pentru a le cunoaște, cel mai simplu mod este să folosești rapid comanda dir/R(incepand cu Windows Vista), care arată toate fluxurile de date, inclusiv cele alternative.

Este posibil să descoperiți că o selecție de fluxuri alternative este înconjurată de date text. Nu este deloc așa, iar în fluxuri alternative puteți salva orice informație. De exemplu, creați fișierul picture.txt și adăugați un nou flux pic1.jpg, care poate găzdui o imagine:

echo Imagine>picture.txt
tastați pic1.jpg>picture.jpg:pic1.jpg

În acest fel, numim fișierul text original și pentru a deschide imaginea dintr-un flux alternativ în editor grafic Vopseaua este accelerată de comanda:

mspaint picture.txt:pic1.jpg

În mod similar, puteți adăuga date la orice tip de fișier - adăugați imagini în fișierele text, adăugați informații text în fișierele media etc. Ce este grozav este că alternativa nu mărește dimensiunea aparentă a fișierului, de exemplu, adăugând până la 1 kB fisier text Video HD de 30 GB, exploratorul arată încă dimensiunea fișierului ca 1 kB.

Mai multe fluxuri alternative pot fi folosite pentru fișierele concatenate. De exemplu, luați fișierul test.txt și adăugați suplimentul Notepad (notepad.exe) flux alternativ note.exe:

tastați notepad.exe>test.txt:note.exe

Și pentru a lansa blocnotesul atașat, puteți utiliza rapid comanda:

porniți .\test.txt:note.exe

Înainte de a vorbi, este posibil să existe unele programe neprofitabile care adaugă cod de compilare la fluxurile alternative NTFS.

Fluxuri de utilitate

Pentru lucrul cu fluxuri alternative există un decal utilități terțe, de exemplu utilitarul consolei Fluxuri de la Sysinternals. Acest lucru poate indica prezența fluxurilor alternative și le poate elimina. Utilitarul nu necesită instalare, doar despachetați-l și rulați-l. De exemplu, putem verifica prezența fluxurilor în folderul Fluxuri cu comanda:

Streams.exe -s C:\Streams

Pot vedea fluxuri alternative din fișierul streams.txt:

Streams.exe -d C:\Streams\streams.txt

PowerShell

PowerShell poate funcționa și cu fluxuri alternative - creați, afișați, afișați-le în schimb și chiar ștergeți-le. Pentru exemplu, creați un fișier text:

Nou-Element -Fișier de tip -Calea C:\Streams\stream.txt

Intrarea Dodamo la subiectul principal:

Set-Content -Path C:\Streams\stream.txt -Value ″Main stream″

І într-un flux alternativ cu ім'яm Al doilea:

Set-Content -Path C:\Streams\stream.txt -Value Second stream -Stream Second

Apoi este afișat în locul celui principal

Get-Content -Path C:\Streams\stream.txt

și fluxuri alternative:

Get-Content -Path C:\Streams\stream.txt -Stream Second

Pentru a afla prezența fluxurilor alternative, puteți rula rapid comanda:

Get-Item -Path C:\Streams\stream.txt -Stream *

Puteți șterge fluxurile client cu comanda:

Eliminați-element -Calea C:\Streams\streams.txt -Stream *

Vikoristannya

Fluxurile alternative sunt utilizate atât de Windows în sine, cât și de alte programe. De exemplu, Internet ExplorerÎmpărțiți rețeaua în 4 zone de securitate și, atunci când fișierele sunt invadate, adăugați etichete la acestea, care conțin informații despre zona care a fost afectată.

Aceste semne sunt salvate într-un mod alternativ și reprezintă un număr cuprins între 0 și 4:

Internet (3)
Mіstseva Merezha (1)
Site-uri de încredere (2)
Site-uri nesigure (4)
Computer local (0)

Pentru a ajunge la asta, să mergem la folderul de descărcare, să luăm fișierul descărcat de pe Internet și să verificăm dacă există fluxuri alternative. După cum vedeți, există un flux de la ei Zona.Identificator, în care există un rând ZoneID=3.

Aceasta înseamnă că fișierul este transferat într-o zonă neîncrezătoare a Internetului, iar atunci când este deschis, trebuie să fii atent. Unele programe, cum ar fi Word, citesc aceste date atunci când deschideți un fișier și îl vedeți în avans.

De asemenea, Infrastructura de clasificare a fișierelor (FCI) rulează pe o varietate de fluxuri alternative. Z programe de la terți fluxuri alternative vikorist deyaki programe antivirus, zokrema, Kaspersky antivirus salvează în ele suma de cec care este eliminată ca urmare a verificării.

Totuși, stagnarea fluxurilor alternative nu este limitată, tu însuți poți veni cu un fel de stază pentru ele. De exemplu, cu ajutor puteți capta informații speciale de la persoane din afară. Fișierele care conțin fluxuri alternative pot fi copiate sau transferate de pe disc pe disc; toate fluxurile vor fi copiate împreună cu fișierul.

Și, de asemenea, cu mai multe fluxuri alternative, urma memoriei este strâns cuplată cu sistemul de fișiere NTFS. Pentru a evita ca aceste fișiere să fie stocate pe unități NTFS, evident că puteți lucra cu ele doar sub Windows. Dacă mutați un fișier într-un alt sistem de fișiere, toate firele, altele decât cel principal, vor fi irosite. De asemenea, fluxurile alternative sunt întrerupte atunci când se transferă fișiere FTP sau când sunt transferate într-o cutie poștală.
Preluat de pe http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/

Mai mult:
ADS - a fost instalat un cip de sistem de fișiere NTFS, deci este imposibil să-l conectați.

ADS vă permite să adăugați orice fișiere altora și să creați directoare (!). Sistemul de operare în sine este corupt periodic, adăugând fluxul „Zone.Identifier” la fișierele descărcate de pe Internet.

Zone.Identifier poate fi editat în prealabil pentru a se asigura că acest fișier a fost descărcat de pe Internet. Ce zici de deschiderea modului sigur?

Puteți adăuga un flux la orice fișier ca acesta:
tastați fișier1 > fișier2:fișier3

incearca viyaviti
dir/r

rulați exe așa:
start file2:file3

Dacă nu a spus, atunci așa:
mklink file4 file2:file3
fișierul de pornire4

Axa, de exemplu, leagă calculatorul la unitatea rădăcină C (!) și rulează instrucțiunile

DIR /B C:WINDOWSystem32*.SCR

DIR /B C:WINDOWSystem32*.* |FIND /i „.SCR”

Este ușor de descris semnificația parametrilor unei comenzi skin (rețineți că pentru o comandă skin puteți selecta opțiunea cu tasta /?). Vă rugăm să rețineți că noile chei pot avea efecte diferite pentru diferite echipe.

4.1.8. Fluxuri de fișiere NTFS*

Sistemul de fișiere NTFS acceptă fluxuri de fișiere și fluxuri de date alternative. De fapt, fluxurile de fișiere combină mai multe fișiere într-un grup cu un nume de fișier suplimentar (fiecare flux are propriul nume suplimentar). Un grup are un flux de date principal, în care majoritatea programelor funcționează ca fișier, și fluxuri suplimentare denumite, care nu sunt reprezentate într-un mod natural. În timpul operațiunilor cu fișiere: copiere, transfer, ștergere etc., în NTFS operația se efectuează pe un grup. Dacă selectați anumite arhivare și copiați fișiere pentru a plasa fluxuri alternative în partiția FAT, aceste fluxuri se pot pierde. Din punct de vedere tehnic, sunt instalate fluxuri alternative pentru a suplimenta fișierul cu informații fără a schimba fluxul principal și fără a se restrânge fișiere suplimentare, care poate fi tratat.

Fluxurile alternative sunt folosite de programele antivirus pentru a salva informații despre fișiere (biți, sume de verificare) pentru a detecta modificările fișierelor pe oră. Clienții sistemului de partajare a fișierelor Direct Connect (DC++) pot salva rezultatele hashing (calculele sumei de control) pentru fișiere grozave, care este corect atunci când mutați fișierul în timpul re-hashing, ceea ce va accelera lista actualizată.

În viitor, programele bibliotecilor, bibliotecile de film și bibliotecile audio pot folosi fluxuri alternative pentru a salva împreună cu documente fluxuri de coperți, piste audio, descrieri și diferite limbi. Fluxurile alternative vă permit să atașați date „secrete”, care sunt potențial periculoase.

Puteți vizualiza informații despre fluxuri folosind comanda STREAMS25, programul NTFS Stream Explorer26, module suplimentare de extensie pentru managerul de fișiere27, în Windows 7, comanda dir /r afișează o listă a tuturor fluxurilor pentru obiectele desemnate (cu comanda dir puteți utiliza, de asemenea, vikoristii iau chei suplimentare).

La salvarea fișierelor de pe Internet, fișierul în NTFS este furnizat cu fluxul Zone.Identifier 28, care este formatul fișierului ini și permite inserarea textului:

Parametrul ZoneId cu un număr înseamnă zona, informațiile au ajuns pe computer, numărul zonei este preluat din setările zonei de securitate ( Panou de control/Privește puternic în jur(Merezha și browser Internet / Power

Zera) / Fila Securitate). Valori acceptabile29: 0 – calculator local

1 - Intranet ( măsură locală, domeniu)

2 – dzherelo de încredere

3 – Internet

4 – dzherelo neîncrezător

Pentru sensul 3, sistemul pare a fi avansat " Nu se poate realiza

Riti Vidavtsa. Chiar vrei să lansezi acest program?”

în partea de jos a anunțului există un steag „ Mai întâi cereți ora pentru a vă deschide fișierul„Ceea ce vedeți este fluxul Zone.Identifier. Dacă ZoneId este setat la 4, atunci va apărea în avans. Aceste fișiere nu pot fi deschise. Setările de securitate pe internet nu au permis să se deschidă

25 de fluxuri (http://technet.microsoft.com/ru-ua/sysinternals/bb897440)

26 NTFS Stream Explorer, un program pentru lucrul cu fluxuri NTFS (http://hex.pp.ua/ntfs-stream-explorer.php)

27 Informații despre fișierul NTFS

(http://forum.farmanager.com/viewtopic.php?t=2050)

28 Puteți activa fluxul de blocare pentru fișiere în editorul local Politica de grup(gpedit.msc):Configurație de bază

autor/Șabloane administrative/ Componentele Windows/ Manager inserare / Vizualizări ale informațiilor despre zona de inserare.

29 Potik Zone.Identifier (http://hex.pp.ua/Zone.Identifier.php)

unul sau mai multe fișiere» și accesul la fișiere este blocat. Când deschideți fereastra de alimentare în Explorer pentru un fișier descărcat de pe Internet, apare un buton Deblocare în partea de jos a filei Ascuns.

scrie „Fii atent: acest fișier a fost eliminat de pe alt computer și este posibil să fi fost blocat de metoda de securitate a computerului.” ", apăsând butonul Deblocarea va dezvălui fluxul Zone.Identifier.

Folosind un browser de Internet, descărcați fișierul STREAMS.zip (puteți descărca orice fișier mic specificând numele acestuia în comanda de mai jos), salvați-l în folderul rădăcină al unității F:, uitați-vă la fluxul Zone.Identifier cu comanda :

MAI MULT< F:\Streams.zip:Zone.Identifier

Deschideți fereastra Power în Explorer (Alt+Enter sau comanda Power din meniul contextual) pentru fișierul dorit, apăsați butonul Deblocare din fila Înapoi și repetați comanda anterioară pe consolă.

Creați un fișier de testare cu o comandă care redirecționează textul operatorului către text, adăugați un flux alternativ, uitați-vă la rezultat:

ECHO Text principal > F:\M.TXT

ECHO Text ascuns > F:\M.TXT:Secret.TXT

TIP F:\M.TXT

MAI MULT< F:\M.TXT:Secret.TXT

Alternativă fir de textÎl puteți adăuga în blocnotes:

NOTEPAD F:\M.TXT:Secret.TXT

Fluxuri alternative pot fi create și în foldere și fișiere de sistem30.

Fluxurile sunt, de asemenea, folosite pentru a salva atribute extinse31.

30 Salvați datele din fluxuri în fișierul $Repair în directorul de sistem $RmMetadata (http://hex.pp.ua/RmMetadata.php)

31 Atribute extinse NTFS și FAT16

(http://hex.pp.ua/extended-attributes.php) 53