标题：NTFS文件流(ADS)的利用  
出处：Felix021
时间：Mon, 09 Apr 2007 15:56:14 +0000
作者：felix021
地址：https://www.felix021.com/blog/read.php?183

内容：
NTFS文件流(ADS)的利用  
 2007-02-25 225655  天气 晴朗  心情 平静  个人分类：雕虫小技  

一、隐藏信息 
    在任一NTFS分区下打开命令提示符，输入echo abcde > a.txt:b.txt，则当前目录下会生成一个a.txt文件，但大小为0字节，打开也无任何内容，只有键入命令notepad a.txt:b.txt才能看见写入的abcde。其中a.txt可以不存在，也可以是某个已存在的文件，且格式无所谓，无论是.txt还是.jpg、.bmp、.exe等；b.txt也可以任意指定名字以及后缀名，这样就可以将任意文本信息隐藏于任意文件中，且只要不泄露冒号后的虚拟文件名（即b.txt）别人是根本不会查看到隐藏信息的。并且，在已经用NTFS文件流制造了隐藏信息后，包含隐藏信息的文件仍然可以再隐藏其他内容，例如abcde已经包含在a.txt:b.txt中，仍然可以用命令echo 12345>a.txt:c.txt建立新的包含隐藏信息的流文件，在命令行下用notepad a.txt:c.txt打开会发现12345这段信息，而abcde仍然存在于a.txt:b.txt中丝毫不受影响。 

二、隐藏文件 
    命令跟上面的大同小异，为type 文件名+后缀任意文件任意文件名+原文件后缀，比如type 1.jpg > abc.def:2.jpg。打开隐藏文件时就要注意了，如果用来打开文件的程序是系统自带的（位于系统目录下），直接输入程序名就可以了；但如果是用另外的软件打开就要加上完整的路径，且流文件也要带上完整路径，例如用画图工具打开abc.def:2.jpg，命令是：mspaint abc.def:2.jpg；用ACDSee9打开的命令是：DACDSee9 ACDSee9.exe Dabc.def:2.jpg。注意这里的2.jpg，后缀最好跟原文件一致，不然用第三方软件打开时可能出错。比如type 1.jpg>abc.def:2.jjj，用Windows自带的画图工具可以顺利打开，但用ACDSee9时却提示数据格式不可识别，必须改成.jpg后缀才可以打开。 
    同理，其他文件也可以这样隐藏，只要打开时根据后缀名找对应的程序就行了，而且也可以像隐藏信息那样隐藏多个文件。 

三、捆绑木马 
    隐藏方法跟第二部分一样，运行时的命令为：start 流文件路径，这里也要求带上完整路径，不然要出错。 

四、注意事项 
    1、流文件不能直接通过网络传输，也不能用WINRAR进行普通压缩后传输，那样会丢失信息，必须在压缩时选择高级选项卡里的“保存文件流数据”； 
    2、制作好的流文件大小跟用来隐藏原文件的文件一样，但压缩后的文件还是包括了隐藏文件的大小，说明NTFS文件流仍然会占用磁盘空间，这是判断文件是否包含流文件的重要方法，比对解压后的文件大小和压缩包的大小，如果前者小于后者那就说明这个压缩包有猫腻； 
    3、流文件必须在NTFS分区下才能运行，一旦放到其他文件系统的分区中，即使再放回来，也会造成NTFS数据流的丢失。 
 
 



Generated by Bo-blog 2.1.0