NTFS dosya sistemi, alternatif veri akışlarının (ADS) kullanılabilirliği de dahil olmak üzere bir dizi özelliğe sahiptir. Önemli olan, NTFS'deki bir dosyanın, verilerin depolandığı bir dizi akış olmasıdır. Tüm veri akışları ana akışta bulunabilir ve gerekirse dosyaya ek alternatif veri akışları da eklenebilir.

Not. Alternatif veri akışları uzun zaman önce NTFS'de, hatta Windows NT'de bile ortaya çıktı. Yaratımlar, MacOS'ta kullanılan HFS dosya sistemi ile çılgınlık için yapıldı. HFS, dosya verilerini özel bir kaynak havuzuna kaydetti.

NTFS dosyaları özniteliklere bölünmüştür; bunlardan biri $DATA ve veri özniteliğidir. Akışların $DATA niteliğine ek yetkileri vardır. Yıkamanın arkasında bir ana iplik var $VERİ:″″. Gördüğünüz gibi isim yok o yüzden çalacak isimsiz. Ayrıca örneğin ek adlandırılmış akışlar da oluşturabilirsiniz. $DATA:″Akış1″. NTFS'deki her dosya, birbiriyle ilişkili olmayan farklılıkları barındırmak için bir dizi veri akışına sahip olabilir.

Dosyaya kaydedilen tüm veriler ana veri akışında kaybolur. Bir dosyayı açtığımızda, ana akışın kendisi, istemciden alternatif akışlar alınır ve başka hiçbir nedenden dolayı görüntülenmez. Bunlara standart yöntemler kullanılarak erişilemez, ancak bazı programların içlerinde depolanan verileri okumasını istersiniz. İş parçacığı olan robotlar için komut satırını da kullanabilirsiniz.

Örneğin, konsolu açın ve Streams.txt metin dosyasını oluşturmak için ek echo komutunu kullanın ve içine aşağıdaki metni yazın:

echo Bu ana akıştır>streams.txt

Ve bir sonraki komutla metni alternatif akış akışı1'e kadar yazacağız:

echo Bu alternatif akış>streams.txt:stream1

Streams.txt dosyasını şimdi herhangi bir metin düzenleyicide açarsanız, büyük olasılıkla ilk girişi kaldıracağız ve "Bu bir alternatif akıştır" metninin eklenmesini önleyeceğiz. Stream1'de yer alan bilgileri okuyabilirsiniz:

Daha

Alternatif akışlar yalnızca tek dosyalara değil aynı zamanda dizinlere de eklenebilir. Örneğin, Akışlar akış dizinine "Akışlarda akışı gizle" metnini yerleştirmek için alternatif bir akış akışı2 ekleyin:

echo Akışlarda akışı gizle>:stream2

Stream Stream2'yi aşağıdaki komutla görüntülüyorum:

Daha<:stream2

Alternatif akışlar yerine konsolu açabilirsiniz. Örneğin, dosya adında alternatif bir akışın adını çift kutu aracılığıyla girerseniz, Not Defteri veri akışlarını almak üzere de açılabilir. Akışın adını hafifçe akış1.txt olarak değiştirerek ön kısmı tekrarlayın:

echo Bu alternatif akış>streams.txt:stream1.txt

Not defterinde şu komutla alternatif bir akış açıyorum:

not defteri akışları.txt:stream1.txt

Not. Standart Not Defteri, akış adından txt uzantısını çıkarır, aksi takdirde onu açamazsınız. Daha gelişmiş düzenleyiciler, örneğin aynı Notepad++, adından bağımsız olarak alternatif bir akış yerine görüntüleyebilir.

Dosyaya alternatif akışların varlığı Explorer'da veya diğer dosya yöneticilerinde görüntülenmez. Bunları tanımanın en basit yolu, komutu hızlı bir şekilde kullanmaktır. yön/R(Windows Vista'dan başlayarak), alternatif olanlar da dahil olmak üzere tüm veri akışlarını gösterir.

Bir dizi alternatif akışın metin verileriyle çevrelendiğini görebilirsiniz. Durum hiç de böyle değil ve alternatif akışlarda her türlü bilgiyi kaydedebilirsiniz. Örneğin, resim.txt dosyasını oluşturun ve bir resim içerebilen yeni bir pic1.jpg akışı ekleyin:

echo Resim>resim.txt
pic1.jpg>resim.jpg:pic1.jpg yazın

Bu şekilde orijinal metin dosyasını çağırıyoruz ve görüntüyü Paint grafik düzenleyicisinde alternatif bir akıştan açmak için aşağıdaki hızlı komutu kullanıyoruz:

mspaint resim.txt:pic1.jpg

Benzer şekilde, herhangi bir dosya türüne veri ekleyebilirsiniz; metin dosyalarına görseller, medya dosyalarına metin bilgileri vb. ekleyebilirsiniz. Explorer dosya boyutunu hala 1kB olarak gösteriyor.

Birleştirilmiş dosyalar için daha fazla alternatif akış kullanılabilir. Örneğin, test.txt dosyasını alın ve Not Defteri eklentisini (notepad.exe) alternatif note.exe akışına ekleyin:

notepad.exe>test.txt:note.exe yazın

Ekteki not defterini başlatmak için şu komutu hızlı bir şekilde kullanabilirsiniz:

.\test.txt:note.exe'yi başlat

Konuşmadan önce, birleştirme kodunu alternatif NTFS akışlarına ekleyen bazı zararlı programların olması mümkündür.

Akış yardımcı programı

Alternatif akışlarla çalışmak için bir dizi üçüncü taraf yardımcı programını kullanabilirsiniz; örneğin Sysinternals'ın Streams konsolu yardımcı programı. Bu, alternatif akışların varlığını gösterebilir ve bunları ortadan kaldırabilir. Yardımcı program kurulum gerektirmez, yalnızca paketini açın ve çalıştırın. Örneğin, Akışlar klasöründeki akışların varlığını şu komutla doğrulayabiliriz:

Streams.exe -s C:\Streams

streams.txt dosyasından alternatif akışları görebiliyorum:

Streams.exe -d C:\Streams\streams.txt

Güç kalkanı

PowerShell ayrıca alternatif akışlarla da çalışabilir; bunları oluşturabilir, görüntüleyebilir, görüntüleyebilir ve hatta silebilir. Örneğin bir metin dosyası oluşturun:

Yeni Öğe - Dosya türü - Yol C:\Streams\stream.txt

Ana konuya Dodamo girişi:

Set-Content -Yol C:\Akışlar\stream.txt -Value ″Ana akış″

І ім'яm Second ile alternatif bir yayında:

Set-Content -Yol C:\Streams\stream.txt -Value İkinci akış -Akış İkinci

Daha sonra ana olanın yerine görüntülenir

Get-Content -Yol C:\Streams\stream.txt

ve alternatif akışlar:

Get-Content -Yol C:\Streams\stream.txt -Stream Second

Alternatif akışların varlığını ortaya çıkarmak için şu komutu hızlı bir şekilde çalıştırabilirsiniz:

Get-Item -Yol C:\Streams\stream.txt -Stream *

İstemci akışlarını şu komutla silebilirsiniz:

Öğeyi Kaldır -Yol C:\Streams\streams.txt -Stream *

Vikoristannya

Alternatif akışlar hem Windows'un kendisi hem de diğer programlar tarafından kullanılır. Örneğin, Internet Explorer ağı 4 güvenlik bölgesine ayırır ve dosyalara tecavüz edildiğinde bunlara, tecavüzün gerçekleştiği bölge hakkında bilgi içeren etiketler ekler.

Bu işaretler alternatif bir şekilde kaydedilir ve 0'dan 4'e kadar bir sayıyı temsil eder:

internet (3)
Mіstseva Merezha (1)
Güvenilir siteler (2)
Güvenli olmayan siteler (4)
Yerel bilgisayar (0)

Bunu başarmak için indirme klasörüne gidelim, indirilen dosyayı internetten alalım ve alternatif akışların olup olmadığını kontrol edelim. Gördüğünüz gibi yüzünden bir akıntı var Bölge Tanımlayıcı, içinde bir satır var Bölge Kimliği=3.

Bu, dosyanın internetin güvenilmeyen bir alanına aktarıldığı ve açıldığında dikkatli olmanız gerektiği anlamına gelir. Word gibi bazı programlar, bir dosyayı açtığınızda bu verileri okur ve önceden görür.

Ayrıca Dosya Sınıflandırma Altyapısı (FCI) çeşitli alternatif akışlarda çalışır. Diğer programlarda, alternatif iş parçacıkları anti-virüs programları tarafından taranır, ancak Kaspersky Anti-Virus, tarama sonucunda kaldırılan kontrol toplamını bunlara kaydeder.

Bununla birlikte, alternatif akışların durgunluğu sınırlı değildir, onlar için kendiniz bir tür durağanlık yaratabilirsiniz. Örneğin, yardım alarak dışarıdan gelen özel bilgileri yakalayabilirsiniz. Alternatif akışlar içeren dosyalar diskten diske kopyalanabilir veya aktarılabilir; tüm akışlar dosyayla birlikte kopyalanacaktır.

Ayrıca birden fazla alternatif akışta, NTFS dosya sistemine sıkı sıkıya bağlı olan bellek gerekir. Bu dosyaların NTFS sürücülerinde saklanmasını önlemek için, bunlarla yalnızca Windows altında çalışabilirsiniz. Bir dosyayı başka bir dosya sistemine taşırsanız, ana iş parçacığı dışındaki tüm iş parçacıkları boşa gider. Ayrıca FTP dosyalarını aktarırken veya bir posta kutusuna aktarırken alternatif akışlar kesilir.
http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs/ adresinden alınmıştır.

Daha fazla:
ADS - bir NTFS dosya sistemi çipi takılmıştır, bu nedenle onu takmak imkansızdır.

ADS, herhangi bir dosyayı diğer dosyalara eklemenize ve dizinler (!) oluşturmanıza olanak tanır. İşletim sisteminin kendisi periyodik olarak bozularak İnternetten indirilen dosyalara "Zone.Identifier" akışı eklenir.

Zone.Identifier, bu dosyaya internetten erişilmesini önlemek için önceden düzenlenebilir. Güvenli modu açmaya ne dersiniz?

Herhangi bir dosyaya şu şekilde bir akış ekleyebilirsiniz:
dosya1 > dosya2:dosya3 yazın

viyaviti'yi dene
yön/r

exe'yi şu şekilde çalıştırın:
dosya2'yi başlat: dosya3

Söylemediyse, şöyle:
mklink dosya4 dosya2:dosya3
dosya4'ü başlat

Örneğin Axis, hesap makinesini kök diske (!) bağlayın ve onu

Meta istatistikler anlamı açıklıyor
alternatif veri akışları
Windows işletim sistemlerinde,
bunların nasıl oluşturulacağını gösterin
arabayı tehlikeye at, nasıl bilebilirim
Sahne arkasından yardım için alınan dosyalar
araçlar. İlk defa beni bilgilendirmen gerekiyor
ADS'yi ve koku tehdidi taşıyanları algılayın, ardından
Kötü olanın zafer kokusuna hayret ediyorum
Peki, araçları bulalım ve sonra onlara bakalım
aktiviteyi tanımlamak için
zupiniti yasadışı işten uzak
onlara.

Sorun ne?

Ek veri akışları ortaya çıktı
NTFS'den Windows. Gerçekten benim kadar
Demek istediğim, bunların özel bir anlamı yoktu - bir koku vardı
HFS ile kullanım için toplar, eski
Macintosh dosya sistemi - Hiyerarşik Dosya Sistemi. Sağda
bu dosya sisteminin vikoryst olması nedeniyle
hem bir veri yığını hem de bir kaynak yığını
içeriği kaydetme. Gilka verileri,
değiştirilmek üzere belgelenebilir şekilde, belgelenebilir şekilde
belge ve kaynaklar için bir klasör
Dosyanın tanımlanması - türü ve diğerleri
haraç Şimdiye kadar uyku hakkında
standart koristuvach'lardan ek akışlar
çok az kişi biliyor. Prote, bilgisayar dünyasında
şarkı kokunun güvenliğini alıp götürdü
daha geniş Mesela hackerlar kötüdür
Dosyaları kaydetmek için ADS'yi kullanın
kötü bilgisayarlar, sadece kokuyorlar
virüsler ve diğer kötü amaçlı yazılımlardan etkilenir. Sağda
hatta her şey bu akışların olmadığıdır
en gelişmiş yöntemlerle, kendi başımıza gözden kaçırıyoruz
Komut satırında bir kılavuz. Chim
Akışlar nelerdir? Ve Tim, sorun ne?
kötülüğün araştırılması bir daha asla zulüm yapmaz
Onlara saygı duyuyorum, tüm antivirüsler böyle değil
hazırlıkları için derelere bakarlar
ucuz yazılım arıyorum

Buna bir bak

Gerçek endişeyi anlamak için
ADS'nin onlarla çalıştığı daha iyi gösterilecektir.
Uygulamalarda yardımcı olması için Metasploit Framework'ü kullanabiliriz.
arabaya. Vikorystvo kimin için dökülüyor
MS04-011 (LSASS). Daha sonra yardım için TFTP aktarım dosyalarını,
ek akışlar için uygun olan
haraç Bu nasıl bitecek?
Uzak bir makineden komuttan çalıştırın
kenarları tarayan satır tarayıcı
diğer makinelerin varlığı. Saygıyı geri getir
Metasploit Framework yazarlarının güvence altına aldıkları
Yazar tarafından METASPLOIT imzasıyla oluşturulmuştur
hastalıklı programlar paketi çalmış olabilir,
çıkış MF'si. Pakete saygıyı iade edin,
Saldırganın çıkış görünümü:

İşte 192.168.1.102 saldırganın bilgisayarı
Metasploit Çerçevesine kim değer ve 192.168.1.101 -
Win2K ile değişen bilgisayar Prof. Bu videoda
yamalar veya servis paketleri olmadan teslim edilir,
gösteri amaçlı dahil
:). Lütfen ADS'nin kendisinin olmadığını unutmayın.
kahverengi, pis kokulu, doğal, hoş olmalı
saldırgan bundan mahrumdur çünkü o
makineye erişim, sistemik dağıtım
işletim sistemi. Sağ kenarda sen
Yamasız bir W2K bulmanız pek mümkün değil, ne olmuş yani?
diğer ilkeler hakkında şaka yapmak zorunda kalacağım
anlayışlı.

Saldırının başarılı olmasından dolayı gururluyuz
saldıran aracın ters çevrilebilir açık bir mermisi var,
kurban edilerek verilir. Buna hazırlanmak
Port 4321 Metasploit'te vikorize ediliyor,
ancak bunu değiştirebilirsiniz:

Arabaya girdikten sonra onu Tudi'ye teslim etmeniz gerekiyor.
Dosyalar. Bu konuda TFTP'ye ihtiyaç duyanlar için
ipeye.exe'yi seçebilirsiniz.

Bu şekilde psexec.exe, pslist.exe ve
klogger.exe Dizin listesine bakın C: Compaq,
her şey nereye gitti:

Şimdi ipeye.exe'yi terden uzak tutun,
mevcut dosyayla ilişkiler
test_file.

O zaman aynı şeyleri hızla kazanabilirsiniz
Diğer gerekli çalışma dosyaları.
Lütfen bir alternatif olduğunu unutmayın
akış yalnızca aşağıdakiler için düzenlenemez:
dosyalar ve ayrıca aynı C:\ dizinindeki dizinler için
popo. Tarayıcıyı başlatalım, ne olduğumuz hakkında
enfekte olan ipeye.exe koçanı hakkında konuştu
bilgisayar:

c:\Compaq\test_file:ipeye.exe

(Daha çok olacak)

Windows işletim sistemleri iki düşük hacimli veri toplama işleviyle donatılmıştır: NTFS veri akışları (ve alternatif veri akışları) ve Erişim Tabanlı Numaralandırmaya (ABE) dayalı bir kaynak listesine erişim. Alternatif veri akışları, dosya hakkındaki bilgiler gibi alınan bilgileri dosyaya eklemenizi sağlar. Herşey göz önüne alındığında, alınan veri akışlarıyla etkileşime geçemezsiniz, suçlular bu teknolojiyi size karşı çalabilir, bu yüzden bununla ilgili ve onu kullanabilenler hakkında kanıtlar var.

ABE yöntemini kullanarak cephaneliğinizi genişletebilirsiniz. Bu yöntem, yüksek oranda telif hakkıyla korunan kaynakların klasörlerini ve dosyalarını, bunlara erişim izni olmayan kişiler için görünmez hale getirir.

Bu mülk hakkında bilmeniz gerekenler.

Nehirler, veri denizini canlandıracak şeyler

Alternatif veri akışları NTFS dosya sisteminin bir işlevidir. NT ve Macintosh kullanıcılarının dosya alışverişine izin vermek için Windows NT 3.1 sistemine kurulduktan sonra.

Bir NTFS dosyası veri akışlarından oluşur. Bu, standart veri akışı $DATA'dır ve muhtemelen bir veya daha fazla alternatif veri akışıdır. Dosyayla çalışmak için izne ihtiyacı olan herhangi bir kullanıcı mevcut $DATA veri akışını açabilir, açabilir ve ayrıca bu akışa veri okuyup yazabilir.

Alternatif bir veri akışı, bir NTFS dosyasına eklenebilecek bilgisayarlar veya programlar gibi ek bilgi veya dosyalardır. Alternatif bir veri akışının kurulduğunu yalnızca onu yaratan kişi biliyor. Dosyaya hangi alternatif veri akışının eklendiğini bilmiyor olabilirsiniz; Bu, bu akış yerine hiçbir adın görünmediği anlamına gelir. Ayrıca dosyanın boyutunu değiştirmenin bir yolu yoktur.

Alternatif veri akışlarını kaynaklamanın birçok yolu vardır. Windows sistemlerinde bu akışlar, basit metin dosyaları (.txt) gibi Microsoft Office'e dahil olmayan programlar tarafından oluşturulan belgelerdeki verileri kaydetmek için kullanılır. Başlık, konu ve yazar bilgileri gibi bilgiler Dosya Özellikleri iletişim kutusunun Özet sekmesine girilebilir. Bu veriler alternatif veri akışı SummaryInformation'da saklanır.

Şifreleme Dosya Sistemi (EFS) ve Windows Gezgini gibi Windows programları, bunları ve diğer veri dosyalarını NTFS sistemi altında biçimlendirilmiş depolama aygıtlarında depolanan dosyalara bağlamak için alternatif veri akışlarını kullanır. EFS programı, alternatif veri akışlarının yardımıyla, kodlama ve kod çözme hakkında bilgi içeren şifrelenmiş dosyalara gelir ve bu, kendi programları tarafından merkezi olmayan şifreleme ve şifre çözme olanağı sağlar.

Windows XP Service Pack 2'de (SP2) uygulanan Microsoft Internet Explorer (IE), NTFS birimlerine kaydedilen dosyaların güvenlik bölgesi sınıflandırmasını sağlamak için alternatif veri akışı Security.Zone'u kullanır. Sonuç olarak IE, kullanıcının güvenilmez bir İnternet bölgesinden güvenlik kriterlerine göre bozuk kod alıp bu kodu sabit diske kaydetmesi durumunda oluşabilecek saldırılara kadar kullanıcının haklarını genişleten saldırıları engelleyebilecektir. IE, yerel olarak depolanan içeriği Yerel Makine güvenlik bölgesine getirir ve bu da İnternet güvenlik bölgesine daha fazla hak aktarır. XP SP2, gerekli kodun yerel sistemde herhangi bir eylemi çalıştırmasına izin vermeden önce her zaman Security.Zone veri akışını kontrol eder.

İndirim kodu verme kanalı

Saygı ve ilgiyi hak eden alternatif veri akışları, adlarının Windows Gezgini program penceresinde görünmemesinden kaynaklanmaktadır. Bu nedenle, çeşitli saldırıları düzenleyenler, sistemden çalınan verileri veya kötü amaçlı kodları manuel olarak yakalayarak bu tür akışlardan yararlanırlar. Bu ipliklerden bir vikoristanın kıçı bir solucan olabilir [e-posta korumalı] Bilgisayar korsanları, orijinal ODBC .ini dosyasına birkaç Visual Basic (VB) komut dosyası eklemek için alternatif bir veri akışından yararlandı.

Solucan etkinleştirildiğinde bir yönetim kaydı oluşturur ve bunu Microsoft Outlook adres defterinde görünen adreslere gönderir.

Diğer bir sorun ise Windows Explorer'da dosya boyutları ve kullanılmayan disk alanı verileri içerisinde alternatif veri akışları için gösterilen disk alanının görüntülenmemesidir. Bir bilgisayar korsanı, dosya sunucusunun disk alanını doldurmak için alternatif veri akışlarından yararlanabilir ve yöneticinin yalnızca sorunun temeline inme konusunda endişelenmesi gerekecektir. Ek olarak, Dir komut satırı yardımcı programının boyut verilerini (dosyalar ve klasörler) saklarken alternatif veri akışlarını dikkate almadığına dikkat edilmelidir. Bugün veri boyutlarını korurken alternatif veri akışlarını yönetebilen tek bir Microsoft özelliği var: Chkdsk yardımcı programı.

Yeni bir akış ekleme

NTFS dosyasına yazma hakkına sahip bir kişiyseniz, temel işletim sistemi komutlarını kullanarak alternatif veri akışı olan bir dosyaya hızlı bir şekilde erişebilirsiniz. Örneğin, aşağıdaki komut alternatif bir veri akışı mystream oluşturur, mystream'i file.txt adlı bir dosyayla birleştirir ve mystream'den "top secret" ifadesini kaydeder.

echo çok gizli > dosya.txt: akışım

Aşağıdaki komutu kullanmak yerine akışımı izleyebilirsiniz:

Yukarıda belirtildiği gibi, alternatif veri akışlarına birleştirilmiş dosyalar ekleyebilirsiniz. Windows hesap makinesinin (calc.exe) kaydedilmiş bir kopyasını file.txt dosyasına eklemek mümkündür. Bunun için sadece komutu girmeniz yeterli

calc.exe yazın > file.txt: calc.exe

Kabul hesaplayıcısını başlatmak için komutu girin

.file.txt'yi başlat: calc.exe

Alternatif veri akışlarının Microsoft araçlarında görünmediğini fark etmiş olabilirsiniz. Windows Gezgini'ni açın ve file.txt dosyasına bakın. Aslında, dosyanın boyutu 112 KB olarak ayarlanmıştır (alanın büyük bir kısmı calc.exe dosyası tarafından kaplanmıştır) - aksi takdirde program, dosya boyutunu 0 KB olarak gösterecektir: $DATA verilerinin dosya boyutu hakkında hiçbir bilgisi yoktur. dosya ekleniyor ve Windows Gezgini programı alternatif bir veri akışı için bu formatı okuyamıyor.

Özellikle NTFS kaynaklarına erişim izinlerine gereken saygının gösterilmediği ve Windows sunucularına erişimin sıkı bir şekilde kontrol edilmediği alanlarda alternatif veri akışlarıyla ilgili tehditlerin olduğu anlaşılmaktadır. Bilgisayar korsanlarının alternatif veri akışlarına hızlı bir şekilde erişmeye çalışmasını önlemek için tasarlanmış basit bir güvenlik mekanizması vardır: NTFS erişim kontrol sistemi. Saldırganların bir dosyaya veri yazma izni olmadığı için alternatif veri akışları oluşturup bunları dosyaya getiremeyeceklerdir.

Ortaya çıkan değişiklikler

Bilgisayar korsanlarının izinleri atlamayı başardığını fark ederseniz, alternatif veri akışlarını belirlemek için geliştirilen araçlardan birini hızlı bir şekilde kullanmalısınız. Tripwire Enterprise ve Tripwire for Servers gibi sistemin bütünlüğünü doğrulamaya yönelik programlar, veri akışındaki eklemeler veya değişiklikler de dahil olmak üzere Windows sisteminde küçük olan NTFS dosya sistemindeki tüm değişiklikleri algılayabilir.

Sysinternal, her yerde kolayca görüntülenebilen bir komut satırı yardımcı programı olan Streams programını tanıttı; bu, dosyalara eklenen alternatif veri akışlarının adları anlamına gelir. Şekil 1, daha önce file.txt dosyasına eklenmiş olan calc.exe veri akışının adını aramak için Streams yardımcı programının nasıl kullanılacağını göstermektedir. Bu yardımcı program http://www.sysinternals.com/utilities/streams.html adresinde bulunabilir.

Alternatif bir veri akışını tanımlamanın bir başka basit yolu, şüpheli dosyayı NTFS dosya sistemine sahip bir depolama aygıtına (örneğin, bir FAT depolama aygıtına) kopyalamak için Windows Gezgini'ni kullanmaktır. Diğer dosya sistemleri alternatif veri akışlarıyla çalışma yeteneğiyle donatılmamıştır. Bu nedenle, başka bir dosya sistemine uyum sağlamak için içerdiği alternatif veri akışlarıyla bir NTFS dosyasını kopyalamaya çalışırsanız, NTFS ilerleme türü Ekran 2'de gösterilene benzer. Bu dosyayı Komut satırı pencerelerinden kopyalarsanız dikkatli olun. ek Kopyala komutunu kullanarak Windows bunu bir NTFS dosya sistemine kopyalayacak ve hemen veri akışını görecektir.

Yardımcı ABE için Prikhovuvannya spolno vykoristovannyh kaynakları

ABE, Microsoft'un ilk olarak Windows Server 2003 SP1'de uyguladığı ek bir dosya depolama düzeyi işlevidir. Kullanılabilecek verilerin depolandığı dosya sisteminden bağımsız olarak herhangi bir Windows sisteminde kullanabilirsiniz. ABE, yöneticilerin, NTFS'de erişim iznine sahip olmayanlar da dahil olmak üzere, gizlice erişilebilen kaynaklarda depolanan klasörlere ve dosyalara el koymasına olanak tanır. Yani klasörler düzeyinde güvenlikten bahsediyoruz.

ABE'nin ayarlanmadığı durumlarda, portal dizinine bağlanan kullanıcılar, okuma iznine sahip olmayanlar ve bunlar için herhangi bir engellemeye erişimi olanlar da dahil olmak üzere, portal kaynağında bulunan tüm dosya ve klasörleri indirebilir. Kullanıcı, erişime izin verilmeyen bir dosya veya klasörü açmaya çalışırsa, sistem, erişim kısıtlamalarıyla ilgili açıklamaların yer aldığı, iptale ilişkin bir bildirim görüntüler. Avantajlarla ilgili bu bildirimler tüketicilerin pantelika ile kafasını karıştırabilir, bu nedenle ABE özelliklerinin etkinleştirilmesi destek hizmetlerinin önemini değiştirmenize olanak tanır.

Ancak ABE kampanyasının kendi dezavantajları da var. İstemciye klasörde saklanabilecek nesnelerin bir listesini sunmadan önce, sunucunun bu nesneler için tüm erişim kontrol listelerini kontrol etmesi gerekir: ancak bundan sonra belirlenebilir ve verildiği gibi izi döndürebilir. Sonuç olarak, özellikle kaynaklar çok sayıda nesneyi barındırmak için kullanıldığında sistem üretkenliğinde önemli bir azalma olabilir.

Koshti ABE, örneğin koristuvach'ların ev kataloglarında gizlice erişilebilen kaynakları ayarlamak için tamamen vikorystuvat'tır. Her kullanıcının giriş dizini için özel olarak erişilebilen bir kaynak oluşturmak yerine, tüm kullanıcıların giriş dizinlerini kök giriş dizinine yerleştirecek tek bir kaynak oluşturabilirsiniz. Kullanıcılar bu kök dizine bağlanır ve tüm kullanıcıların ana dizinlerinin görünürlüğünü kontrol etmek için ABE'nin yanı sıra NTFS izinlerini de kullanabilirsiniz.

ABE fonksiyonunun etkinleştirilmesi

Bu işlev, gizlice erişilebilen SHI1005_FLAGS_ENFORCE_NAMESPACE_ ACCESS kaynağı için yeni bir atamaya sahiptir; Bu yazının yazıldığı sırada uygulamalar Windows 2003 SP1 ve Sürüm 2 (R2) paketleriyle sınırlıydı. Bu işaret, ABE işlevini klasörlerden biriyle sınırlayacağınız anlamına gelir.

Ensign'i yüklemek için Windows Gezgini klasörünün güç uzantısını kullanabilir veya abecmd.exe komut satırını kullanabilirsiniz. Microsoft, Windows Server 2003 SP1 platformu için bir eklenti modülü olan ABE yükleme paketinde ABE Explorer uzantısının tamamını ve abecmd.exe'yi sağlar. Kurulum paketi http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D 9-78D9-4342-A485-B030AC442084 adresindeki Microsoft web sitesinden indirilebilir. ABE parçaları sunucu tabanlıdır ve istemcide hangi Windows sürümünün yüklü olduğuna bakılmaksızın erişilebilir.

ABE özelliklerini sunucuya yükledikten sonra, bu sırayı bir veya başka bir klasör için yükleyebilirsiniz. Klasöre sağ tıklayın, Özellikler'i seçin, Erişim Tabanlı Numaralandırma sekmesine gidin ve Ekran 3'te gösterildiği gibi Bu paylaşılan klasörde erişim tabanlı numaralandırmayı etkinleştir seçeneğini ayarlayın. ABE işlevini gizlice erişilebilen tüm sistem kaynaklarına ayarlamak için, bunu, ensign klasörünün bu bilgisayardaki tüm mevcut paylaşılan klasörlere ayarıdır.

Başka bir yol da abecmd.exe komut satırını kullanmaktır. ABE işlevini gizlice erişilebilen paylaşılan belgeler kaynağına bağlamak için şu komutu girin:

abecmd /paylaşılan belgeleri etkinleştir

ABE işlevini mevcut tüm kaynaklarda etkinleştirmek için /all parametresini seçebilir ve ABE - /disable parametresini devre dışı bırakabilirsiniz.

Giriş kontrolu

ABE, yeni kullanıcılara yalnızca çalışmaları için ihtiyaç duydukları dosyalara erişim sağlamanıza olanak tanıyan basit bir araçtır. Müşteriler, ilgisiz klasörler arasında gezinmeye gerek kalmadan ihtiyaç duydukları dosyaları kolayca bulabilirler ve izinsiz dosyaları açamayanlar için yemek destek hizmetiyle uğraşmalarına gerek kalmaz. onlardan.

Kendinizi alternatif veri akışlarından yararlanan bilgisayar korsanlarından korumak için yöneticiler, gizlice erişilebilen kaynaklara erişime sahip olduklarından emin olmalı ve alternatif veri akışlarının gelişini tespit etmek için tanımladığım yardımcı programlardan birini ve NTFS sistemi için Değil'i kullanmalıdır.

Jean De Clercq([e-posta korumalı]) - Hewlett-Packard şirketinin Güvenlik Ofisinin web sitesi. Microsoft ürünlerine ilişkin tanımlama ve güvenlik sorunlarıyla ilgilenmek. Windows Server 2003 Güvenlik Altyapıları (Digital Press) kitabının yazarı. Simgeleri ve diğer dosya bilgilerini kaydetmek için kaynak akışını sağlayan Macintosh HFS dosya sistemiyle uyumluluk sağlamak amacıyla NTFS'ye Alternatif Veri Akışı desteği (AltDS) eklendi. Vikoristannaya AltDS özel kullanıcılara ayrılmıştır ve özel yollarla kullanıma sunulmamaktadır. Explorer ve diğer programlar standart akışı kullanarak çalışır ancak alternatif akışlardan veri okuyamaz. AltDS'yi kullanarak standart sistem kontrolleriyle tespit edilebilecek verileri kolayca yakalayabilirsiniz. Bu makale AltDS'nin çalışması ve amacı hakkında temel bilgiler sağlayacaktır.

AltDS Oluşturma

AltDS oluşturmak çok kolaydır. Ekip kimin için hızlanıyor? Yeni başlayanlar için akışlarımızı eklemeden önce temel dosyayı oluşturalım.

C:\>echo Sadece bir plan metin dosyası>sample.txt

C:\>örnek.txt yazın
Sadece bir plan metin dosyası

Daha sonra, AltDS'yi kullanacakları belirtmek için operatör olarak hızlı bir şekilde çift tıklayalım:

C:\\>echo Beni göremiyorsun>sample.txt:secret.txt

Bunu görmek için bunun yerine aşağıdaki komutları kullanabilirsiniz:

C:\devamı< sample.txt:secret.txt

ya da başka

C:\not defteri örneği.txt:gizli.txt

Her şey yolunda giderse metni ekleyin: Beni göremezsiniz, ancak Veri Gezgini'nden açtığınızda metin görünmeyecek. Ayrıca AltDS yalnızca bir dosyaya değil, bir klasöre de eklenebilir. Veya metin:

C:\>md öğeleri
C:\>cd öğeleri
C:\stuff>echo Öğelerdeki öğeleri gizle>:hide.txt
C:\stuff>dir
C sürücüsündeki birimin etiketi yoktur.
Cilt Seri Numarası: 40CC-B506C:\stuff Dizini
28.09.2004 10:19 .
28.09.2004 10:19…
0 Dosya(lar) 0 bayt2 Dizin(ler) 12,253,208,576 bayt ücretsiz
C:\stuff>not defteri:hide.txt

Artık Not Defteri'ni kullanarak AltDS eklerini nasıl görüntüleyip düzenleyeceğinizi ve bunları dosya ve klasörlere nasıl ekleyeceğinizi biliyorsunuz.

Programın başlatılması ve başlatılması

Programları, araçları ve AltDS'yi içe aktarmak test dosyaları kadar kolaydır. Yeni başlayanlar için temel bir dosya oluşturacağım:

Programımızı akışa koyalım, örneğin ben notepad.exe kullanacağım:

C:\WINDOWS>notepad.exe yazın>test.txt:note.exe

Şimdi dosyamızdaki metne bakalım:

C:\WINDOWS>test.txt yazın
Ölçek

Şimdi bağışımızı başlatalım:

C:\WINDOWS>başlat .\test.txt:note.exe
C:\PENCERELER>

Bu makale, alınan makalenin tam bir çevirisi olmadığı için basit bir konu olarak çerçevelenmiştir. Belirtilen talimatlarda ek yöntemler bulunabilir.

Güncelleme:

AltDS'den yardımcı programlar (istatistiklerle yapılacakların listesi):

LADS - Alternatif Veri Akışlarını Listeleme Yazan: Frank Heyne
www.heysoft.de/Frames/f_sw_la_en.htm

SysInternals'tan Streams.exe.

Merak ediyorsun NTFS akışları? Hatta dosya sisteminin pratik anlamda bilinebilecek işlevselliği bile çok önemlidir. Bugün nasıl katılabileceğinizi konuşacağız.

Biraz teori için.
Alternatif veri akışları için destek eklendi NTFS Dosyayla ilgili simgeleri ve diğer bilgileri kaydetmek için kaynak akışından yararlanan HFS Macintosh dosya sistemiyle kullanım için. Koku mevcut NTFS hala önceki versiyonlardan Windows NT. Teknolojinin özü, dosyanın NTFS Verileri depolamak için çok sayıda iş parçacığı olabilir. Kaşif ve en popüler dosya yöneticileri, iş olmadan birbirine bağlanır kafa akışı(adı olmayan) bu dosyanın yerine ana dosyadır. Akışlar, dosya meta verilerini kaydetmek için kötüye kullanılabilir; bu şekilde kötüye kullanıldılar. Windows 2000, bildiğim kadarıyla.

İÇİNDE Windows 7 alternatif NTFS akışları Dosyanın içindekiler normal yöntemlerle yapılamaz. Ve elbette: Örneğin kurnaz virüsler bile akışlarına tamamen masum herhangi bir dosyayı yazabilir. Birim verileri içeren akışların bulunduğu dosyaya baktığınızda, dosyayı düşünmeye gerek kalmadan yerin önemli ölçüde değiştiğini görebilirsiniz. Kaşif.
Mevcut akışları görüntülemek için Mark Russinovich tarafından oluşturulan bir konsol yardımcı programını kullanacağız.

Alternatif bir NTFS akışı nasıl oluşturulur

Çeşitli konsol komutları oluşturmanıza ve değiştirmenize olanak tanır akış NTFSörneğin takım Eko Bir metin dosyasına alternatif bir akış oluşturabilirsiniz. Nasıl çalıştığını netleştirmek için popoya bir göz atalım. Komut satırını girin:
echo Merhaba Mutlu Buldozer > merhaba.txt
echo Merhaba Dünya > merhaba.txt:test

Şimdi hello.txt dosyasını Not Defteri'nde açın:

Metin Selam Dünya"perde arkasında" kayboldular, onlarla sürekli iletişim halindeydiler Ölçek. Dosya adında neyin açılacağını ve akışın adını belirtirseniz akış dosyayı açamayacaktır: çift kutu, dosya adı için kabul edilemez bir karakterdir. Ancak, hangisi sadıksa, komut satırını hızlı bir şekilde takip edebilir ve aşağıdaki komuta izin verebilirsiniz:
Daha< hello.txt:test

Pereglyad NTFS akışları Yukarıda yazdığım gibistreams.exe yardımcı programını kullanarak giriş yapabilirsiniz.
Streams.exe merhaba.txt


Burada her şeyin daha net hale gelmesine saygı duyuyorum.

Alternatif akışlar NTFS ve Not Defteri

Eklenen programlar fazla çaba harcamadan açılacak ve akış yerine görüntülenecektir:

Standart Not Defteri, akış adına txt uzantısını atar. Bunu vikorize etmek istiyorsanız akışları şu şekilde çağırmalısınız:
echo Merhaba Dünya > merhaba.txt:test.txt
Todi vikonana cmd.exe komutuyla olumlu sonuç veriyor:
not defteri merhaba.txt:test.txt

Alternatif NTFS akışları ve farklı türlerdeki dosyalar

Alternatif NTFS akışlarının kapsamının metin dosyalarının ötesine geçmediğini düşünüyor olabilirsiniz. Öyle değil. Mevcut uygulamada 7z arşivine ait verileri içeren hello.txt dosyasına bir akış ekledim:

Demek istediğim, akışlar yalnızca dosyalar için değil aynı zamanda klasörler ve sabit sürücü bölümleri için de oluşturulabilir.

Her şey sizin özel hayal gücünüz ve ihtiyaçlarınızla çevrilidir. Vikoryst'in teknik tanımlarına göre, örneğin hazırlıksız bir koristuvach'tan özel bilgiler kolaylıkla yakalanabilir. Zakhistu'nun herhangi bir çeşidi, istediğiniz gibi aptal gibidir.