Neredeyse görünmez

Blog okuyucusu Victor, PowerShell betiğini çalıştıramadı. Talimatlarımı dikkatlice okumak sorunu ortadan kaldırabilirdi ancak sorunun kökeni PowerShell'in katı güvenlik politikaları değildi.

Victor, size bahsettiğim Windows Update'i yönetmek için TechNet galerisinden arşivleri PSWindowsUpdate.zip komut dosyasıyla indirdi. Prote paket açma komut dosyası çalışıyor gibi görünüyor. Okuyuculara, talimatlarımın ilk maddesinin arşivlerin kilidini açma ihtiyacından bahsettiğini belirttiğimde her şey saat gibi işliyordu.

Victor, sistemin komut dosyasını neden engellediğini açıklamasını istedi ve arşivlerin başka bir bilgisayardan çalındığını biliyor.

Dürüst olmak gerekirse, bugünün konusu yeni değil ama birkaç nedenden dolayı bunu aklımda vurgulamaya karar verdim:

• Pek çok makale Windows XP veya Windows 7'den birkaç saat sonra yazılmıştır ve yeni Microsoft işletim sistemlerinin yeni özelliklerinden faydalanmamaktadır.
• Önümüzdeki saat için planlanan makalelerden birinde bu konu tartışılıyor ve alaka düzeyi ve doğruluğunu benim de onayladığım materyale başvurmak daha kolay olacaktır.
• Blogun geniş bir kitlesi var ve birçok okuyucu için bu konu hala yeni bir konu :)

Bugün programda

NTFS Veri Akışları

Windows, dosyanın dosyası hakkındaki bilgileri NTFS dosya sisteminin alternatif veri akışından (ADS) alır. Yetkililer mütevazı bir şekilde dosyaya bunun başka bir bilgisayardan olduğunu yazıyorlar, ancak daha sonra öğreneceğiniz gibi gerçekten biraz daha fazlasını biliyorlar.

NTFS'de bir dosya bir dizi öznitelikten oluşur. Dosya yerine – bu, $DATA adlarından gelen veri niteliğidir. Örneğin, "Merhaba Dünya!" satırını içeren bir metin dosyası. Veri özelliği “Merhaba Dünya!”

NTFS'de $DATA özelliği bir veri akışıdır ve ana veya isimsiz özellik olarak adlandırılır, yani adı yoktur. Resmi olarak şöyle görünüyor:

$VERİ:""

• $VERİ- Ben bağlanmak
• : – ayırıcı
• "" - Ben akış(bu durumda patilerin arasında hiçbir şey yoktur)

Alternatif veri akışlarının seçilmiş özellikleri

Başvurular bağlamında birkaç önemli noktayı vurgulamak istiyorum.

Görünmez değişiklikler

İlk komutla bir metin dosyası oluşturduktan sonra, onu bir metin düzenleyicide açabilir ve daha sonraki tüm manipülasyonların dosyayı etkilememesi için yeniden dönüştürebilirsiniz.

Dosya örneğin Notepad++ ile açıldığında çalışmayı durdurur. Bu düzenleyici dosyada değişiklik yapabilir. Dosyaya alternatif bir akış yazarsanız onu kaybetmezsiniz!

ADS incelemesinin CMD ile kaydedilmesi

ADS, komut satırından oluşturulabilir ve görüntülenebilir. Alınan metni MyStream2 adlı başka bir ADS'ye kaydetme ve ardından görüntüleme komutları aşağıda verilmiştir.

Yankı Gizli Metin > C:\temp\test.txt:MyStream2 daha fazla< C:\temp\test.txt:MyStream2

Metin editörlerinde ADS'yi yeniden ziyaret etmek

Aynı Notepad++, komut satırına akışın adını girerek ADS yerine size gösterecektir.

"C:\Program Files (x86)\Notepad++\notepad++.exe" C:\temp\test.txt:MyStream1

Sonuç:

Bir not defteri ile bu hile, akışın adıyla bittiği gibi yalnızca aynı şekilde ilerleyecektir. .txt. Aşağıdaki komutlar üçüncü ADS'yi ekler ve not defterinde açar.

Yankı Gizli Metin > C:\temp\test.txt:MyStream3.txt not defteri C:\temp\test.txt:MyStream3.txt

Sonuç:

İstenmeyen dosyaların engellenmesi

Beni okuyucuya taktıktan sonra yemeğe geri dönelim. Dosya engellenirse, ilk önce programlar altında, bazı durumlarda işletim sistemi ayarları altında depolanır. Dolayısıyla tüm modern tarayıcılar engellemeyi destekler ve bu, Windows'tan önce gelir.

Arşivlerin engellenmesi durumunda, paketlenmemiş tüm dosyaların en sonunda engelleneceğini lütfen unutmayın. ADS'nin yalnızca NTFS'nin bir işlevi olduğunu unutmayın. Bir arşivi FAT32'ye kaydederken veya paketini açarken, sabit disk engellemesi olmaz.

Kilitli dosyanın içeriği hakkındaki bilgilerin gözden geçirilmesi

PowerShell'de indirilen dosyayı içeren klasöre gidin ve tüm akışlarla ilgili bilgileri görüntüleyin.

Get-Item .\PSWindowsUpdate.zip -Stream * Dosya Adı: C:\Users\Vadim\Downloads\PSWindowsUpdate.zip Akış Uzunluğu ------ ------ :$DATA 45730 Zone.Identifier 26

Bildiğiniz gibi $Data bir dosya değil ancak listede ADS de yer alıyor Bölge Tanımlayıcı. Bu bilgi, dosyanın her bölgeden kaldırıldığı kişilerle ilgilidir. Resimlerin arkasındaki yıldızları biliyor musunuz?

Bölgeyi tanımak için ADS'yi okumanız gerekir.

Get-Content .\PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId=3

Açıkçası, odak noktası paketin engelini kaldırmaktır (örneğin, arşivleri zaten açtıysanız). Aşağıdaki komut, İndirilenler klasöründeki, adda saklanabilecek tüm dosyaların engellemesini kaldırır. PS:

Dizin C:\İndirilenler\*PS* | Dosya Engellemesini Kaldır

Elbette içerik menüsüne entegre edilebilecek grafik arayüze sahip bazı yardımcı programlar da olacak. Bana göre PowerShell veya akışların en uç noktasında olmak tamamen yeterli.

Dosya engelleme nasıl önlenir

Engelleme, grup ilkesi kapsamındadır. Eklerin bulunduğu alanla ilgili bilgileri kaydetmeyin. Ad, engellemenin standart Windows davranışı olduğunu ve politikanın bunu değiştirmenize izin verdiğini belirtir.

Ancak adından da anlaşılacağı üzere politikanın yalnızca posta yoluyla yatırmayı değil, aynı zamanda İnternet'ten dosya almayı da kapsadığı açık değildir. KB883260'daki mevduat yöneticisi hakkındaki raporu okuyun.

Evde grup ilkesi düzenleyicisi yok, ancak kayıt defteri kaydedilmiyor: SaveZoneInformation.zip.

ADS'nin pratik kullanımına yönelik diğer uygulamalar

ADS depolama alanı, indirilen dosyanın eklenen bölgesiyle sınırlı değildir, bu nedenle ADS'de yalnızca metnin kaydedilmesi gerekir. Herhangi bir program herhangi bir veriyi kaydetmek için bu NTFS işlevini kullanabilirse, farklı alanlardan birkaç örnek vereceğim.

Dosya sınıflandırma altyapısı

yazar hakkında

Harika malzeme dostum. PowerShell hakkında pek bilmediğim yeni bir şey öğrenelim :)

Bu aileyle kullanım için çoğunlukla vikorist WhatsApp - şu ana kadar bu hizmetle ilgili daha az sorun yaşandı, ancak babalar buna alışmış gibi görünüyor. Kişiler de ağırlıklı olarak aileye yönelik, ben orada ağırlıklı olarak yayınlanan albümler, fotoğraf ve videolarla ilgili bilgi alışverişinde bulunmak istiyorum. Arkadaşlarım ve akrabalarım Viber'e sadık kalıyor - Benim bununla bir sorunum yok, sadece onlar için deniyorum, onları WhatsApp'tan almaya çalışarak zamanınızı boşa harcamayın.

Robotlar için Slack en önemlisi, en yaygın olarak WhatsApp ve hatta SMS'dir. Dış dünyayla işbirliği için VKontakte.

Skype vikorystvoy yalnızca görüntülü görüşmeler için, aileyle tekrar bir araya gelelim. Memnuniyetten, sanki orada görüntülü görüşmeler varmış gibi WhatsApp ile değiştirdim.

urix

Viber'in artık masaüstü sürümü için video görüşmeleri ve video görüşmeleri var. O zaman belki de Viber bir sonraki Skype olacak...

Andriy Kuznetsov

Malzeme sağlam, kalın. Akışların kökenlerini biliyordum ancak PowerShell aracılığıyla onlarla çalışmanın bu kadar kolay olduğunu bilmiyordum.
IM hakkında şikayet ettiklerim: Skype'tan önce, Windows Phone'un bir saat süren başlatılmasıyla ilgili endişelerim var. İPad ve Windows'ta böyle bir sorun yok. Vikoristannya sesli bağlantısı, herhangi bir nedenle GSM'i vikoristovvat etmek kolay değilse.
Ve Whatsapp'tan dinliyorum. Verilerinizin telefonunuzdaki görünürlüğü, gizlilik açısından çok daha fazladır.

• Andriy Kuznetsov: Ve Whatsapp'ta gezinirken Bu kişinin telefondaki görünürlüğü daha fazladır, ayrıca gizlilik açısından da.

  Andriy, bunun neden bir artı olduğunu açıkla

Pavlovsky Roma

1. En sık kullanıyorum: Skype ve Hangouts - bir PC üzerinde çalışarak, herhangi bir cihazdan "VKontakte"ye göz atmayı seçerek, çünkü iş nedeniyle müşterilerin Skype'ta ve arkadaşların ve tanıdıkların Sosyal Medyada oturması gerekir.

2. İdeal olarak kullanmak istediğiniz şey: Jabber - herhangi bir cihazdan gezinmek ve gezinmek için. Bana gelince, istemci herhangi bir cihaza kurulabilir ve bir istemci bulmaya gerek kalmadan, Jabber sunucunuzu çalıştırabileceğiniz ve tüm taramayı sunucuya kaydedebileceğiniz zayıf bir İnternet bağlantısıyla + yazışabilir, bunun hakkında daha sonra konuşabiliriz istemci geçmişi kaydedemiyorsa göz atma ihtiyacını öğrenin ve Jabber aracılığıyla arama yapmak için eklentiler bulunabilir (örneğin, aynı SIP Asterisk 1.8+ aracılığıyla)

Andriy Bayatakov

Aramalar (sesli/görüntülü/uluslararası aramalar) Skype için çoğunlukla WhatsApp'ı (çoğunlukla robot aracılığıyla) kullanıyorum. Skype'ı masaüstünde kullanmak istiyorum (bir transformatörüm var ve onu evde tablet gibi kullanıyorum)... Viber – kök salmadı. WhatsApp aracılığıyla aramak için annenizin sinirlerini bozması yeterli. Casusunuza söyleyin ve hissettiğinizde bir veya iki espri yapıp yapmadığını kontrol edin (50Mbit bağlantı).
Tamamen Skype'a geçmek mümkün olacaktır. Windows 10 Mobile'da, yakın zamanda yapılan bir güncellemeden sonra Skype'tan bildirimleri doğrudan yerleşik bildirim programından (SMS gibi) alabilirsiniz, bu çok daha kolaydır.

Maksimum

1. Kalp sızlatıcı, huysuz ICQ (geri giden akrabalar için) ve Slack (daha acil olanlar için).
2. Roman Pavlovsky'nin üstün olmasıyla aynı nedenlerle Jabber'ı kullanmak istiyorum.

Volodimir Kiryushin

Merhaba Vadim!
Bu makaleden önce, chkdsk komutunu kullanarak tüm sistem diskini kontrol etme prosedürünün nasıl okunacağıyla ilgili makalenizi okuduktan sonra. Harika makale! Bugün chkdsk komutu ile sistem diskini kontrol ettikten sonra text dosyasını çıkarttım. Bu makale aynı zamanda PowerShell programı hakkında da çok şey açıklıyor. Bir emekli olarak kendimi bilinçsiz hissediyorum ama paniğe kapılmamaya ve sonuna kadar özenle okumaya çalışıyorum. Vizenizi bizimle tamamladığınız için çok teşekkür ederiz! Senin için her şeyin en iyisini dilerim!

Lecron

Bu akışı hangi tarayıcılar ve indirme programları oluşturuyor?

Akışları bizzat koristuvach tarafından azaltmak için seçenekler nelerdir? Ben, Zokrema, Koristuvach senaristi mi? Onları uzun zamandır bilmeme rağmen hiçbir zaman galip gelemedim. Bir bilgisayarla gerçek çalışmada, onlar hakkında hiçbir şey bilmiyorsunuz ve bu sayede, bir el aleti yerine belki de polis ve bu robot olmadan, hafızadan hiçbir şey bulamazsınız.
Sadece bir seçenek hakkında düşünelim. Dosya adına daha fazla metin yazmak mümkün veya gerekli olmadığından dosyaya yapılan bir yorum. Daha önce descript.ion veya files.bbs'de yazdığınız dosya yöneticisi tarafından desteğe ihtiyacınız varsa.

Hız Gurusu

USN dergisi için bir Smith teknolojisi daha. ZoneIdentifier'a veya bir dosya veya klasöre eklenmiş bir virüse ne kadar maruz kalacaksınız? Tabii ki hayır. Üstelik sistem, normal muhabirlerin ihtiyaç duymadığı ilgi çekici, günlük "pod dosyaları" ile donatılmış değildir. Dış görünüm uygulaması, MFT kataloğunda ve işlemci döngülerini, RAM'i ve en önemlisi sabit sürücü uygulamasını boşa harcayan alternatif akışların bakımını ve değiştirilmesini destekleyen diğer işlemlerde okunur.
Bana sistemin bu teknolojiye gerçekten ihtiyaç duyduğunu söyleyebilirsiniz. Ne yazık ki sistem akış olmasa bile mucizevi bir şekilde çalışacaktı. Ale koristuvacha kimseyi beslemiyor - buğuladılar (bir USN dergisi gibi) ve bu akışları tamamen açma yeteneği verilmedi. Paslı kokulara hiç ihtiyacım olmasa da, sanırım senin de öyle.
Alabileceğimiz her şey “streams -s -d %systemdrive%”. Bu, sistem bölümündeki akışları görüntülemenize izin vermez.

Alexiz Kadev

NTFS'nin ilk sürümünden hatırladığım kadarıyla, adlandırılmış akışlar şifreli bir şeydir. Adlandırılmış akışlarda, örneğin belge sürümlerini manuel olarak kaydetmek mümkündür, böylece bir dizi eklemeden ve çalışmadan pişman olmam. Aksi takdirde, kopyaların başka bir dosya sistemine kaydedilmesi kaybolur; adlandırılmış akışlar kolaylıkla kesilir.

Skoda oylama odasında birkaç haberciyi göremedi: Telefonumu kullanıyorum, bazı kişilerim bazı şarkılara öncelik veriyor. Bu yüzden WhatsUp, ICQ (elbette normal bir müşteri olmasa da), Skype, Skypefor Business (sessiz bir tane, Lync olarak adlandırılmasına rağmen istemci değil, ki bu daha kötü) ve Viber (burada daha fazla spam yapıyorum) kullanıyorum diğerlerinde çoğu zaman).Annem her 5'te bir).
Ve ideal olarak, satın alma işleminin tamamında kimin konuştuğunu/yazdığını her seferinde bilmek için eklentileri olan Mirandi gibi bir kişiyi seçmek kesinlikle gerçekçi değildir. Bir takım yapımcıların protokollerini kapatıp onları dikenli bir pislik gibi korumaları üzücü.

Vladimir Kokarev

VŞ

Vadim Sterkin: Roman, Jabber'i Virishiv'in eğitimine dahil etmedim çünkü bundan çok az kişi yararlanıyor ve hiçbir ihtimal yok.

Durham
Örneğin, çeşitli alanlarda ofis iletişim cihazı olarak OpenFire'ı (ücretsiz xmpp) kullanıyorum.

Bu nedenle, asıl olanı XMPP'dir (Pidgin.exe, Spark.exe), ancak bunların% 99,8'i dahili etki alanıdır.
Skype – harici sohbet için
WhatsApp ve Viber - "kurban bağlantıları" için, kalan n ay SPAM'dan arınmış olacak, neden göremeyeceğimi merak ediyorum?

Artem

Hala Viber'e takılıp kaldım. Ve bağlayıcının viskozitesi tamamen neme dayanıklıdır. Ve böylece telgraf bi. Orası boş.

pus

1. Skype (PC'de) ve Viber (Mobilde). Sebepler çoğunlukla çoğuyla aynıdır - bariz temasların sayısı ve doğal olarak gereksiz temaslar, başka bir elçiye geçiş.
2.uTox. Minyatür, süslü bir şey değil, Win, Linux, Mac ve Android için istemci. Hırsızlık olarak konumlandırıldı.
Not: Şimdi bağlantılarımı yeni bir seviyede yeniden sıkılaştırmaya başlayacağım :-)

Evgen Karelov

Çalışman için teşekkürler!

Başlamadan önce, ICQ kişilerini, VKontakte'yi ve diğerlerini bağlamadan önce PC'nizde QIP 2012 web sitesine göz atın. Aynı protokolleri birleştirmek için tek bir program kullanmak özellikle zordur. Sosyal medya sayfalarına tek bir yerden bakma yeteneği daha da sessizdir. İdeal durumda, sesli bağlantı için kullandığım Skype artık desteklenmeyecek, aksi takdirde tabii ki görünmeyecek.
Bu program "sıkışmış" görünse de, uzun süredir güncelleme yapılmadığı için işlevin işlevselliği mucizevi bir şekilde azaldı.

soyguncu

Veri akışları ve IM ile eğitim hakkındaki gönderileriyle Tsikava mishanina.

Eğitim için: WhatsApp olmasına rağmen hala listede yer almayan Jabber/Jabber, XMPP'yi temel alıyor ve başarıya gidecek bir tekleme var.

Jabber tüm sorunları protokole açıklık, istemcilerin anonim platformlarda görünürlüğü ve bağımsız olarak yükseltilebilen sunucuların görünürlüğü yoluyla çözer. Ale kaktüsleri geleneksel olarak çiğniyor, işte böyle.

• Listede istemciler var ancak protokoller yok.
  ICQ... yani, oraya ifadeler koymadım çünkü çok açık olabilir.
  Jabber'ın kesinlikle bir sorunu yok; orada kimse yok.

  • soyguncu

    Vadim Sterkin: Listede protokoller değil istemciler var

    Protokolü ve resmi istemcinin çıktı kodlarını kapatarak, tek bir istemci ile protokol arasında doğal bir benzerlik kurulur.

    Vadim Sterkin: ICQ... yani, oraya surat ifadesi koymadım çünkü çok açık olabilir.

    Çürümüş küçük şey, yaban arısının doğal bir ölümle ölmesi için yeterli değil - pis kokulu ek zusillalar, onun yakında büküleceğini bildiriyor.

    Vadim Sterkin: Jabber'ın kesinlikle tek bir sorunu yok - orada kimse yok

    Telegram için protestoyu kendiniz yazdınız

    harika görünüyor ama boş (ne düzeltilebilir)

    Jabber'ın günümüzün e-posta ekosistemiyle aynı olma şansı yüksektir (protokole daha fazla açıklık, kendi sunucularınızı barındırma yeteneği ve sunucular arasında güvenli iletişim vb.), ancak şirketlerin buna ihtiyacı yok. Google'dan alın veya whatsapp'ı kullanın.

    • Telegram için bunu düzeltebilirsiniz, Jabber için ise durum daha da az karmaşıktır. İlki listede ama diğeri yok.

      • soyguncu

        Tabii ki, Telegram şık, modaya uygun, genç ve Jabber, Pasha Durov'un imajında ​​\u200b\u200bhavalı bir şey değil ve çökmüyor. Buradaki beklentiler neler?

        Hm... "Bütün dünya bedava PZ'ye karşı" teorisiyle tankınızdan uzaklaşmanıza izin vermeyin. Bıyık çok daha basit

        

        Şaşırtıcı olmayan bir şekilde bu, en gelişmiş mobil platformda resmi olarak önerilen Jabber istemcisiyle etkileşimin ilk kanıtı gibi görünüyor.

        soyguncu

      • Dil hakkındaki yorumumu zerre kadar anlamıyorum.

        Yani :) Müşteriniz ilk ekrandan mevcut gerçekliğe bağlı olmadığı için Jabber'ın başarısızlıklarını modası geçmişliğe ve eskiliğe bağlama eğilimindesiniz.

        Ekran görüntüsünde ne görebilirim?

        Teklif telefon numarasını girin ~~~O~

      soyguncu

      soyguncu: Gevezelikteki başarısızlıkları demodeliğe ve yaşlılığa bağlama eğilimindesiniz

      İşte böyle.

      soyguncu: Müşterilerinizin ilk ekrandan mevcut gerçekliğe bağlı olmadığı o saatte.

      Tobto. telefon numaranızı herkesle paylaşmak gibi son modaya. Çünkü buna neden girmem gerektiğini anlamıyorum, çünkü sistemin işleyişi için buna gerek yok, çünkü benim için o kadar harika ki burada hiçbir şey istememeliyim.

      Kilka Kontaktiv tarafından davet edilmeyen Osіchika'ya güç verdim, oraya ittim, sebebin nedeni - Maurushechka üniformanın nihai gücünde, numarayı telefonla bölgeciye yaslıyordum, koordinatların saatini üst üste koymuştum.

      Peki anlamıyor musunuz, resimli bir açıklamadan sonra... Bu bir moda değil, anlık mesajlaşma programlarının hedef kitlesinin temelini oluşturacak ve mobil cihazlardan kaydı mümkün olduğunca basitleştirmenin tek yoludur. büyümenin tek yolu.

      soyguncu

      Ekran görüntüsünde adınız, şifreniz ve isteğe bağlı takma adınızla birlikte yazılacaktır. Nerede daha güçlü hissedilmeli? Yoksa ıslahevlerinin hedef kitlesini büyütmek için rezervleri artık tükenmiyor mu ve tek bir "ödeme al" düğmesine mi ihtiyaçları var?
      Burada telefon numarasını unuttuk ve telefon numarasını çalışmak için kullanma konusunda messenger'ın sorumluluğu nedir?

Merak ediyorsun NTFS akışları? Hatta dosya sisteminin pratik anlamda bilinebilecek işlevselliği bile çok önemlidir. Bugün nasıl katılabileceğinizi konuşacağız.

Biraz teori için.
Alternatif veri akışları için destek eklendi NTFS Dosyayla ilgili simgeleri ve diğer bilgileri kaydetmek için kaynak akışından yararlanan HFS Macintosh dosya sistemiyle kullanım için. Koku mevcut NTFS hala önceki versiyonlardan Windows NT. Teknolojinin özü, dosyanın NTFS Verileri depolamak için çok sayıda iş parçacığı olabilir. Kaşif ve en popüler dosya yöneticileri, iş olmadan birbirine bağlanır kafa akışı(adı olmayan) bu dosyanın yerine ana dosyadır. Akışlar, dosya meta verilerini kaydetmek için kötüye kullanılabilir; bu şekilde kötüye kullanıldılar. Windows 2000, bildiğim kadarıyla.

İÇİNDE Windows 7 alternatif NTFS akışları Dosyanın içindekiler normal yöntemlerle yapılamaz. Ve elbette: Örneğin kurnaz virüsler bile akışlarına tamamen masum herhangi bir dosyayı yazabilir. Birim verileri içeren akışların bulunduğu dosyaya baktığınızda, dosyayı düşünmeye gerek kalmadan yerin önemli ölçüde değiştiğini görebilirsiniz. Kaşif.
Mevcut akışları görüntülemek için Mark Russinovich tarafından oluşturulan bir konsol yardımcı programını kullanacağız.

Alternatif bir NTFS akışı nasıl oluşturulur

Çeşitli konsol komutları oluşturmanıza ve değiştirmenize olanak tanır akış NTFSörneğin takım Eko Bir metin dosyasına alternatif bir akış oluşturabilirsiniz. Nasıl çalıştığını netleştirmek için popoya bir göz atalım. Komut satırını girin:
echo Merhaba Mutlu Buldozer > merhaba.txt
echo Merhaba Dünya > merhaba.txt:test

Şimdi hello.txt dosyasını Not Defteri'nde açın:

Metin Selam Dünya"perde arkasında" kayboldular, onlarla sürekli iletişim halindeydiler Ölçek. Dosya adına dosya adını ve akış adını girerseniz, dosyayı akışta açamazsınız: çift, dosya adı için kabul edilemez bir karakterdir. Ancak, hangisi sadıksa, komut satırını hızlı bir şekilde takip edebilir ve aşağıdaki komuta izin verebilirsiniz:
Daha< hello.txt:test

Pereglyad NTFS akışları Yukarıda yazdığım gibistreams.exe yardımcı programını kullanarak giriş yapabilirsiniz.
Streams.exe merhaba.txt


Burada her şeyin daha net hale gelmesine saygı duyuyorum.

Alternatif akışlar NTFS ve Not Defteri

Eklenen programlar fazla çaba harcamadan açılacak ve akış yerine görüntülenecektir:

Standart Not Defteri, akış adına txt uzantısını atar. Bunu vikorize etmek istiyorsanız akışları şu şekilde çağırmalısınız:
echo Merhaba Dünya > merhaba.txt:test.txt
Todi vikonana cmd.exe komutuyla olumlu sonuç veriyor:
not defteri merhaba.txt:test.txt

Alternatif NTFS akışları ve farklı türlerdeki dosyalar

Alternatif NTFS akışlarının kapsamının metin dosyalarının ötesine geçmediğini düşünüyor olabilirsiniz. Öyle değil. Mevcut uygulamada 7z arşivine ait verileri içeren hello.txt dosyasına bir akış ekledim:

Demek istediğim, akışlar yalnızca dosyalar için değil aynı zamanda klasörler ve sabit sürücü bölümleri için de oluşturulabilir.

Her şey sizin özel hayal gücünüz ve ihtiyaçlarınızla çevrilidir. Vikoryst'in teknik tanımlarına göre, örneğin hazırlıksız bir koristuvach'tan özel bilgiler kolaylıkla yakalanabilir. Zakhistu'nun herhangi bir çeşidi, istediğiniz gibi aptal gibidir.

NTFS için alternatif veri akışları

NTFS dosya sistemi, alternatif veri akışlarının (ADS) kullanılabilirliği de dahil olmak üzere bir dizi özelliğe sahiptir. Önemli olan, NTFS'deki bir dosyanın, verilerin depolandığı bir dizi akış olmasıdır. Tüm veri akışları ana akışta bulunabilir ve gerekirse dosyaya ek alternatif veri akışları da eklenebilir.

Not. Alternatif veri akışları uzun zaman önce NTFS'de, hatta Windows NT'de bile ortaya çıktı. Yaratımlar, MacOS'ta kullanılan HFS dosya sistemi ile çılgınlık için yapıldı. HFS, dosya verilerini özel bir kaynak havuzuna kaydetti.

NTFS dosyaları özniteliklere bölünmüştür; bunlardan biri $DATA ve veri özniteliğidir. Akışların $DATA niteliğine ek yetkileri vardır. Yıkamanın arkasında bir ana iplik var $VERİ:″″. Gördüğünüz gibi isim yok o yüzden çalacak isimsiz. Ayrıca örneğin ek adlandırılmış akışlar da oluşturabilirsiniz. $DATA:″Akış1″. NTFS'deki her dosya, birbiriyle ilişkili olmayan farklılıkları barındırmak için bir dizi veri akışına sahip olabilir.

Dosyaya kaydedilen tüm veriler ana veri akışında kaybolur. Bir dosyayı açtığımızda, ana akışın kendisi, istemciden alternatif akışlar alınır ve başka hiçbir nedenden dolayı görüntülenmez. Bunlara standart yöntemler kullanılarak erişilemez, ancak bazı programların içlerinde depolanan verileri okumasını istersiniz. İş parçacığı olan robotlar için komut satırını da kullanabilirsiniz.

Örneğin, konsolu açın ve Streams.txt metin dosyasını oluşturmak için ek echo komutunu kullanın ve içine aşağıdaki metni yazın:

echo Bu ana akıştır>streams.txt

Ve bir sonraki komutla metni alternatif akış akışı1'e kadar yazacağız:

echo Bu alternatif akış>streams.txt:stream1

Streams.txt dosyasını şimdi herhangi bir metin düzenleyicide açarsanız, büyük olasılıkla ilk girişi kaldıracağız ve "Bu bir alternatif akıştır" metninin eklenmesini önleyeceğiz. Stream1'de yer alan bilgileri okuyabilirsiniz:

Daha

Alternatif akışlar yalnızca tek dosyalara değil aynı zamanda dizinlere de eklenebilir. Örneğin, Akışlar akış dizinine "Akışlarda akışı gizle" metnini yerleştirmek için alternatif bir akış akışı2 ekleyin:

echo Akışlarda akışı gizle>:stream2

Stream Stream2'yi aşağıdaki komutla görüntülüyorum:

Daha<:stream2

Alternatif akışlar yerine konsolu açabilirsiniz. Örneğin, dosya adında alternatif bir akışın adını çift kutu aracılığıyla girerseniz, Not Defteri veri akışlarını almak üzere de açılabilir. Akışın adını hafifçe akış1.txt olarak değiştirerek ön kısmı tekrarlayın:

echo Bu alternatif akış>streams.txt:stream1.txt

Not defterinde şu komutla alternatif bir akış açıyorum:

not defteri akışları.txt:stream1.txt

Not. Standart Not Defteri, akış adından txt uzantısını çıkarır, aksi takdirde onu açamazsınız. Daha gelişmiş düzenleyiciler, örneğin aynı Notepad++, adından bağımsız olarak alternatif bir akış yerine görüntüleyebilir.

Dosyaya alternatif akışların varlığı Explorer'da veya diğer dosya yöneticilerinde görüntülenmez. Bunları bilmenin en basit yolu şu komutu kullanmaktır: yön/R(Windows Vista'dan başlayarak), alternatif olanlar da dahil olmak üzere tüm veri akışlarını gösterir.

Bir dizi alternatif akışın metin verileriyle çevrelendiğini görebilirsiniz. Durum hiç de böyle değil ve alternatif akışlarda her türlü bilgiyi kaydedebilirsiniz. Örneğin, resim.txt dosyasını oluşturun ve bir resim içerebilen yeni bir pic1.jpg akışı ekleyin:

echo Resim>resim.txt
pic1.jpg>resim.jpg:pic1.jpg yazın

Bu şekilde orijinal metin dosyasını çağırıyoruz ve görüntüyü Paint grafik düzenleyicisinde alternatif bir akıştan açmak için aşağıdaki hızlı komutu kullanıyoruz:

mspaint resim.txt:pic1.jpg

Benzer şekilde, herhangi bir dosya türüne veri ekleyebilirsiniz; metin dosyalarına görseller, medya dosyalarına metin bilgileri vb. ekleyebilirsiniz. Explorer dosya boyutunu hala 1kB olarak gösteriyor.

Birleştirilmiş dosyalar için daha fazla alternatif akış kullanılabilir. Örneğin, test.txt dosyasını alın ve Not Defteri eklentisini (notepad.exe) alternatif note.exe akışına ekleyin:

notepad.exe>test.txt:note.exe yazın

Ekteki not defterini başlatmak için şu komutu hızlı bir şekilde kullanabilirsiniz:

.\test.txt:note.exe'yi başlat

Konuşmadan önce, birleştirme kodunu alternatif NTFS akışlarına ekleyen bazı zararlı programların olması mümkündür.

Akış yardımcı programı

Alternatif akışlarla çalışmak için bir dizi üçüncü taraf yardımcı programını kullanabilirsiniz; örneğin Sysinternals'ın Streams konsolu yardımcı programı. Bu, alternatif akışların varlığını gösterebilir ve bunları ortadan kaldırabilir. Yardımcı program kurulum gerektirmez, yalnızca paketini açın ve çalıştırın. Örneğin, Streams klasöründeki akışların varlığını şu komutla doğrulayabiliriz:

Streams.exe -s C:\Streams

streams.txt dosyasından alternatif akışları görebiliyorum:

Streams.exe -d C:\Streams\streams.txt

Güç kalkanı

PowerShell ayrıca alternatif akışlarla da çalışabilir; bunları oluşturabilir, görüntüleyebilir, görüntüleyebilir ve hatta silebilir. Örneğin bir metin dosyası oluşturun:

Yeni Öğe - Dosya türü - Yol C:\Streams\stream.txt

Ana konuya Dodamo girişi:

Set-Content -Yol C:\Akışlar\stream.txt -Value ″Ana akış″

І ім'яm Second ile alternatif bir yayında:

Set-Content -Yol C:\Streams\stream.txt -Value İkinci akış -Akış İkinci

Daha sonra ana olanın yerine görüntülenir

Get-Content -Yol C:\Streams\stream.txt

ve alternatif akışlar:

Get-Content -Yol C:\Streams\stream.txt -Stream Second

Alternatif akışların varlığını ortaya çıkarmak için şu komutu hızlı bir şekilde çalıştırabilirsiniz:

Get-Item -Yol C:\Streams\stream.txt -Stream *

İstemci akışlarını şu komutla silebilirsiniz:

Öğeyi Kaldır -Yol C:\Streams\streams.txt -Stream *

Vikoristannya

Alternatif akışlar hem Windows'un kendisi hem de diğer programlar tarafından kullanılır. Örneğin, Internet Explorer ağı 4 güvenlik bölgesine ayırır ve dosyalara tecavüz edildiğinde bunlara, tecavüzün gerçekleştiği bölge hakkında bilgi içeren etiketler ekler.

Bu işaretler alternatif bir şekilde kaydedilir ve 0'dan 4'e kadar bir sayıyı temsil eder:

internet (3)
Mіstseva Merezha (1)
Güvenilir siteler (2)
Güvenli olmayan siteler (4)
Yerel bilgisayar (0)

Bunu başarmak için indirme klasörüne gidelim, indirilen dosyayı internetten alalım ve alternatif akışların olup olmadığını kontrol edelim. Gördüğünüz gibi yüzünden bir akıntı var Bölge Tanımlayıcı, içinde bir satır var Bölge Kimliği=3.

Bu, dosyanın internetin güvenilmeyen bir alanına aktarıldığı ve açıldığında dikkatli olmanız gerektiği anlamına gelir. Word gibi bazı programlar, bir dosyayı açtığınızda bu verileri okur ve önceden görür.

Ayrıca Dosya Sınıflandırma Altyapısı (FCI) çeşitli alternatif akışlarda çalışır. Diğer programlarda, alternatif iş parçacıkları anti-virüs programları tarafından taranır, ancak Kaspersky Anti-Virus, tarama sonucunda kaldırılan kontrol toplamını bunlara kaydeder.

Bununla birlikte, alternatif akışların durgunluğu sınırlı değildir, onlar için kendiniz bir tür durağanlık yaratabilirsiniz. Örneğin, yardım alarak dışarıdan gelen özel bilgileri yakalayabilirsiniz. Alternatif akışlar içeren dosyalar diskten diske kopyalanabilir veya aktarılabilir; tüm akışlar dosyayla birlikte kopyalanacaktır.

Ayrıca birden fazla alternatif akışta, NTFS dosya sistemine sıkı sıkıya bağlı olan bellek gerekir. Bu dosyaların NTFS sürücülerinde saklanmasını önlemek için, bunlarla yalnızca Windows altında çalışabilirsiniz. Bir dosyayı başka bir dosya sistemine taşırsanız, ana iş parçacığı dışındaki tüm iş parçacıkları boşa gider. Ayrıca FTP dosyalarını aktarırken veya bir posta kutusuna aktarırken alternatif akışlar kesilir.

Simgeleri ve diğer dosya bilgilerini kaydetmek için kaynak akışını sağlayan Macintosh HFS dosya sistemiyle uyumluluk sağlamak amacıyla NTFS'ye Alternatif Veri Akışı desteği (AltDS) eklendi. Vikoristannaya AltDS özel kullanıcılara ayrılmıştır ve özel yollarla kullanıma sunulmamaktadır. Explorer ve diğer programlar standart akışı kullanarak çalışır ancak alternatif akışlardan veri okuyamaz. AltDS'yi kullanarak standart sistem kontrolleriyle tespit edilebilecek verileri kolayca yakalayabilirsiniz. Bu makale AltDS'nin çalışması ve amacı hakkında temel bilgiler sağlayacaktır.

AltDS Oluşturma

AltDS oluşturmak çok kolaydır. Ekip kimin için hızlanıyor? Yeni başlayanlar için akışlarımızı eklemeden önce temel dosyayı oluşturalım.

C:\>echo Sadece bir plan metin dosyası>sample.txt

C:\>örnek.txt yazın
Sadece bir plan metin dosyası

Daha sonra, AltDS'yi kullanacakları belirtmek için operatör olarak hızlı bir şekilde çift tıklayalım:

C:\\>echo Beni göremiyorsun>sample.txt:secret.txt

Bunu görmek için bunun yerine aşağıdaki komutları kullanabilirsiniz:

C:\devamı< sample.txt:secret.txt

ya da başka

C:\not defteri örneği.txt:gizli.txt

Her şey yolunda giderse metni ekleyin: Beni göremezsiniz, ancak Veri Gezgini'nden açtığınızda metin görünmeyecek. Ayrıca AltDS yalnızca bir dosyaya değil, bir klasöre de eklenebilir. Veya metin:

C:\>md öğeleri
C:\>cd öğeleri
C:\stuff>echo Öğelerdeki öğeleri gizle>:hide.txt
C:\stuff>dir
C sürücüsündeki birimin etiketi yoktur.
Cilt Seri Numarası: 40CC-B506C:\stuff Dizini
28.09.2004 10:19 .
28.09.2004 10:19…
0 Dosya(lar) 0 bayt2 Dizin(ler) 12,253,208,576 bayt ücretsiz
C:\stuff>not defteri:hide.txt

Artık Not Defteri'ni kullanarak AltDS eklerini nasıl görüntüleyip düzenleyeceğinizi ve bunları dosya ve klasörlere nasıl ekleyeceğinizi biliyorsunuz.

Programın başlatılması ve başlatılması

Programları, araçları ve AltDS'yi içe aktarmak test dosyaları kadar kolaydır. Yeni başlayanlar için temel bir dosya oluşturacağım:

Programımızı akışa koyalım, örneğin ben notepad.exe kullanacağım:

C:\WINDOWS>notepad.exe yazın>test.txt:note.exe

Şimdi dosyamızdaki metne bakalım:

C:\WINDOWS>test.txt yazın
Ölçek

Şimdi bağışımızı başlatalım:

C:\WINDOWS>başlat .\test.txt:note.exe
C:\PENCERELER>

Bu makale, alınan makalenin tam bir çevirisi olmadığı için basit bir konu olarak çerçevelenmiştir. Belirtilen talimatlarda ek yöntemler bulunabilir.

Güncelleme:

AltDS'den yardımcı programlar (istatistiklerle yapılacakların listesi):

LADS - Alternatif Veri Akışlarını Listeleme Yazan: Frank Heyne
www.heysoft.de/Frames/f_sw_la_en.htm

SysInternals'tan Streams.exe.

Bu başlıkta, dosya sistemi yöntemleriyle bir dosyaya veya dizine eklenebilecek farklı meta veri türlerine bakacağım. NTFS. Bu tür meta verileri nasıl analiz edebileceğinizi anlatacağım ve bunun Microsoft teknolojisinde veya üçüncü taraf yazılımlarda uygulanmasına bir örnek vereceğim.

Yeniden ayrıştırma noktaları, nesne kimlikleri ve ana dosyanızdan başka bir dosyaya yerleştirilebilecek diğer veri türleri hakkında bilgi edinin.

Nesne Kimliği Bu, bir dosyaya veya dizine eklenebilen 64 bayttır. Bunlardan ilk 16 bayt, dosyayı birimler arasında benzersiz bir şekilde tanımlamanıza ve onu isme değil tanımlayıcıya aktarmanıza olanak tanır. Başka bir 48 bayt daha fazla veri barındırabilir.

Nesne tanımlayıcıları Windows 2000'de NTFS'de mevcuttur. Sistemin kendisinde, kısayolu (.lnk) içeren dosyanın genişletilmesini kolaylaştırmak için kullanılırlar. Örneğin, kısayol içeren bir dosya birimler arasında taşınacaktır. Kısayolu başlattığınızda her şey açılacaktır. Özel bir Windows hizmeti, bir dosya bulunamazsa, dosyayı adıyla değil, önceden oluşturulmuş ve kaydedilmiş bir tanımlayıcıyla açmaya çalışacaktır. Dosya silinmemişse ve ciltler arasında silinmemişse açılacak ve kısayol dosyaya tekrar eklenecektir.

Kaspersky Anti-Virus sürüm 7 için iSwift teknolojisinde nesne tanımlayıcıları kullanıldı. Eksen bu teknolojiyle tanımlanmaktadır: Teknoloji NTFS dosya sistemi için geliştirilmiştir. Bu sistemde dış görünüm nesnesine bir NTFS tanımlayıcısı atanır. Bu tanımlayıcı, özel bir iSwift veritabanının değerleriyle karşılaştırılır. NTFS ID'li veritabanı değerleri kaydedilmemişse nesne kontrol edilir veya değişiklik varsa tekrar kontrol edilir.

Ancak çok fazla tanımlayıcı oluştururken, standart chkdsk tarama yardımcı programını kullanarak yapılan disk taramalarında uzun zaman alan sorunlar yaşandı. Kaspersky Anti-Virus'un daha yeni sürümlerinde NTFS Nesne Kimliği değiştirildi.

Yeniden Ayrıştırma Noktası

NTFS dosya sisteminde, bir dosya veya dizin yeniden ayrıştırma noktasına yerleştirilebilir ve bu nokta şu şekilde aktarılır: "yeniden kesme noktası". Dosyaya veya dizine özel veriler eklenir, dosya birincil dosya olmaktan çıkar ve yalnızca özel bir dosya sistemi filtre sürücüsü tarafından işlenebilir.

Windows'ta sistemin kendisi tarafından oluşturulabilecek yeniden ayrıştırma noktası türleri vardır. Örneğin, Windows aracılığıyla yeniden işleme noktaları, sembolik bağlantılar ve bağlantı noktaları uygulanır ve dizine bağlama noktaları yerleştirilir.
Dosyaya eklenen yeniden ayrıştırma arabelleği, maksimum boyutu 16 kilobayt olan bir arabellektir. Sisteme hangi tipin yeniden işleme noktası olduğunu söyleyen bir etiketin varlığı ile karakterize edilir. Yüksek türde bir yeniden ayrıştırma arabelleği kullanıldığında, özel bir alana yeni bir GUID koymak yine de gereklidir ve Microsoft yeniden ayrıştırma arabelleklerinde bu atlanabilir.

Ne tür bir yeniden işleme noktasıdır? Yeniden ayrıştırma noktası" ve "yeniden ayrıştırma noktaları"nın kullanıldığı teknolojileri gözden geçireceğim. Bunlar Windows Storage Server 2008 R2'de Tek Örnek Depolama (SIS) ve Küme Paylaşımlı Birimler, Hiyerarşik Depolama Yönetimi, Dağıtılmış Dosya Sistemi (DFS), Windows Home'dur. Server Drive Extender Bunlar Microsoft teknolojileridir, Durum böyle olmasına rağmen üçüncü taraf şirketlerin yeniden işleme noktaları oluşturan teknolojileri yoktur.

Genişletilmiş Nitelikler

Genişletilmiş dosya öznitelikleri. Onlar hakkında. Burada bu teknolojinin pratik olarak Windows altında çalışmadığını hatırlamak önemlidir. Ortak yazılımda Cygwin, POSIX erişim haklarını korumak için vikory uzantıları da sağlar. NTFS'deki bir dosya, genişletilmiş özniteliklere veya yeniden ayrıştırma noktası arabelleğine sahip olabilir. Şunun şunun bir anda kurulması imkansızdır. Tek bir dosyadaki tüm genişletilmiş özniteliklerin maksimum boyutu 64 KB'dir.

Alternatif Veri Akışları

Ek dosya akışları. Cilt onları zaten biliyor. Bu tür meta verilerin ana özelliklerini listeleyeceğim: adlandırma (böylece bir dosya birden fazla iş parçacığına sahip olabilir ve her birinin kendi adı olabilir), dosya sisteminden doğrudan erişim (bunlar aşağıdaki format kullanılarak çıkarılabilir: “dosya adı) , double, 'akışıyorum"), sınırsız boyut, süreci doğrudan akıştan başlatma yeteneği (ve bunu akış aracılığıyla uygulama yeteneği).

Kaspersky Antivirus için iStream teknolojisini vikorize etti. Örneğin Windows'un kendisinde, İnternet'ten bir dosya indirildiğinde, dosyanın nereden alındığına ilişkin bilgileri içeren bir Zone.Identifier akışı eklenir. Dosyayı çalıştırdıktan sonra bazı bilgiler alabilirsiniz. “İzleyiciyi doğrulamak imkansız. Bu programı gerçekten başlatmak istiyor musunuz?.

Bu şekilde, İnternetten indirilen programların düşüncesizce başlatılmasına karşı ek koruma sağlamayı umuyoruz. Akışlarda yalnızca bir durgunluk vardır ve bu nedenle bunlara farklı veriler kaydedebilirsiniz. Sanırım Kaspersky Anti-Virus dış görünüm dosyasının kontrol toplamlarını oraya kaydetti ve daha sonra bu teknolojiden de vazgeçildi.

Sorun nedir?

Daha Güvenlik Kimliği artı, halihazırda dosya akışları olarak uygulanmış olanlardan bağımsız olarak, doğrudan erişilemeyen standart dosya nitelikleri. Kokular, öznitelik uzantıları, nesne kimliğini yeniden ayrıştırma - bunlar sistem tarafından görüldüğü gibi dosyaya akışlar. Güvenlik tanımlayıcısını hemen değiştirebilirsiniz, sonraki küçük şeyle ilgili göstergeler şunlardır:: $SECURITY_DESCRIPTOR, hiçbir anlamı yok, sistemin değişikliği yapmasına izin vermeyin. Sistemin kendisi diğer akış türlerine doğrudan erişim sağlamaz. Yani hepsi bu.

Bunun yerine nesne kimliğini, yeniden işleme noktasını ve ayrıca genişletilmiş özelliklere sahip bir robotu ve ek programlar kullanan alternatif dosya akışlarını arayın.