變異數據流又稱為候補數據流,即Alternate Data Stream。Windows NT 、Windows XP Windows 2000等都支持NTFS流,而變異數據流就是一種NTFS流。微軟當初設計了它,雖然達到了預期安全性,但是為了向後兼容,它支持後綴為$data的內部檔案類型,在過程中它完全隱藏。NTFS分區的數據流是一個子檔案系統允許額外的數據連線到一個特別的檔案中,從而實現隱藏。現在的FAT檔案系統格式是不支持數據流格式的,而NTFS檔案系統中的變異數據流的隱藏特性可以保護檔案。
當今ADS的套用很廣泛,國外大多數把它用來隱藏檔案,很多黑客也注意到了變異數據流的作用,用於上傳後門。因為一般的防毒軟體不能查殺隱藏在數據流中的木馬等黑客軟體。但是國內對它的了解並不多,很少網站有提到它的文章,而且人們認為它是不安全的,都想盡力避開它。但是要想迴避它的隱藏特性是很難的,除非你不用NTFS檔案系統。
NTFS因為它的穩定性、強大的功能以及它所提供的安全性而成為一種優越的檔案系統, ADS的完全隱藏特性是一般隱藏軟體無法比擬的,它完全由NTFS檔案系統支持,無需任何工具就可以生成。當一個數據流被創建以後,以前的檔案大小依然不變,而且所有的Windows枚舉方法都不能把它識別出來――真正的無影無蹤。而且正好它又鮮為人知,是一種能夠簡單實現的隱藏方法。並且它支持任何格式檔案的隱藏,而且任何類型的隱藏檔案都可以直接由Windows系統提供的命令來打開。而微軟提供了一種方法通過Windows explorer來創建特殊的ADS,檢測這種特殊的ADS的必要工具和功能相當缺乏。
二、變異數據流的實現
變異數據流可以在NTFS檔案系統中實現檔案隱藏的功能。
在CMD環境下,輸入:type filename1 > filename2 : Stream name。(filename1為附著檔案,filename2為宿主檔案)。系統自動生成數據流,實現對檔案的隱藏。你只能瀏覽filename2的內容,而對於被隱藏的filename1無法直接瀏覽,連它占用的磁碟空間也無法顯示出來。可以用notepad或start命令來打開它。
如果不知道隱藏時的Stream name,攻擊者就無法找到受保護的檔案。Stream name可以起到特殊密碼的作用,就好像你想進入既不知道用戶名也不知道密碼的系統,成功的可能性是極低的。對於專門的軟體,Stream name也是很容易得到的。例如lads.exe就可以直接枚舉出數據流的大小和其檔案名稱。 ListStream.exe的功能更加強大,它可以列舉出更多的細節。但這類軟體並不是很多。Windows Explorer沒有任何可用的轉換和設定來檢測這種新建的ADS的存在,所以ADS隱藏還是很安全的。
三、變異數據流的隱藏特性
變異數據流的完全隱藏特性給了黑客們繞過防毒軟體上傳後門的簡單方法,下面是其主要的幾個性質:
1、當一個隱藏檔案創建好了以後,繼續對它做以下操作,ADS數據流將丟失。type filename1 > filename2: 或者不要“:”也可以。此外刪除變異數據流還有一個方法。就是直接刪除宿主檔案。需要注意的是,當流檔案名為:filename時,不能直接用del命令刪除流檔案,除非刪除整個目錄。
2、type filename1 filename2 ... filename… > filename:* 可以同時隱藏多個檔案入數據流,對於隱藏的檔案,流檔案名稱必須有"."這個後綴,否則無法直接由notepad命令打開。可以直接由notepad讀取出來的檔案格式有:.txt .xml .c .h .htt .ani .reg等。
3、用start命令可以直接打開任何類型的ADS檔案,但是必須寫明路徑。也可以用MORE命令來控制ADS,用more < ads名來查看數據流的內容。如果在建立數據流檔案的時候,冒號後面的名字沒有包括檔案類型,則不能用START命令直接打開數據流檔案,必須經過程式選擇來打開。並且指定什麼檔案類型他就用什麼程式打開。
4、ADS是NTFS檔案系統的特徵,所以帶有ADS的檔案如果被移動到其他的檔案系統,比如FAT,FAT32或者ext2上,ADS會丟失,因為這些檔案系統都不支持ADS,如果是在NTFS分區之間移動,ADS就會被保留下來。最重要的是,當打開隱藏檔案的時候,只要再將附著檔案保存即可將ADS提取出來。這樣就可以實現對ADS檔案的解密。
相關詞條
-
前向糾錯
,而另外的1/8內容,則是用來保護數據流不發生變異的糾錯碼。仍借用上述...,為了防止外界信號干擾,保護信號不變異,要進行多重的糾錯碼設定。數位訊號... 數據流分類數位訊號實際傳送的是數據流包括以下三種:• 前向糾錯ES流...
簡介 套用場景 數據流分類 數據流簡介 常用的前向糾錯碼 -
軟體測試技術:基於案例的測試
案例:尋找主路徑4.2.3 數據流覆蓋準則4.2.4 案例:三種數據流...4.5.2 變異測試覆蓋準則4.5.3 案例:stream語法的MOC和MPC覆蓋4.5.4 基於程式的語法覆蓋準則4.5.5 案例:min方法的變異...
內容簡介 圖書目錄 -
防火牆[網路術語]
的“套用層”上運作,您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬於這一層。套用層防火牆可以攔截進出某應用程式的所有封包,並且...外部的數據流進到受保護的機器里。防火牆藉由監測所有的封包並找出不符規則...
基本定義 主要類型 基本特性 使用技巧 相關功能 -
系統六西格瑪
川* ANOVA(ANalysis Of Variance):變異數分析...
理論基礎 區別 比較 套用框架 思維誤區 -
軟體的質量
上下文覆蓋4.5 評價而向數據流的測試第5章 特殊的動態測試技術... 背靠背測試5.1.3 變異測試5.1.4 回歸鋇5試... 數據流異常分析7.5.1 數據流異常分析的屬性和目標7.5.2 執行...
內容簡介 目錄 -
暗黑破壞神之毀滅
作品信息突然穿越到暗黑的世界,我該怎么辦?還能回去嗎?PS:事先聲明,本作可以看成是一本《遊記》,為了避免誤人子弟,最好在觀看本...
作品信息 小說簡介 作品人物 職業者隊伍 部分人物卡 -
最強黑客
的青年正在偷偷摸摸的看著螢幕上面瘋狂流動的數據流。“師傅就是師傅哈,這什麼美國北美防空司令部的防火牆就是一堆垃圾。”看到那道數據流已經神不知鬼不曉... 人生何處不相逢(下)第一百二十八章 變異病毒(上)上架感言以及下月更新說明第一百二十...
基本內容 編輯本段作品簡介 作者簡介 編輯本段起點榮譽 初章 -
金甲戰士[2008年張笑帆指導的特攝劇]
戰士與同優瑪合體的阿爾法斯特人戰鬥。卻被控在數據流里。司南通過電子象棋幫助...的攻擊。於是變異恐怖客被派到地球阻礙特救隊救助波羅多。但波羅多使用自己的能力,鼓舞尤里斯找到了金甲戰士。最終金甲戰士擊敗了變異恐怖客,保護了波羅多...
劇情簡介 分集劇情 演職員表 角色介紹 設定解說 -
防火牆技術
。同時,代理服務還可用於實施較強的數據流監控、過濾、記錄和報告等功能...
簡介 概念原理 防火牆種類 防火牆的使用 核心技術