Альтернативні потоки даних NTFS

    75

    Альтернативні потоки даних (ADS) – альтернативні потоки даних NTFS

    Кожен файл і каталог у форматі NTFS має кілька потоків даних:

    • один головний, безіменний (безіменний, безіменний), що містить фактичний вміст файлу. Безіменний потік є обов’язковим елементом і присутній завжди. Якщо ми створюємо альтернативний потік, а файл не існує, система автоматично створює безіменний потік нульової довжини.
    • потоки, які зберігають інформацію про безпеку файлів. Важливо пам’ятати, що дескриптор безпеки та атрибути файлу належать до файлу в цілому, а не безіменного потоку.
    • інші альтернативні потоки

    Основний, безіменний потік – єдиний, видимий з-під Провідника і командного рядка. Коли файл відкривається програмою за промовчанням, безіменний потік фактично відкривається. Щоб вказати альтернативний потік, ми додаємо до імені файлу двокрапка і ім’я потоку.
    приклад:
    filename.extension (наприклад, traxter.txt) вказує неназваний файловий потік, а filename.extension: stream_name (наприклад, traxter.txt: page www.txt) вказує ім’я ADS.

    Основний файл: видимий файл
    Основний файл з потоком: видимий файл : прихований файл

    Кількість потоків може бути будь-яким. Характерною особливістю є те, що такі потоки мають ім’я, вони не видно, всі функції / атрибути приховані. Ви можете зберігати в них дані будь-якого типу, як у звичайних файлах.

    Підводячи підсумок, потоки NTFS – це приховані файли на диску «під» звичайним видимим файлом / папкою. Вони не виявляють жодних слідів своєї діяльності, не змінюють розмір файлу, навіть його контрольну суму, але в той же час займають місце на диску, ви можете мати один маленький файл на диску, який містить потоки вагою весь диск!

    приклад:

     Основний файл: инструкция.doc (1 МБ)Потік: manual.doc: holiday-movie-FullHD.avi (699 МБ)Потік: инструкция.doc: windows7-install.iso (3500 МБ) 

    У прикладі на диску у нас є файл инструкция.doc з двома прикріпленими потоками. Видно тільки основний файл, а потоки приховані. Аналіз диска показує, що використовується 1 МБ простору, хоча насправді воно близько до 4200 МБ >>> ~ 4.2 ГБ. Хороша річ, чи не правда?

    переваги
    Потоки дозволяють зберігати файли на диску таким чином, що ніхто не дізнається про їхнє існування. До речі, ви можете обійти обмеження дискового простору для нашої облікового запису, встановлений адміністратором. Навіть гість може створити такий потік у будь-якому файлі, до якого у нього є доступ. У потоці ми можемо зберігати стільки даних, скільки поміститься на диску). Однак адміністратор з повними привілеями може видалити файл і потік, але як він дізнається, що є потік?

    загрози
    Тим не менш, потоки також представляють загрозу для системи – якщо вона проникає в систему, вона може зберігати або прикріплювати шкідливі елементи до звичайних файлів, працюючи непоміченою (наприклад, руткіти).

    Приклади потоків
    Не всі потоки шкідливі. Деякі з них також автоматично генеруються самою системою, наприклад потоки Zone.Identifier.
    C: Downloadssetup.zip: Zone.Identifier

    Потоки цього типу вказують на приналежність до однієї з 5 зон безпеки: 0 – Мій комп’ютер