Приложения для просмотра, изменения и удаления альтернативных потоков данных NTFS.
Что такое альтернативные потоки, их функционирование, способы копирования файлов в потоки и наоборот – проблемы описаны в разделе « Альтернативные потоки данных» .
Система обнаружения и просмотра потоков
Системы Vista и выше имеют встроенную возможность просмотра потоков из командной строки с помощью команды DIR с ключом / R. Для графического отображения потоков, а также для систем 2000 / XP необходимо использовать внешние приложения.
В этом примере перечислены каталог, в котором два файла имеют скрытые потоки (atb.mp3). Стоит отметить, что размер каталога составляет около 11 МБ, хотя два файла имеют потоки по 11 МБ каждый >>> На самом деле каталог занимает около 35 МБ с диска. Это подтверждается тем фактом, что потоки совершенно невидимы и не проявляют признаков активности.
Системные опции для удаления потоков
Windows не позволяет прямое удаление потоков. Чтобы эффективно удалять потоки, мы должны использовать внешние приложения.
Методы замены:
– отправка файла по интернет-протоколу (электронная почта / FTP) удаляет потоки
– извлечь из файла только основной поток
Мы следуем инструкциям ниже. Во-первых, команда «ren» меняет имя файла. Далее мы извлекаем основной поток в новый файл. Наконец, мы удаляем файл потока.
Метод не работает с потоковыми каталогами.
– перемещение файла потока из раздела NTFS в FAT32: при перемещении файла мы теряем поток. Мы получим сообщение:
Анализ дискового пространства
SpaceSniffer включает в себя сканирование скрытых потоков NTFS. Полезно, когда использование данных не корректно, и мы подозреваем наличие потоков. Однако этот параметр должен быть включен заранее: меню «Правка» >>> «Конфигурация»> вкладка «Поведение» выберите «Сканировать альтернативный поток данных».
потоки
Приложение, управляемое из командной строки, позволяет обнаруживать и удалять скрытые потоки. Лучше всего скопировать файл в каталог одного из путей, включенных в переменные среды, например, c: windows. Затем, после запуска командной строки, нам не нужно указывать полный путь к инструменту.
Использование:
потоки [-s] [-d]
[-s] включая подпапки
[-d] удаление потоков
путь к файлу / папке
обнаружение потоков со всего диска c:
потоки -sc:
В приведенном ниже примере поток ba.7z был обнаружен в файле file.txt. Затем поток был скопирован в файл bb.7z ( команда cp ).
удаление потоков, включая подпапки со всего диска c:
streams -s -dc:
скачать: последняя версия
Вы также можете использовать оверлей загрузки NTFS Streams Eraser : последняя версия
Файл наложения и потоки должны находиться в одной папке для запуска наложения.
AlternateStreamView
приложение выполняет сканирование диска и отображает все скрытые альтернативные потоки данных NTFS, хранящиеся в файловой системе, в графической форме. Это позволяет:
- извлечение потоков в определенную папку
- удаление нежелательных потоков
- создание отчета со списком потоков на диске
скачать: последняя версия , взломать (установка не требуется, переносной тип)
Загрузка ADS Manager : последняя версия (установка не требуется, переносной тип)
Менеджер ADS; позволяет создавать, удалять, переименовывать, извлекать и искать потоки
StreamArmor download: последняя версия (установка не требуется, переносной тип)
отображает альтернативные потоки, разделяющие их на группы безопасности: безопасные / вредные; он может удалять и извлекать потоки, позволяет просматривать или выполнять поток (в виртуальной среде) и создавать отчет. Полезная функция «Online Threat Verification» тестирует поток на наличие вируса с помощью онлайн-сервисов: VirusTotal, ThreatExpert, MalwareHash.
Загрузка StreamFinder : последняя версия (установка не требуется)
отображает потоки, позволяет удалять, экспортировать, сохранять отчет
Загрузка альтернативного потока данных Scan Engine : последняя версия (установка не требуется)
отображает потоки, разделяя их по степени опасности, позволяет удалять и экспортировать потоки
ADS Scanner скачать: последняя версия (установочная версия)
версия без установки: извлечение в Universal Extractor или 7-zip
отображает потоки, позволяет удалять, экспортировать, сохранять отчет
