RT,这些是我平时从杂志报纸网上收集来的方法,这里我重新整理一下拿出来和大家分享(菜鸟级)。
其实也不算什么特别的方法,相信很多大家都了解。
从简单的说起吧。就是修改后缀名,如果后缀不显示就在“资源管理器--工具--文件夹选项--
查看--隐藏已知文件类型扩展名”前面的小勾去掉就行了,就比如我现在有一个后缀为.rar的压缩文件,我不想
别人知道就可以把后缀改位别的如:.txt .jpg等等,如图所示
修改后
这种方法很简单,但是弊端也很多,比如生成的文件没有预览,如图所示
并且,如果压缩文件过大,在查看属性的时候也很容易暴露,如图所示
是正常人都知道,普通的图片哪里会那么大。
有人又会问,文件能改后缀,那么文件夹怎么办。其实文件夹一样可以改“后缀”
肯定有人骂我:“你当我SB呀,文件夹哪来的后缀”,说得好,文件夹是没有后缀名
所以我们就“自作多情”给它加呗。如图,我有一个文件夹叫“solu”里面装有我的私人
东西,想让人知道,那么我们就改它后缀,在文件夹名字后面加上".{20D04FE0-3AEA-1069-A2D8-08002B30309D}"
不包含双引号,就是整个文件夹名字由“solu”变成了“solu.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”
你会发现神奇的事发生了,看图
"变身后"。。。。
看到了吗?刚刚的文件夹变成了我的电脑,不要以为就是图标变了,如果你双击它,你会发现,这和进入我的电脑是一模一样的
也就是说,我们现在无法再进入这个文件夹了,也就是说,它安全了,也就是说,我们的目的达到了,也就是说。。没了
补充一下,上面加“![]()
.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”变成我的电脑,那么我们还能变成其他吗?
其实是可以的,记住下面
回收站:
{645ff040-5081-101b-9f08-00aa002f954e}
拔号网络:
{992CFFA0-F557-101A-88EC-00DD010CCC48}
打印机:
{2227a280-3aea-1069-a2de-08002b30309d}
控制面板:
{21ec2020-3aea-1069-a2dd-08002b30309d}
网上邻居:
{208D2C60-3AEA-1069-A2D7-08002B30309D}
不要问这些东西有没有规律,我只能说你复制下来就是了,如果要解析要涉及注册表问题,我这样不深入,有兴趣的朋友可以自己
上网查查,还是那句“小事找百度,大事找谷歌”
哎呀,好像还没说完,讲了怎么加密隐藏。别人进不去,也不能搞到自己也进不去吧。下面是解决方法,仔细记住哟。。。不然
文件丢失了别找我。。
方法很简单,就是把后缀去掉呗(别扁我,别以为真的那么简单),因为这时候就算开了“显示后缀”那个长得你讨厌的后缀名也不会
出来的说,那怎么办,别急,又到我们的CMD(命令提示符)出场了。看演示
假设我的文件夹在E盘的根目录下,下面是命令(红色部分是关键字)
====================================================================================
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>e:
E:\>dir
驱动器 E 中的卷是 study
卷的序列号是 EDAC-9445
E:\ 的目录
2008-11-07 20:11 <DIR> dvbbs8.2.0_ac
2008-11-05 16:15 <DIR> hackertools
2008-11-08 22:22 <DIR> solu.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
2008-11-08 17:11 <DIR> temp
2008-11-08 22:23 <DIR> Tools
2008-11-01 01:43 <DIR> workspace
2008-10-30 21:13 <DIR> [孙鑫VC++.20集全]
2008-11-05 16:22 <DIR> 手册
2008-11-05 15:27 <DIR> 教程
2008-11-07 10:45 <DIR> 电子书
2008-11-05 11:46 <DIR> 课件
0 个文件 0 字节
12 个目录 74,796,433,408 可用字节
E:\>ren solu.{20D04FE0-3AEA-1069-A2D8-08002B30309D} solu
E:\>
==========================================================================
命令载图
下面我们来说悄悄话,就是把想说的话写进图片中,别以为是简单的PS哟,我们的写进是写进图片编码里面。
首先我们准备一张图片,为了操作简单,我把图片命名为1.jpg,再准备一个文本文档,也是为了操作简单
我把文档命名为2.txt,我在文档里面写入要说的话,这里就写“Hello world!I am solu.It is a test!”
注意:写入文档的内容最好空几行,不是下面你很难再找到你写的东西,而且要用英语写,我记得我用中文的
时候最后显示是乱码,也就是说,说了等于白说,人家都不知道你想说什么。。看准备文件的图:
打开图片(我承认我在这里晒图了)
再打开文档看看(如果你发现你打开的文档和我的不同,可以无视这个,因为我用的是VISTA的记事本)
一切都准备好啦,下面就开工吧。有要请出我们的CMD大神。。我的那两个文件都放在E盘的根目录
看演示代码:
===========================================================================
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>e:
E:\>copy 1.jpg /b + 2.txt /a 3.jpg
1.jpg
2.txt
已复制 1 个文件。
E:\>
============================================================================
代码图
原理就是转换编码然后用COPY方式结合在一起重新生成一个图片文件,还是不深入说那么多理论问题了
又是那句,有兴趣的朋友可以自己查查。。
这里关键就是“E:\>copy 1.jpg /b + 2.txt /a 3.jpg”一句,大家只要把“1.jpg”改成自己图片的名字
别漏了后缀".jpg"的说,把"2.txt"换成自己想说的话的那个文档的名字就行了,至于后面那个“3.jpg”就可以
自由发挥了,随你喜欢叫它“阿猪阿狗.jpg”也好,反正不要漏了".jpg"后缀
这时候又有人跑出来“嘿,你做那么多有什么用呀,不是浪费时间吗?”,别急别急,你看看新生成的“3.jpg”
这个图片,双击打开它,是不是和那张"1.jpg"一模一样,就像同一个“老母”生的一样,然后在“右键”点击
它,选择“打开方式--选择程序--记事本(下拉)”见到记事本以后就双击它打开。这时候你会开到一大堆乱码
你就一直往下拉,拉到最后,你就会发现你可爱的那句话出现了,看图,没骗人,如果看不到就是你操作出错了
居然文本文档能和图片“合体”,那么我们的".rar"压缩包能不能呢?当然可以啦,而且操作和上面的方法也很相似。
在E盘准备一张图片,我这里就不贴图了,还是上面那张(因为是saber),再准备一个压缩包“2.rar”,里面装什么随便你
,多大也随便你(因为这个方法多数不是用来“骗人”,而是用来骗相册服务器的,下面再解释),接下来是重点。又要请出
我们的CMD大神,看操作代码:
===============================================================================
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>e:
E:\>copy 1.jpg /b 2.rar 3.jpg
命令语法不正确。
E:\>copy 1.jpg /b + 2.rar 3.jpg
1.jpg
2.rar
已复制 1 个文件。
E:\>
===================================================================================
操作载图
语法上和上一个方法很相似,所以我就不解析了。双击打开新生成的“3.jpg”,可以正常打开,也是和“1.jpg”一样的说
然后我们把它后缀改了“rar”看看,也能打开,而且里面的内容和“2.rar”的一样,和明显,它们“结合”了。为什么我
上面说这个方法是用来骗服务器的呢,我们都知道网易提供无限量的图片空间,我们哪用得完,所以用这个方法就可以
把它当成网盘来用了,骗过服务器来存在我们的文件,呵呵。。。。
最后一中方法了,也是我觉得最强大的,因为它好像可以使任意文件“结合”这个结合并非上面的“结合",准确的说
应该是一个”粘“在另一个上。这个比较”专业“我就不自己写了,在网上找了个权威人士”lake2“的来给大家看看,希望
大家能看懂。
==============================lake2=============================================
1、前言
交换数据流(alternate data streams,以下简称ADS)也不是什么新东西,但用户和管理员对它的认识知之甚少,本文将结合前人的资料对ADS做一番探讨。如有错误,还望高手赐教。
2、概念
先来看看微软对多文件流的解释:
在 NTFS 文件系统下,每个文件都可以有多个数据流。值得一提的是,流不是 NTFS 2000 的功能,但是从 Windows NT 3.1 开始流已存在。当在非 NTFS 卷(如 Windows 98 计算机的磁盘分区)下读取文件内容时,只能访问一个数据流。因此,您会觉得它是该文件真正的且"唯一"的内容。这样的主流没有名称,并且是非 NTFS 文件系统可以处理的唯一一个流。但是当在 NTFS 卷上创建文件时,事情可能不一样。参看图 1 了解此重要概念。
【图1】
ADS是NTFS文件系统特有的性质,也就是前面说的多数据流文件除了主流之外的流,但基于API的Win32却不能很好的支持ADS。例如我们 可以把一个文件以流的形式附加到另一个文件(载体)中,但是对于Windows资源管理器来说载体文件没有发生任何变化(包括其大小、修改时间等)。由此 将会产生一系列问题。
下面就让我们来看看ADS的一些性质及应用吧。
3、性质和应用
3.1 创建
创建ADS很简单,语法是<载体文件名>:
看个命令行下面的例子:echo This is lake2's stream > a.txt:stream.txt
通过上面的例子我们就很简单的创建了一个ADS,它在windows下并不可见,不信你可以用资源管理器或者dir命令看看a.txt文件的大小是不是 0。打开a.txt,可是里面什么内容都没有。当然没有内容,这里ADS是a.txt:stream.txt,内容应该在这个文件里。注意,这里用 type命令并不能显示文件a.txt:stream.txt,但是记事本却可以。还是在命令行下输入notepad a.txt:stream.txt,呵呵,看到"This is lake2's stream"了吧。现在我们用记事本打开a.txt随便修改内容,这并不会影响到流的内容;同样,对a.txt:stream.txt的修改也不会影响 到载体文件a.txt。
3.2 删除
删除ADS最为简单,直接删载体文件就是;但是如果只想删ADS而保留载体文件的话最简单的办法就是把载体文件拉到非NTFS分区去走一趟。因为ADS是NTFS的"专利",离开了NTFS文件系统ADS也就烟消云散了。
如果你只想在NTFS分区删除ADS的话,可以用下面这个批处理:
type a.txt > a.txt.bak
rem type不能支持ADS,所以拿它来备份载体
del a.txt
rem 删除载体及ADS
ren a.txt.bak a.txt
rem 恢复载体文件
3.3 检测与提取
关于ADS的检测涉及到API编程了,呵呵,这方面我还在努力学习,这里就抄微软的话:"Win32 备份 API 函数(BackupRead、BackupWrite 等)可用于枚举文件中的流"。
不过好在已经有检测ADS的软件了,下面几个软件都可以检测:
LADS (List Alternate Data Streams) - http://www.heysoft.de/nt/ntfs-ads.htm
Streams v1.1 (Sysinternals) - http://www.sysinternals.com/ntw2k/source/misc.shtml
NT Objectives Forensic Toolkit (sfind.exe) -(http://www.ntobjectives.com/)
要提取ADS必须要第三方工具,NTRootKit工具包里的cp可以做到(cp也可以用于创建流);NTRootKit工具包我一直没有找 到,google上一搜全是那个NTRootKit后门,只好自己用C写了一个。这也不会要求你是编程高手,C语言里的文件函数完全可以支持ADS的创 建、删除、提取,只需把ADS当成一个文件来处理就是了。
3.4 保存与传输
前面说了,ADS在非NTFS分区就会丢失,那么说来在非NTFS分区就无法保存ADS了吗?直接保存没有办法,我们可以间接保存啊。呵呵,这样需要借助 一个软件,你也应该有的,它就是WinRAR。对含有ADS的文件加压时,找到高级选项,那里有一个"保存文件流数据",打上勾(图2),呵呵,你就可以 把ADS压缩到rar文件里了。这个rar文件可以保存到非NTFS分区的——注意啊,是保存,不能解压出来的。
【图2】
如果要传输ADS,最好是用资源管理器打开对方的共享再复制粘贴;如果你想用其他方式传输的话大概就只能传输包含ADS的rar文件了。
3.5 信息隐藏
要保密信息,传统的做法是加密。虽然加密后信息内容变成了无法直接读出的密文,不过也等于告诉人家这是秘密,就不安全了;但是如果我把信息藏起来让你找不着不就ok了吗,所以一种叫做"信息隐藏"的技术就被提出来了。 中国网管联盟bitsCN.com
古装戏里常常有隐写术,就是一张白纸在平时就是一张普通的白纸,但在特殊的作用下预先写好的字就会显示出来。用这个来比喻信息隐藏是最为恰当的了。信息隐 藏是目前信息安全研究的热门领域,实现方法也很多,最流行的大概就是以bmp图像文件为载体,通过替换文件每个字节无关紧要的最低的一位来实现的。
呵呵,不过有一种实现简单的信息隐藏技术就在我们眼前。对,就是利用ADS!既然Windows不能很好的察觉ADS,那么我们就可以把要保密的文件以 ADS方式保存。不过这里提醒一下,利用ADS实现信息隐藏的安全性不是很高,不过也不是很低——我想应该没有人没事就花大量时间用lads.exe检测 着玩吧。
另外,大多数杀毒软件并不能检测ADS,所以我们可以利用流让杀毒软件pass后门。例:type nc.exe > a.txt:nc.exe
原文件nc.exe会被金山毒霸查出来,处理之后尽管a.txt:nc.exe内容与nc.exe完全一样,但并不会被金山毒霸发现。
3.6 运行
前面说了可利用ADS让后门躲避杀毒软件,但如果不能运行的话还不是没用。那怎么运行呢?
命令行下面直接运行a.txt:nc.exe是不行的,应该用start命令。关于这个命令的详细用法你自己打help start看看吧。
start命令运行可执行的ADS时要用绝对路径或者当前路径用./加文件名。看例子:start ./a.txt:nc.exe or start c:\a.txt:nc.exe
在Win2000下查看进程只能看到载体文件,而XP下则可以发现整个ADS。图3是在XP下用tlist的截图。
【图3】
3.7 与IIS相关
在IIS中访问ADS会有一些有趣的事情发生,这个参见我的另一篇Blog《交换数据流(ADS)与IIS的前世与今生》(http://blog.csdn.net/lake2/archive/2005/01/26/269659.aspx)。
4.附言
谢谢你看完我的文章 :)
5.参考文章
bigworm翻译,《NTFS不利的一面》(http://www.xfocus.net/articles/200212/466.html)
xundi,《关于NTFS文件系统中的数据流问题》(http://www.xfocus.net/articles/200103/81.html)
H. Carvey,《The Dark Side of NTFS》(http://patriot.net/~carvdawg/docs/dark_side.html)
Damon Martin,《Windows, NTFS and Alternate Data Streams》(http://www.giac.org/practical/gsec/Damon_Martin_GSEC.pdf)
《NTFS Streams - Everything you need to know》(http://www.diamondcs.com.au/index.php?page=archive&id=ntfs-streams)
其实也不算什么特别的方法,相信很多大家都了解。
从简单的说起吧。就是修改后缀名,如果后缀不显示就在“资源管理器--工具--文件夹选项--
查看--隐藏已知文件类型扩展名”前面的小勾去掉就行了,就比如我现在有一个后缀为.rar的压缩文件,我不想
别人知道就可以把后缀改位别的如:.txt .jpg等等,如图所示
修改后
这种方法很简单,但是弊端也很多,比如生成的文件没有预览,如图所示
肯定有人骂我:“你当我SB呀,文件夹哪来的后缀”,说得好,文件夹是没有后缀名
所以我们就“自作多情”给它加呗。如图,我有一个文件夹叫“solu”里面装有我的私人
东西,想让人知道,那么我们就改它后缀,在文件夹名字后面加上".{20D04FE0-3AEA-1069-A2D8-08002B30309D}"
不包含双引号,就是整个文件夹名字由“solu”变成了“solu.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”
你会发现神奇的事发生了,看图
也就是说,我们现在无法再进入这个文件夹了,也就是说,它安全了,也就是说,我们的目的达到了,也就是说。。没了
补充一下,上面加“
其实是可以的,记住下面
回收站:
{645ff040-5081-101b-9f08-00aa002f954e}
拔号网络:
{992CFFA0-F557-101A-88EC-00DD010CCC48}
打印机:
{2227a280-3aea-1069-a2de-08002b30309d}
控制面板:
{21ec2020-3aea-1069-a2dd-08002b30309d}
网上邻居:
{208D2C60-3AEA-1069-A2D7-08002B30309D}
不要问这些东西有没有规律,我只能说你复制下来就是了,如果要解析要涉及注册表问题,我这样不深入,有兴趣的朋友可以自己
上网查查,还是那句“小事找百度,大事找谷歌”
哎呀,好像还没说完,讲了怎么加密隐藏。别人进不去,也不能搞到自己也进不去吧。下面是解决方法,仔细记住哟。。。不然
文件丢失了别找我。。
方法很简单,就是把后缀去掉呗(别扁我,别以为真的那么简单),因为这时候就算开了“显示后缀”那个长得你讨厌的后缀名也不会
出来的说,那怎么办,别急,又到我们的CMD(命令提示符)出场了。看演示
假设我的文件夹在E盘的根目录下,下面是命令(红色部分是关键字)
====================================================================================
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>e:
E:\>dir
驱动器 E 中的卷是 study
卷的序列号是 EDAC-9445
E:\ 的目录
2008-11-07 20:11 <DIR> dvbbs8.2.0_ac
2008-11-05 16:15 <DIR> hackertools
2008-11-08 22:22 <DIR> solu.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
2008-11-08 17:11 <DIR> temp
2008-11-08 22:23 <DIR> Tools
2008-11-01 01:43 <DIR> workspace
2008-10-30 21:13 <DIR> [孙鑫VC++.20集全]
2008-11-05 16:22 <DIR> 手册
2008-11-05 15:27 <DIR> 教程
2008-11-07 10:45 <DIR> 电子书
2008-11-05 11:46 <DIR> 课件
0 个文件 0 字节
12 个目录 74,796,433,408 可用字节
E:\>ren solu.{20D04FE0-3AEA-1069-A2D8-08002B30309D} solu
E:\>
==========================================================================
命令载图
下面我们来说悄悄话,就是把想说的话写进图片中,别以为是简单的PS哟,我们的写进是写进图片编码里面。
首先我们准备一张图片,为了操作简单,我把图片命名为1.jpg,再准备一个文本文档,也是为了操作简单
我把文档命名为2.txt,我在文档里面写入要说的话,这里就写“Hello world!I am solu.It is a test!”
注意:写入文档的内容最好空几行,不是下面你很难再找到你写的东西,而且要用英语写,我记得我用中文的
时候最后显示是乱码,也就是说,说了等于白说,人家都不知道你想说什么。。看准备文件的图:
再打开文档看看(如果你发现你打开的文档和我的不同,可以无视这个,因为我用的是VISTA的记事本)
看演示代码:
===========================================================================
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>e:
E:\>copy 1.jpg /b + 2.txt /a 3.jpg
1.jpg
2.txt
已复制 1 个文件。
E:\>
============================================================================
代码图
又是那句,有兴趣的朋友可以自己查查。。
这里关键就是“E:\>copy 1.jpg /b + 2.txt /a 3.jpg”一句,大家只要把“1.jpg”改成自己图片的名字
别漏了后缀".jpg"的说,把"2.txt"换成自己想说的话的那个文档的名字就行了,至于后面那个“3.jpg”就可以
自由发挥了,随你喜欢叫它“阿猪阿狗.jpg”也好,反正不要漏了".jpg"后缀
这时候又有人跑出来“嘿,你做那么多有什么用呀,不是浪费时间吗?”,别急别急,你看看新生成的“3.jpg”
这个图片,双击打开它,是不是和那张"1.jpg"一模一样,就像同一个“老母”生的一样,然后在“右键”点击
它,选择“打开方式--选择程序--记事本(下拉)”见到记事本以后就双击它打开。这时候你会开到一大堆乱码
你就一直往下拉,拉到最后,你就会发现你可爱的那句话出现了,看图,没骗人,如果看不到就是你操作出错了
居然文本文档能和图片“合体”,那么我们的".rar"压缩包能不能呢?当然可以啦,而且操作和上面的方法也很相似。
在E盘准备一张图片,我这里就不贴图了,还是上面那张(因为是saber),再准备一个压缩包“2.rar”,里面装什么随便你
,多大也随便你(因为这个方法多数不是用来“骗人”,而是用来骗相册服务器的,下面再解释),接下来是重点。又要请出
我们的CMD大神,看操作代码:
===============================================================================
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>e:
E:\>copy 1.jpg /b 2.rar 3.jpg
命令语法不正确。
E:\>copy 1.jpg /b + 2.rar 3.jpg
1.jpg
2.rar
已复制 1 个文件。
E:\>
===================================================================================
操作载图
语法上和上一个方法很相似,所以我就不解析了。双击打开新生成的“3.jpg”,可以正常打开,也是和“1.jpg”一样的说
然后我们把它后缀改了“rar”看看,也能打开,而且里面的内容和“2.rar”的一样,和明显,它们“结合”了。为什么我
上面说这个方法是用来骗服务器的呢,我们都知道网易提供无限量的图片空间,我们哪用得完,所以用这个方法就可以
把它当成网盘来用了,骗过服务器来存在我们的文件,呵呵。。。。
最后一中方法了,也是我觉得最强大的,因为它好像可以使任意文件“结合”这个结合并非上面的“结合",准确的说
应该是一个”粘“在另一个上。这个比较”专业“我就不自己写了,在网上找了个权威人士”lake2“的来给大家看看,希望
大家能看懂。
==============================lake2=============================================
1、前言
交换数据流(alternate data streams,以下简称ADS)也不是什么新东西,但用户和管理员对它的认识知之甚少,本文将结合前人的资料对ADS做一番探讨。如有错误,还望高手赐教。
2、概念
先来看看微软对多文件流的解释:
在 NTFS 文件系统下,每个文件都可以有多个数据流。值得一提的是,流不是 NTFS 2000 的功能,但是从 Windows NT 3.1 开始流已存在。当在非 NTFS 卷(如 Windows 98 计算机的磁盘分区)下读取文件内容时,只能访问一个数据流。因此,您会觉得它是该文件真正的且"唯一"的内容。这样的主流没有名称,并且是非 NTFS 文件系统可以处理的唯一一个流。但是当在 NTFS 卷上创建文件时,事情可能不一样。参看图 1 了解此重要概念。
【图1】
网管下载dl.bitscn.com
ADS是NTFS文件系统特有的性质,也就是前面说的多数据流文件除了主流之外的流,但基于API的Win32却不能很好的支持ADS。例如我们 可以把一个文件以流的形式附加到另一个文件(载体)中,但是对于Windows资源管理器来说载体文件没有发生任何变化(包括其大小、修改时间等)。由此 将会产生一系列问题。
下面就让我们来看看ADS的一些性质及应用吧。
3、性质和应用
3.1 创建
创建ADS很简单,语法是<载体文件名>:
看个命令行下面的例子:echo This is lake2's stream > a.txt:stream.txt
通过上面的例子我们就很简单的创建了一个ADS,它在windows下并不可见,不信你可以用资源管理器或者dir命令看看a.txt文件的大小是不是 0。打开a.txt,可是里面什么内容都没有。当然没有内容,这里ADS是a.txt:stream.txt,内容应该在这个文件里。注意,这里用 type命令并不能显示文件a.txt:stream.txt,但是记事本却可以。还是在命令行下输入notepad a.txt:stream.txt,呵呵,看到"This is lake2's stream"了吧。现在我们用记事本打开a.txt随便修改内容,这并不会影响到流的内容;同样,对a.txt:stream.txt的修改也不会影响 到载体文件a.txt。
中国网管联盟bitsCN.com
3.2 删除
删除ADS最为简单,直接删载体文件就是;但是如果只想删ADS而保留载体文件的话最简单的办法就是把载体文件拉到非NTFS分区去走一趟。因为ADS是NTFS的"专利",离开了NTFS文件系统ADS也就烟消云散了。
如果你只想在NTFS分区删除ADS的话,可以用下面这个批处理:
type a.txt > a.txt.bak
rem type不能支持ADS,所以拿它来备份载体
del a.txt
rem 删除载体及ADS
ren a.txt.bak a.txt
rem 恢复载体文件
3.3 检测与提取
关于ADS的检测涉及到API编程了,呵呵,这方面我还在努力学习,这里就抄微软的话:"Win32 备份 API 函数(BackupRead、BackupWrite 等)可用于枚举文件中的流"。
不过好在已经有检测ADS的软件了,下面几个软件都可以检测:
LADS (List Alternate Data Streams) - http://www.heysoft.de/nt/ntfs-ads.htm
Streams v1.1 (Sysinternals) - http://www.sysinternals.com/ntw2k/source/misc.shtml
NT Objectives Forensic Toolkit (sfind.exe) -(http://www.ntobjectives.com/)
要提取ADS必须要第三方工具,NTRootKit工具包里的cp可以做到(cp也可以用于创建流);NTRootKit工具包我一直没有找 到,google上一搜全是那个NTRootKit后门,只好自己用C写了一个。这也不会要求你是编程高手,C语言里的文件函数完全可以支持ADS的创 建、删除、提取,只需把ADS当成一个文件来处理就是了。
网管下载dl.bitscn.com
3.4 保存与传输
前面说了,ADS在非NTFS分区就会丢失,那么说来在非NTFS分区就无法保存ADS了吗?直接保存没有办法,我们可以间接保存啊。呵呵,这样需要借助 一个软件,你也应该有的,它就是WinRAR。对含有ADS的文件加压时,找到高级选项,那里有一个"保存文件流数据",打上勾(图2),呵呵,你就可以 把ADS压缩到rar文件里了。这个rar文件可以保存到非NTFS分区的——注意啊,是保存,不能解压出来的。
【图2】
如果要传输ADS,最好是用资源管理器打开对方的共享再复制粘贴;如果你想用其他方式传输的话大概就只能传输包含ADS的rar文件了。
3.5 信息隐藏
要保密信息,传统的做法是加密。虽然加密后信息内容变成了无法直接读出的密文,不过也等于告诉人家这是秘密,就不安全了;但是如果我把信息藏起来让你找不着不就ok了吗,所以一种叫做"信息隐藏"的技术就被提出来了。 中国网管联盟bitsCN.com
古装戏里常常有隐写术,就是一张白纸在平时就是一张普通的白纸,但在特殊的作用下预先写好的字就会显示出来。用这个来比喻信息隐藏是最为恰当的了。信息隐 藏是目前信息安全研究的热门领域,实现方法也很多,最流行的大概就是以bmp图像文件为载体,通过替换文件每个字节无关紧要的最低的一位来实现的。
呵呵,不过有一种实现简单的信息隐藏技术就在我们眼前。对,就是利用ADS!既然Windows不能很好的察觉ADS,那么我们就可以把要保密的文件以 ADS方式保存。不过这里提醒一下,利用ADS实现信息隐藏的安全性不是很高,不过也不是很低——我想应该没有人没事就花大量时间用lads.exe检测 着玩吧。
另外,大多数杀毒软件并不能检测ADS,所以我们可以利用流让杀毒软件pass后门。例:type nc.exe > a.txt:nc.exe
原文件nc.exe会被金山毒霸查出来,处理之后尽管a.txt:nc.exe内容与nc.exe完全一样,但并不会被金山毒霸发现。
3.6 运行
前面说了可利用ADS让后门躲避杀毒软件,但如果不能运行的话还不是没用。那怎么运行呢?
命令行下面直接运行a.txt:nc.exe是不行的,应该用start命令。关于这个命令的详细用法你自己打help start看看吧。
网管u家u.bitsCN.com
start命令运行可执行的ADS时要用绝对路径或者当前路径用./加文件名。看例子:start ./a.txt:nc.exe or start c:\a.txt:nc.exe
在Win2000下查看进程只能看到载体文件,而XP下则可以发现整个ADS。图3是在XP下用tlist的截图。
【图3】
3.7 与IIS相关
在IIS中访问ADS会有一些有趣的事情发生,这个参见我的另一篇Blog《交换数据流(ADS)与IIS的前世与今生》(http://blog.csdn.net/lake2/archive/2005/01/26/269659.aspx)。
4.附言
谢谢你看完我的文章 :)
5.参考文章
bigworm翻译,《NTFS不利的一面》(http://www.xfocus.net/articles/200212/466.html)
xundi,《关于NTFS文件系统中的数据流问题》(http://www.xfocus.net/articles/200103/81.html)
H. Carvey,《The Dark Side of NTFS》(http://patriot.net/~carvdawg/docs/dark_side.html)
网管有家bitscn.net
Damon Martin,《Windows, NTFS and Alternate Data Streams》(http://www.giac.org/practical/gsec/Damon_Martin_GSEC.pdf)
《NTFS Streams - Everything you need to know》(http://www.diamondcs.com.au/index.php?page=archive&id=ntfs-streams)
