11 10 2012

NTFS文件流(ADS)利用
１，隐藏信息
1.在任一NTFS分区下打开CMD命令提示符，输入echo abcde>>a.txt:b.txt，则在当前目录下会生成一个名为a.txt的文件，但文件的大小为
　　　0字节，打开后也无任何内容，只有输入命令：notepad a.txt:b.txt 才能看见写入的abcde
　　2.在上边的命令中，a.txt可以不存在，也可以是某个已存的文件，文件格式无所谓，无论是.txt还是.jpg|.exe|.asp都行；
　　　b.txt也可以任意指定文件名以及后缀名。（可以将任意文本信息隐藏于任意文件中，只要不泄露冒号后的虚拟文件名(即b.txt)，
　　　别人是根本不会查看到隐藏信息的）
　　3.包含隐藏信息的文件仍然可以继续隐藏其它的内容，对比上例，我们仍然可以使用命令echo 12345>>a.txt:c.txt　给a.txt建立新的
隐藏信息的流文件，使用命令notepad a.txt:c.txt　打开后会发现12345这段信息，而abcde仍然存在于a.txt:b.txt中丝毫不受影响。
—————————————————————————————————————————–
２，隐藏文件
　　1.与上面大同小异，命令格式为type 文件名+后缀>>任意文件:任意文件名+原文件后缀，
　　　比如：type 1.jpg>>2.abc:2.jpg
　　　就是将1.jpg的内容写入到2.abc:2.jpg这个流文件中，2.abc可以随便换，最好是使用正常的文件，这样隐蔽性更强。
　　2.打开隐藏文件时注意，如果使用系统自带的，直接输入程序名就可以了，例如用画图工具打开2.abc:2.jpg是mspaint 2.abc:2.jpg
　　　使用第三方软件打开的话则需要完整路径，例如用ACDSee9打开2.abc:2.jpg是D:\ACDSee9\ACDsee9.exe C:\2.abc:2.jpg
　　注意：同样道理，其他文件也可以这样隐藏，只要打开时根据后缀名找对应的程序就行了，而且也可以像隐藏信息那样隐藏多个文件。
　　　　　画图工具：mspaint
　　　　　可执行程序exe：start
３，隐藏木马
　　1.与隐藏文件同理，type muma.exe>>2.jpg:muma.exe，将muma.exe写入到2.jpg:muma.exe这个流文件中，
　　　打开的时候则：start 流文件绝对路径，上例是：start c:\2.jpg:muma.exe　；
　　　不然会提示参数不正确。
—————————————————————————————————————————–
注意事项：
　　1.流文件不能直接通过网络传输，必须使用WinRAR在压缩时勾上高级选项中“保存文件流数据”才行。
　　2.制作好的流文件大小跟原文件是一样的，只在压缩后才包含隐藏文件的大小，说明NTFS文件流仍然会占用磁盘空间。
　　3.流文件只能在NTFS分区储存和运行(压缩“保存文件流数据”也可储存到FAT32，但解压出来的文件依然是丢失了数据流的文件)，一旦放　　　到其它的文件系统中，即使再放回来，NTFS数据流也会丢失。

NTFS文件流

clamav过期处理方法 解决Apache日志文件ACCESS.LOG膨胀