Anda dapat menyembunyikan file apa pun di dalam file lain hanya dengan mengetik:
type sol.exe > container.txt:sol.exe
dan untuk menjalankan file hidden file cukup gunakan:
start c:\hide\container.txt:sol.exe
Tetapi bagian yang gila tentang ini adalah tidak meningkatkan ukuran file (jadi ini benar-benar tersembunyi).
Dan jika Anda menghapus file dengan hal-hal tersembunyi di dalamnya, hal-hal tersembunyi tidak terhapus. Cukup gunakan:
more < container.txt:sol.exe > sol.exe
Mengapa NTFS mengizinkan ini? Sepertinya cara terbaik untuk menyembunyikan virus.
windows
ntfs
virus
alternate-data-stream
Kredns
sumber
sumber
Jawaban:
Ada dua sisi dari pertanyaan ini. Yang pertama adalah mengapa fitur ini ada sama sekali, dan yang kedua adalah mengapa GUI (atau command prompt) tidak membuatnya lebih mudah untuk melihat dan mengelola fitur tersebut.
Itu ada karena berguna. Beberapa platform lain mendukung beberapa aliran data per file. Di Mac, mereka disebut garpu , misalnya. Saya cukup yakin bahwa hal-hal serupa ada di dunia mainframe, tetapi tidak dapat menempatkan jari saya pada contoh eksplisit hari ini.
Pada Windows modern, ini digunakan untuk menyimpan atribut tambahan untuk file. Anda mungkin memperhatikan bahwa kotak Properties yang tersedia dari Windows Explorer memiliki tab Summary yang dalam tampilan Simple (saya di Windows XP, jarak tempuh Anda akan berbeda pada rasa yang lain) termasuk banyak bidang yang berguna seperti Judul, Subjek, Penulis, dan sebagainya. Data itu disimpan dalam aliran alternatif, alih-alih membuat semacam database sisi-mobil untuk menampung semua yang akan dipisahkan dari file dengan terlalu mudah.
Aliran alternatif juga digunakan untuk menahan penanda yang mengatakan file tersebut berasal dari sumber jaringan yang tidak tepercaya yang diterapkan oleh Internet Explorer dan Firefox pada unduhan.
Pertanyaan sulitnya adalah mengapa tidak ada antarmuka pengguna yang lebih baik untuk memperhatikan bahwa aliran ada sama sekali, dan mengapa dimungkinkan untuk menempatkan konten yang dapat dieksekusi di dalamnya dan yang lebih buruk, jalankan nanti. Jika ada bug dan risiko keamanan di sini, ini dia.
Sunting:
Terinspirasi oleh komentar untuk jawaban lain, berikut adalah salah satu cara untuk mengetahui apakah perlindungan anti-virus dan / atau anti-malware Anda mengetahui aliran alternatif.
Dapatkan salinan file tes EICAR . Ini adalah 68 byte teks ASCII yang kebetulan juga merupakan x86 yang dapat dieksekusi. Meskipun sama sekali tidak berbahaya, telah disetujui oleh industri anti-virus untuk dideteksi seolah-olah itu adalah virus nyata. Pencetusnya berpikir bahwa pengujian perangkat lunak AV dengan virus asli akan sedikit seperti menguji alarm kebakaran dengan menyalakan keranjang sampah terbakar ...
File EICAR adalah:
Simpan dengan ekstensi
.COM
dan itu akan dijalankan (kecuali AV Anda memperhatikan) dan cetak salam.Akan informatif untuk menyimpannya dalam aliran data alternatif dan menjalankan pemindaian ...
sumber
Fitur ini diperlukan untuk fitur lintas platform Windows Server: layanan untuk mac.
Ini memungkinkan server windows yang berjalan di NTFS berbagi ke mac melalui AFP. Agar fitur ini berfungsi, sistem file NTFS harus mendukung garpu, dan sejak hari pertama.
Dan sebelum Anda bertanya, apakah fitur ini masih digunakan? Ya itu adalah saya menjalankannya dan digunakan setiap hari di server di klien yang saya dukung.
Masalah keamanan utama muncul ketika orang dan aplikasi lupa atau tidak menyadari bahwa itu ada.
Mungkin harus ada pilihan untuk memasukkan garpu dalam ukuran file total atau menunjukkannya di windows explorer.
sumber
Saya membayangkan salah satu kegunaan utama (bahkan mungkin penggunaan yang dimaksudkan) adalah untuk secara transparan mengizinkan penambahan segala jenis meta-data ke file. Alasan ukuran file tidak berubah adalah dalam skenario ini Anda tidak ingin file terlihat atau berperilaku berbeda jangan sampai aplikasi berasal bergantung pada beberapa aspek dari cara file terlihat.
Saya bisa membayangkan penggunaan yang menarik dalam IDE misalnya, di mana kadang-kadang beberapa file terlibat untuk membentuk satu unit (file kode / file formulir, dll), yang dapat dilampirkan ke file asli dengan cara ini sehingga mereka tidak dapat secara tidak sengaja terpisah.
Saya juga percaya ada perintah untuk menemukan semua 'lampiran' di pohon direktori yang diberikan, sehingga mereka tidak benar-benar tersembunyi. Ini juga akan mengejutkan saya jika pemindai virus yang lebih baik tidak menyadari hal ini dan memeriksa area 'tersembunyi' ini, tetapi Anda dapat memeriksa bahwa dengan sengaja melampirkan file executable yang terinfeksi ke file teks dan melihat apakah itu diambil.
sumber
Berikut adalah artikel yang bagus tentang potensi kerentanan keamanan yang ditimbulkan oleh Alternate Data Streams .
sumber
Pertanyaan bagus, saya tidak benar-benar mengetahui ADS sampai tahun lalu dan saya telah menjadi pengembang Windows selama bertahun-tahun. Saya dapat menjamin bahwa saya tidak sendirian dalam hal ini.
Mengenai bisa memeriksa data alternatif pada file, saya menemukan alat kecil yang berguna yang disebut Lads tersedia dari perangkat lunak Frank Heyne. Itu dapat mendaftar ADS pada semua file dalam direktori yang diberikan, bahkan pada file yang dienkripsi (dan juga dalam subdirektori).
sumber