NTFS不利的一面——ADS流文件
这篇文章是根据H. Carvey的The Dark Side of NTFS (Microsoft’s Scarlet Letter)
翻译的,可以自由转载,但请保持译者和来源以及文章的完整性.
简介:微软的平台不断在增加.公司用的服务器和桌面操作系统运行的一般是winNT和win2000,而家庭用户和学生用的系统一般是winXP.这些平台是很受欢迎的并且被大范围的使用.可是使用这些操作系统的用户和管理员却对NTFS文件系统的某个特性知道的很少,那就是”交换数据流”(alternate data streams).
NTFS因为它的稳定性 强大的功能 以及它所提供的安全性而成为一种更优越的文件系统,NTFS交换数据流(ADSs)是为了和Macintosh的HFS文件系统兼容而设计的,它使用资源派生(resource forks)来维持与文件相关的信息,比如说图标及其他的东西.而微软提供了一种方法通过Windows explorer来创建特殊的ADSs,检测这种特殊的ADSs的必要工具和功能相当缺乏.说来也奇怪,系统一直以来都有允许用户创建ADSs以及在这种流文件中执行隐藏代码的功能和工具.Microsoft KnowledgeBase 中Q101353号文章承认了基于API的win32不能很好的支持ADSs.
这篇文章的目的是详细的介绍ADSs是怎么被创建和利用的,以及隐藏在ADSs中的代码是怎么被执行的.基于不同的系统(NT 2K XP)处理ADSs也是很不同的.
创建ADSs
创建ADSs的语法相对比较简单和直接.比如说创建和文件myfile.txt相关联的ADSs,只需简单的用冒号把文件名和ADSs名分开即可.
D:\ads>echo This is an ADS > myfile.txt:hidden
此外,ADSs还可用另外一个文件的内容来创建.
D:\ads>echo This is a test file > test.txt
D:\ads>type test.txt > myfile.txt:hidden
然后你可以用记事本去检验一下看看,命令如下:
d:\ads>notepad myfile.txt:hidden
可是,用dir命令去看不出任何变化,Windows Explorer也没有任何可用的转换和设置来检测这种新建的ADSs的存在.
此外,ADSs可以被创建以及与目录列表相关联,而不是与一个文件关联.这种特性在文章的后面将会显示出他的重要性,但现在我们介绍怎么创建ADSs以及足够了.
D:\ads>echo This ADS is tied to the directory listing > :hidden
这种类型的ADSs也可以通过type和notepad命令来创建.
ADSs文件的内容并不只限于text(文本)数据,任何二进制信息的流都可以组成一个文件,而且ADS也就是一个文件而已.可执行的东西也能够相当容易的隐藏在ADSs中,看下面的例子:
D:\ads>type c:\winnt\notepad.exe > myfile.txt:np.exe
D:\ads>type c:\winnt\system32\sol.exe > myfile.txt:sol2.exe
同样,像图片文件,声音文件或任何其他的数据流都可以隐藏在ADSs中.
最后,Windows Explorer提供了一种方法来创建特殊的ADSs(RUSS00)
看下图:我们在值那一栏可以填入很多东西
/Article/UploadFiles/200509/20050912231239417.gif
图一
如果某个用户没有写文件的权限,那么他就不能在该文件上添加ADS.
此外,windows 文件保护功能可以防止系统文件被替换,但是他不能阻止有适当权限的用户在这些系统文件上添加ADSs,有个工具System File Checker(sfc.exe)可以检查受保护系统文件是否被覆盖,可是它不能检测ADSs.
检测,查看,利用ADSs
如前所述,微软并没有提供工具来检测ADSs的存在.现在检测ADSs最好的工具是由Frank Heyne写了Lads.exe.这个工具现在的版本是3.10,它是一个命令行工具
看下图:
/Article/UploadFiles/200509/20050912231240799.jpg
图二
从上图我们可以看出lad.exe多有用了,不仅可以显示ADSs的存在,还可以显示ADSs的路径和大小.我们仔细注意和myfile.txt相关联的四个文件,其中三个是以很像扑克里黑桃形状的ASCII开头的,另外一个就是在花括号中有一大串数字和字母的那个文件,这四个文件就是我们用图一所示方法创建的.
既然找到了这些文件,我们应该怎么看文件的内容那?其实notepad就是一个很好的工具,但是这中间还有个陷阱.
比如,以下命令就出现我们不希望的结果
d:\ads>notepad myfile.txt:hidden
执行这个命令时notepad就会问是否创建一个新文件,这个就很奇怪了,因为myfle.txt:hidden我们早就创建了.为了执行的结果是我们所希望的,应该输入下面的命令:
d:\ads>echo This is another ADS > myfile.txt:hidden.txt
d:\ads>notepad myfile.txt:hidden.txt
这样就出现了我们所希望的结果,文件名后增加的扩展名允许用notepad打开ADSs,这种方法也同样适用于其他的ADSs,比如:
d:\ads>notepad myfile.txt:np.exe
ADSs是NTFS文件系统的特征,所以带有ADS的文件如果被移动到其他的文件系统,比如FAT,FAT32或者ext2上,ADS就会被删掉,因为这些文件系统都不支持ADS,如果是在NTFS分区之间移动,ADSs就会被保留下来.
删除ADSs相对简单,用下面的命令即可
d:\ads>type myfile.txt > myfile.bat
d:\ads>del myfile.txt
d:\ads>ren myfile.bat myfile.txt
现在用lads.exe看一下,可以看到所有的ADSs都不见了.
执行ADSs
前面的例子中,我们已经把可执行的代码藏在ADSs中,这个看起来好像没什么用处,除非代码可以自动执行.其实,start命令就可以用来执行这些代码,现在我们再来创建ADSs
d:\ads>type d:\winnt\notepad.exe > myfile.txt:np.exe
但是在2000上执行时会出现错误,这时因为我们提供的路径信息不够
所以,我们应该指明路径,不管时绝对路径还是相对路径.比如,下面的任何一个命令都可以:
d:\ads>start d:\ads\myfile.txt:np.exe
d:\ads>start .\myfile.txt:np.exe
是不是出现了记事本??
当命令执行时进程会出现比较有意思的现象.例如,运行pslist.exe会出现下图情况
/Article/UploadFiles/200509/20050912231241467.jpg
图三
出现的进程名是myfile.txt:
看看任务管理器中的情况:
/Article/UploadFiles/200509/20050912231241203.jpg
图四
再看看下图:
/Article/UploadFiles/200509/20050912231241685.jpg
图五
我们来看看在xp的管理器中进程的情况:
/Article/UploadFiles/200509/20050912231241384.jpg
图六
还有一种可选择的用来执行隐藏文件流的方法,我们来示范一下,先在桌面上创建一个快捷方式,项目位置填入d:\ads\myfile.txt.假设你创建的流文件是sol2.exe(也就是用这个命令type d:\winnt\system32\sol.exe > myfile.txt:sol2.exe),现在我们到创建的快捷方式的属性里修改,让快捷方式指向d:\ads\myfile.txt:sol2.exe,观察一下快捷方式的图标,是不是起了变化?
现在我们双击这个图标,就可以执行这个文件了.看执行后的结果:
/Article/UploadFiles/200509/20050912231241368.jpg
图七
还有一种比较简便的方法是直接在注册表中的run键下添加数据流文件的完整路径:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,下次系统启动时就会自动运行该隐藏文件
在开始的运行框中也可以执行ADSs比如: file:///d:/ads/myfile.txt:sol2.exe
对于使用perl的管理员可用下面的代码执行ADSs
my $file = ’d:\ads\myfile.txt:sol2.exe’;
`$file`;
把文件存为ads.pl,用下面的命令即可执行
d:\perl>ads.pl
其实用windows的WSH也可以执行ADSs:
d:\ads>echo MsgBox "VBS file to test ADSs" > ads.vbs
d:\ads>wScript ads.vbs
d:\ads>type ads.vbs > myfile.txt:ads.vbs
d:\ads>wScript myfile.txt:ads.vbs
或者:
D:\ads>start .\myfile.txt:ads.vbs
总结:
ADSs是NTFS的一个特征,它是为了和HFS兼容而设计的.可是由于比较难于被发觉,所以对于管理员来说是一种危险,现在29A这个组织的Bennie和Ratter已经发布了一种叫做W2K.Stream病毒,这个病毒就是利用ADSs的.
我们并不能以不使用NTFS来作为解决这个问题的办法,因为NTFS在安全性和可靠性方面是有很大作用的.其实,管理员应该对文件和目录正确的使用DACLs(discretionary access control lists),并且经常使用工具比如说lads.exe来扫描他们自己的系统.
文章中有些地方经过我自己的整理,删除了有些无关紧要的内容
如果想看原文可以参http://patriot.net/~carvdawg/docs/dark_side.html.
上面提到的工具链接如下:lads http://www.heysoft.de/nt/lads.zip
pslists: http://www.sysinternals.com/files/pslist.zip
转载于:https://www.cnblogs.com/MaxWoods/archive/2006/05/09/395327.html
NTFS不利的一面——ADS流文件相关推荐
- [转贴]NTFS不利的一面(技术贴)
NTFS不利的一面 创建时间:2002-12-04 文章属性:翻译 文章来源:幻影旅团翻译组 www.3389.net 文章提交: bigworm (netfox207_at_eyou.com) NT ...
- NTFS的交换数据流ADS应用
NTFS的交换数据流ADS应用 NTFS是Windows常用的文件系统格式.该格式支持交换数据流(Alternate Data Streams,缩写ADS)特性.该特性可以让多个文件流使用同一个文件名 ...
- 能综合和仿真但是不能生成bit流文件的解决方法
生成流文件时老是报错: 错误信息: [Drc 23-20] Rule violation (LUTLP-1) Combinatorial Loop - 1 LUT cells form a combi ...
- html与文本文件区别,流文件与文本文件的区别
1.对于字符的输入和输出,文本文件与二进制文件没有区别,但对于数值型的数据,在对文本文件进行I/O 时,要进行格式转换,而二进制文件不需要.如:向文本文件输出 12345 时,由于 12345 是一个 ...
- ffmpeg流文件合并concat
2019独角兽企业重金招聘Python工程师标准>>> 使用ffmpeg的concat可以实现简单的流文件合并功能. 例如: ./ffmpeg -i concat:"out ...
- [转载]无需软件合并多个TS流文件
[转载]无需软件合并多个TS流文件 可以使用以下DOS命令达到目的(即"开始"菜单,"运行",输入 cmd 再按回车): (此处假设你要合并的高清文件位于 E: ...
- php接收流文件,PHP传输文件流及文件流的保存
什么是文件流 在HTTP数据传送过程中,传输一方直接以二进制流方式传送文件内容,这样就形成了一个文件流: 文件流的接收通常涉及到预定义变量函数 $HTTP_RAW_POST_DATA 和 file_g ...
- 讨论下 Java 流文件读写缓存大小设置的问题
2019独角兽企业重金招聘Python工程师标准>>> 我们在 java 里面进行流文件处理的时候,一般会用到缓存,设置缓存的时候一般设置也是 byte[1024]的大小,考虑到现在 ...
- 一文搞定C#关于NPOI类库的使用读写Excel以及io流文件的写出
一文搞定C#关于NPOI类库的使用读写Excel以及io流文件的写出 今天我们使用NPOI类库读写xlsx文件, 最终实现的效果如图所示 从太平洋官网下载相应的类库,大概4~5MB,不要从github ...
最新文章
- [译]Mimic, 轻量级Web Service测试桩
- C#virtual和abstract的区别
- avaya http文件服务器,avaya 通讯服务器配置
- 图书馆可以借到的书目
- 用three.js写一个简单的3D射门游戏
- ENSP配置 实例二 单臂路由配置
- 额度降为0剩下欠款怎么办?
- Wi-Fi 真的安全吗?一行代码就可让周边无线网络全部瘫痪!| 原力计划
- java multiple_Java Math multipleExact()使用方法和实例
- java 16进制与汉字_Java汉字与16进制数相互转换
- 从事IT行业的应该如何学习最高效的休息方式
- 系统更新win10服务器出错,Win10系统Windows Update更新出现0x80080005错误代码怎么办...
- 代码抛出异常后进行事务回滚的两种方式(Spring @Transactional注解)
- vue中手机号码+座机号码、邮箱正则校验规则封装
- HCIE安全笔试-H12-731 V2.0选择题难点解析
- 大数据时代网络安全问题分析
- input.validity
- python使用selenium进行浏览器中途调试的方法
- Excel 中的一些计数及求和的函数
- Python编程之读取Excel csv格式文件内容
热门文章
- python 字符串replace函数_01-Python里字符串的常用操作方法--replace()函数
- 腾讯内部转岗_腾讯微博即将关停,网友:竟然还活着?
- android udt协议,接口和软件包 | Android 开源项目 | Android Open Source Project
- macbook里软件打不开说是没有权限
- Python技术、爬虫、数据分析问题汇总【自用】
- 内部排序比较(Java版)
- SQL Server 内存泄露(memory leak)——游标导致的内存问题
- Windows 编程[20] - 改变菜单项并换行
- Eclipse中的visual editor 獲取和安装
- 【认证课程】NP理论复习之IS-IS