Прячем файл в Windows

27 мая 2007

Как спрятать файл в Windows Хочется спрятать свой файл так, чтобы его никто и никогда не нашёл ? Легко.

В операционной системе Windows (только на файловой системе NTFS) реализована работа с так называемыми альтернативными потоками данных – ADS (Alternative Data Streams). Такие потоки можно создавать не только внутри любого файла в NTFS, но и даже в каталоге, при этом данные сохраненные в потоках будут абсолютно невидимы в системе, хотя и будут уменьшать общее место на диске.

Пример копирования любого файла в альтернативный поток другого существующего файла:

C:>type bigfile.exe >> bar.txt:bigfile.exe

В результате выполнения данной команды файл bigfile.exe будет прикреплен к bar.txt в качестве потока. В системе файла bigfile.exe не будет видно, а запустить его прямо из потока можно такой командой:

C:>start c:\bar.txt:bigfile.exe

Похоже, это настоящая находка для авторов стелс-программ и вирусов, потому что штатными средствами Windows определить наличие альтернативных потоков в системе невозможно. Для этого нужны сторонние утилиты, например ads_cat, которая может не только обнаруживать, но и удалять альтернативные потоки.

О том, как сделать такое же под Linux, и где можно получить более подробную информацию про ADS, читайте в источнике этой информации – блоге Sklyaroff.ru .

monIToringe

Написано 29 мая 2007 года в 12:31

На до же… Никогда не знал об этом, а ведь так всё просто. Странно, что эта технология не используется повсеместно.

Жилинcкий Владимир .

Написано 29 мая 2007 года в 12:33

Вот тут товарищи подсказывают, что AVP уже давно сечёт эту фишку, так что вирусмейкеры в пролёте =)

Mikhail M. Pigulsky .

Написано 30 мая 2007 года в 17:49

Возник вопрос, а вернуть из потока этот файл возможно?

Жилинcкий Владимир .

Написано 30 мая 2007 года в 20:25

Легко.
В нашем примере это будет

more < bar.txt:bigfile.exe > bigfile.exe

Жилинcкий Владимир .

Написано 30 мая 2007 года в 20:26

Подробности тут:

http://msdn.microsoft.com/library/en-us/dnfiles/html/ntfs5.asp
http://support.microsoft.com/?kbid=105763
http://www.heysoft.de/nt/ntfs-ads.htm

Ваня .

Написано 5 июня 2007 года в 15:32

Классная штука для тех кто не хочет палить свои файлы!!!

Andrew

Написано 11 июня 2007 года в 22:02

Забавная штуковина!

Saint .

Написано 20 декабря 2007 года в 11:56

:) ага, главное потом вспомнить какой файл куда прикрепиил! :)

6yHT

Написано 18 февраля 2008 года в 15:07

чет ничего не получилось. расскажите плиз подробней..

Жилинcкий Владимир .

Написано 18 февраля 2008 года в 15:08

А что именно не получается ?

Tristan

Написано 27 февраля 2008 года в 13:13

вопрос такой !!! А при запуске данного текстового файла прикрепленный к ниму exe файл тоже запускается????

Жилинcкий Владимир .

Написано 27 февраля 2008 года в 13:16

Нет.

Tristan

Написано 5 марта 2008 года в 16:36

Еще вопрос! Почему то при вытаскивании, например, из txt exe командой more bigfile.exe вытащенный экзешник категорически не хочет работать.Причины этого не подскажите ???

Жилинcкий Владимир .

Написано 5 марта 2008 года в 16:38

Не знаю, надо смотреть, отлаживать. Возможно, он пакуется как текстовый файл, а не как бинарный и поэтому бьётся. изучите официальные данные из мануала по NTFS.

Сергей

Написано 17 мая 2008 года в 15:39

а как удалить файл находящийся в ADS другого файла?

Прячем файл в Windows | Миша.Мчедлишвили

Написано 18 мая 2008 года в 11:38

[...] свой файл так, чтобы его никто и никогда не нашёл ? Легко. Опубликовано в [...]

	Name (required)
	Mail (will not be published) (required)
	Сайт (OpenID включен)


	RSS-лента
	1999 читателей

Читать в Google Читать в Yandex Получать на Email Читать в LiveJournal Верстка Подкаст ТиЦ Яндекс блог взлом даты домены книги конкурсы мысли обновления полезно развитие разработка семинары сервисы софт ссылки тестирование хостинг юмор BlogcampCEE2008 Chaos Constructions CMS CSS FeedBurner Fidonet FireFox Google HighLoad iCamp ICQ Jabber Linux MySQL OpenID Opera PHP PR RSS SEO UTF WordPress XML

Прячем файл в Windows

Оставить комментарий: