Прячем файл в Windows

27 мая 2007

Как спрятать файл в WindowsХочется спрятать свой файл так, чтобы его никто и никогда не нашёл ? Легко.

В операционной системе Windows (только на файловой системе NTFS) реализована работа с так называемыми альтернативными потоками данных — ADS (Alternative Data Streams). Такие потоки можно создавать не только внутри любого файла в NTFS, но и даже в каталоге, при этом данные сохраненные в потоках будут абсолютно невидимы в системе, хотя и будут уменьшать общее место на диске.

Пример копирования любого файла в альтернативный поток другого существующего файла:

C:>type bigfile.exe >> bar.txt:bigfile.exe

В результате выполнения данной команды файл bigfile.exe будет прикреплен к bar.txt в качестве потока. В системе файла bigfile.exe не будет видно, а запустить его прямо из потока можно такой командой:

C:>start c:\bar.txt:bigfile.exe

Похоже, это настоящая находка для авторов стелс-программ и вирусов, потому что штатными средствами Windows определить наличие альтернативных потоков в системе невозможно. Для этого нужны сторонние утилиты, например ads_cat, которая может не только обнаруживать, но и удалять альтернативные потоки.

О том, как сделать такое же под Linux, и где можно получить более подробную информацию про ADS, читайте в источнике этой информации — блоге Sklyaroff.ru .






 

monIToringe     .

Написано 29 мая 2007 года в 12:31


На до же… Никогда не знал об этом, а ведь так всё просто. Странно, что эта технология не используется повсеместно.

 

Жилинcкий Владимир     .

Написано 29 мая 2007 года в 12:33


Вот тут товарищи подсказывают, что AVP уже давно сечёт эту фишку, так что вирусмейкеры в пролёте =)

 

Mikhail M. Pigulsky     .

Написано 30 мая 2007 года в 17:49


Возник вопрос, а вернуть из потока этот файл возможно?

 

Жилинcкий Владимир     .

Написано 30 мая 2007 года в 20:25


Легко.
В нашем примере это будет

more < bar.txt:bigfile.exe > bigfile.exe

 
 

Ваня     .

Написано 5 июня 2007 года в 15:32


Классная штука для тех кто не хочет палить свои файлы!!!

 

Andrew     .

Написано 11 июня 2007 года в 22:02


Забавная штуковина!

 

Saint     .

Написано 20 декабря 2007 года в 11:56


:) ага, главное потом вспомнить какой файл куда прикрепиил! :)

 

6yHT     .

Написано 18 февраля 2008 года в 15:07


чет ничего не получилось. расскажите плиз подробней..

 

Жилинcкий Владимир     .

Написано 18 февраля 2008 года в 15:08


А что именно не получается ?

 

Tristan     .

Написано 27 февраля 2008 года в 13:13


вопрос такой !!! А при запуске данного текстового файла прикрепленный к ниму exe файл тоже запускается????

 

Жилинcкий Владимир     .

Написано 27 февраля 2008 года в 13:16


Нет.

 

Tristan     .

Написано 5 марта 2008 года в 16:36


Еще вопрос! Почему то при вытаскивании, например, из txt exe командой more bigfile.exe вытащенный экзешник категорически не хочет работать.Причины этого не подскажите ???

 

Жилинcкий Владимир     .

Написано 5 марта 2008 года в 16:38


Не знаю, надо смотреть, отлаживать. Возможно, он пакуется как текстовый файл, а не как бинарный и поэтому бьётся. изучите официальные данные из мануала по NTFS.

 

Сергей     .

Написано 17 мая 2008 года в 15:39


а как удалить файл находящийся в ADS другого файла?

 

Прячем файл в Windows | Миша.Мчедлишвили     .

Написано 18 мая 2008 года в 11:38


[…] свой файл так, чтобы его никто и никогда не нашёл ? Легко. Опубликовано в […]

Оставить комментарий:

You must be logged in to post a comment.

Подпишитесь на RSS!
RSS-лента



BlogcampCEE2008 Chaos Constructions CMS CSS FeedBurner Fidonet FireFox Google iCamp Linux MicroSoft MySQL NevaCamp OpenID Opera PHP PR RSS SEO UTF WordPress XML Браузеры Верстка Закон СПИК ТиЦ Яндекс блог взлом даты домены конкурсы мысли обновления полезно развитие разработка семинары сервисы софт ссылки тестирование хостинг юмор
© 2007-2010 Блог интернет-разработчика, автор — Zhilinsky.ru.
При использовании информации ссылка на источник обязательна.