Введение
Поддержка альтернативных потоков данных (AltDS) была добавлена в NTFS для совместимости с файловой системой HFS от Macintosh, которая использовала поток ресурсов для хранения иконок и другой информации о файле. Использование AltDS скрыто от пользователя и не доступно обычными средствами. Проводник и другие приложения работают со стандартным потоком и не могут читать данные из альтернативных. С помощью AltDS можно легко скрывать данные, которые не могут быть обнаружены стандартными проверками системы. Эта статья даст основную информацию о работе и определении AltDS.
Создание AltDS
Создать AltDS очень легко. Для этого воспользуемся командной строкой. Для начала создадим базовый файл, к которому будем прикреплять наши потоки.
C:\>echo Just a plan text file>sample.txt
C:\>type sample.txt
Just a plan text file
C:\\>
Далее мы воспользуемся двоеточием в качестве оператора, чтоб указать на то что будем использовать AltDS:
C:\\>echo You can't see me>sample.txt:secret.txt
Для просмотра содержимого можно использовать следующие команды:
C:\ more < sample.txt:secret.txt
или
C:\ notepad sample.txt:secret.txt
Если все работает хорошо то увидите текст: You can't see me, а при открытии из проводника данный текст виден не будет.Также AltDS можно прикрепить не только к файлу, но и к папке. Для этого создадим папку и прицепим к ней какой-нибудь текст:
C:\>md stuff
C:\>cd stuff
C:\stuff>echo Hide stuff in stuff>:hide.txt
C:\stuff>dir
Volume in drive C has no label.
Volume Serial Number is 40CC-B506Directory of C:\stuff
09/28/2004 10:19 AM <dir>.
09/28/2004 10:19 AM </dir><dir>…
0 File(s) 0 bytes2 Dir(s) 12,253,208,576 bytes free
C:\stuff>notepad :hide.txt
Теперь вы знаете, как блокнотом просмотреть и отредактировать прикрепленный AltDS, а так же как прикреплять его к файлам и папкам.
Сокрытие и запуск приложений
Скрыть приложения используя AltDS так же легко, как и тестовые файлы. Для начала снова создадим базовый файл:
C:\WINDOWS>echo Test>test.txt
Далее поместим наше приложение в поток, для примера я использовал notepad.exe:
C:\WINDOWS>type notepad.exe>test.txt:note.exe
Теперь убедимся что в нашем файле все также текст:
C:\WINDOWS>type test.txt
Test
А теперь самое интересное, запустим наше спрятанное приложение:
C:\WINDOWS>start .\test.txt:note.exe
C:\WINDOWS>
Так как данная статья является не полным переводом статьи взятой отсюда, то оформлено как простой топик. Дополнительные приемы можно найти по указанной ссылке.
UPD:
Утилиты по работе с AltDS (список взят из статьи по ссылке выше):
LADS — List Alternate Data Streams by Frank Heyne
www.heysoft.de/Frames/f_sw_la_en.htm
Streams.exe from SysInternals:
www.sysinternals.com/ntw2k/source/misc.shtml#streams
ScanADS command line tool:
www.kodeit.org/products/scanads/default.htm
ADS Spy GUI Scanner:
www.spywareinfo.com/~merijn/downloads.html
Crucial ADS GUI Scanner:
www.crucialsecurity.com/downloads.html
ADS Detector for Explorer:
www.codeproject.com/csharp/CsADSDetectorArticle.asp
Windows ports of Unix tools like CAT:
unxutils.sourceforge.net
UPD2: Программная работа с потоками