Альтернативные потоки данных в NTFS или как спрятать блокнот

[@CharnaD]

А нельзя ли как-нибудь вывести список скрытых таким образом файлов? а то было дело ко мне один вирус прицепился, его как раз не было видно под виндой. Под досом было видно, и только загрузившись с диска я его смог удалить

[@fuCtor]

Добавил список, взял из оригинальной статьи. Часть из них преимущественно консольные.

[@tenshi]

dir /r

[@ginius]

C:\WINDOWS>dir /r
Недопустимый ключ: «r».

[@pieceofsummer]

Видимо, оттого, что не виста.

[@Leeb]

В полном варианте статьи, ссылка на который приведена автором в самом конце, объясняется команда lads, которая как раз и знимается поиском альтернативных потоков в заданом месте. Это то, что вам нужно, сходите по ссылке.

[@Leeb]

Извиняюсь, конечно не команда, а программа.

[@nshopik]

Можете использовать например RootkitRevealer от sysinternals, многие вирусы отлично этим пользуються как вы уже заметили.

[@Leeb]

Спасибо, про существование потоков был в курсе, но как с ними работать не знал.

[@Morozhko]

ещё один вариант порнуху прятать

[@tenshi]

остаются следы — суммарный объём файлов будет много меньше объёма диска. лучше создать отдельный диск и отмонтировать его.

[@danko]

А в диск менеджере, конечно, его никто не догадается поискать :)

[@tenshi]

есть специально искать — найти можно всё, что угодно %-)

[@pieceofsummer]

И, уходя, вытащить из компьютера, чтобы не запалили :)

[@FilimoniC]

Старо как мир.
Спасибо за список утилит.

[@KRen]

Спасибо, не знал такого. Очень интересно, это сколько же гадостей можно наделать =)

[@pieceofsummer]

Ни одной.
Ну, спрячете что-нибудь, ну и какая в этом гадость? С таким же успехом можно запихнуть куда-нибудь поглубже в обычную папку и тоже никто не найдет, если специально искать не будет.
От некоторых вообще достаточно скрыть простой установкой атрибута «hidden» :)

[@MedVedar]

спасибо

[@bolk]

Зачем делать «type файл > файл»? Есть команда «copy».

[@Plone]

Не «файл > файл», а «файл > поток». Команда copy не умеет работать с потоками (не понимает соответствующего аргумента).

[@bolk]

У меня осталось в памяти, что я как-то копировал с её помощью, может через указание имени устройства.

[@bolk]

У меня осталось в памяти, что я как-то копировал с её помощью, может через указание имени устройства.

[@mikes]

Всё же проводник немного работает с потоками… поместить произвольную информацию в дополнительные потоки конечно он не позволит, но вот всякие комментарии, теги, метки и тп, он как раз сохраняет в дополнительный поток. Так же, проводник предупреждает о потери этих самых потоков, при копировании информации на файловую систему которая не поддерживает потоки (например FAT32, CDFS… )

[@pieceofsummer]

Еще с ними работают браузеры (например, IE) — пишет туда поток Zone.Information, из какой зоны был скачан этот файл.
Если из достаточно небезопасной (интернет), то будет переспрашивать при попытке запуска и в окошке свойств будет соответствующий текст и кнопка «разблокировать».

[@mas]

А я-то всё думал, что это в авире-антивире последний проверенный файл часто остаётся… твоё-моё...:Zone.Identifier. А это вот что! Спасибо.

[@tr0nd]

вы антисемит?

[@myiworm]

хотите поговорить об этом?)

[@debacle]

А можно обыкновенным WinRAR'ом заархивировать в альтернативный поток все что угодно… просто пишешь имя архива, например, такое note.txt:secret — и вуаля… он все запакует в этот поток

[@Goodkat]

в папку не пишет, только в файлы

[@dimka_kravchuk]

Если кому интересно — Крис Касперски писал статью, где давал скелет вируса, работающего с файловыми потоками.

[@kuralesov]

Отличная вещь если хочешь что-то спрятать от чужих глаз! Применяю данный фокус в купе с truecrypt на своей флешке в качестве passkeeper'a.

[@Kela]

Правильная ссылка на тулзу от Sysinternals: technet.microsoft.com/en-us/sysinternals/bb897440.aspx

[@AndryX]

Интерестно, не знал)
Кстати, сразу вопрос — а как удалить то что записал туда? И, если закинул туда файл, как его скопировать обратно?
Пытался выполнить это с PNG картинкой через команду more (more<sample.txt:1.PNG>2.PNG), но картинка становиться на 1 кб больше и больше не открываеться)

[@Calve]

Попробуйте написать так:
more<sample.txt:1.PNG>2.PNG:mystream

[@Shandry]

Cсылка на Streams битая.Вот правильная

[@dei34]

кто-нибудь объяснит, НАФИГА это нужно???

топик-постер дал примеры утилит с помощью которых всё скрытое можно видеть, так что для стеганографии не годится. Кто-нибудь даст хоть какой-нибудь правдоподобный сценарий где эта «фича» может пригодится кому-нибудь кроме писателей троянов и вирусов?

[@mikes]

например антивирус касперского хранит в дополнительном потоке контрольную сумму файла, и если она совпадает с текущей, то файл не проверяется на вирусы (ведь вычисление контрольной суммы занимает меньше времени чем проверка на вирусы), а вся прелесть использования дополнительных потоков в том, что куда бы вы не перемещали файл, контрольная сумма всегда при нём.

можно к каждому файлу дописать свойства… например «категория» и потом в проводнике удобно выстраивать и сортировать файлы не просто по расширению, а по категорями, меткам.

[@dei34]

хмм… значит это кусок infamous WINFS. В Linux похожий функционал обещали в reiser4, но гуру вроде решили что это нагромождение мета-данных не нужно.

[@spiritedflow]

> например антивирус касперского хранит в дополнительном потоке контрольную сумму файла, и если она совпадает с текущей, то файл не проверяется на вирусы

Что мешает вирусу заразить файл и подправить контрольную сумму на новую?

[@mikes]

ну понятно же, что она там не в открытом виде лежит… да и вариантов рыба+md5 никто не отменял :-)

[@spiritedflow]

Что мешает вирусу использовать те же алгоритмы и ту же рыбу+md5 для новой контрольной суммы? Даже если там все шифруется каким-то внутренним паролем или ключем, то весь вопрос в том, когда вирус научится этот ключ находить (он на том же компе!). Первый вирус, который это сделает, станет неуязвимым для касперского… Сдается мне, что-то здесь перепутано.

[@mikes]

ну мы же не знаем полностью всех алгоритмов проверки у касперского.
уверен там реализована достаточна защита.

к тому же фича включается выключается по желанию в настройках, да и в последних версиях появилась такая вещь как «собственная защита» вполне себе препятствие на пути «узнавания» ключа.

[@Plone]

Мешает то, что всего не предусмотришь. Даже зная о такой «фишке» добавлять спец-функционал для работы с потоками файловой системы — достаточно «накладно».

1) Работь это будет только, если стоит касперский.
2) Эффект заключается лишь в том, что файл не всегда будет проверятся повторно. После обновления баз проверка должна быть выполнена в любом случает.
3) Если вирус неизвестный, то лишь есть вероятность, что его поймает эвристика. И тут париться с суммами какого-то касперского смысла почти нет. Ну, проверят файл еще раз — и ладно. Если известный, то скорее он будет пойман раньше, чем у него появится возможность написать что-нибудь в потом.

Так что о неуязвимости тут речь скорее всего не идет. Да и о прецедентах вроде пока не говорили.

[@spiritedflow]

Спасибо за разьяснения. Теперь все стало на свои места :) Опциональная фича, которая не гарантирует «непроверяемость», думаю, действительно того не стоит.

[@dFdx]

Ещё разбираться (автору вируса) в том, как автор одного из антивирусов реализовал проверку чек-суммы? 😁

[@fuCtor]

Если сделано значит кому-то нужно, в коментах выше написано где это используется. Кроме этого винда хранит превьюхи к файлам в потоках файла thumbnails.db (вроде так файл называется). Касперский хранит метаданные о сканированных файлах так же в потоках.

Так же можно там хранить ЛЮБУЮ информацию потеря которой не критична (метаданные, кеш, или различные метки и тп), да даже теже конфигурационные файлы программы можно там хранить.

[@Zharskiy]

сейчас вирусы/трояны друг друга прячут/достают туда/оттуда

[@cnupm]

Забавные фокусы. Вот еще rarjpeg: lurkmore.ru/Rarjpeg

[@romy4]

Использование AltDS скрыто от пользователя и не доступно обычными средствами.
Как по мне, оказывает всё очень открыто.

[@alexxxst]

Касперский антивирус таким способом хэши файлов хранит.
В связи с этим, по моим наблюдениями в 2003-й винде и в ХР невозможно копирование таких файлов по сети (через сетевое окружение), файл сперва копируется до 100%, а потом выдает ошибку и не сохраняется. Вот так… Как только NTFS-поток у файла удаляется — все сразу работает без проблем.