Alternatív fájlstream ntfs

Megragadta a másik NT-rendszer és a telepítéskor a házi kém szoftver, meg kell oldani a problémát tárolásának az összegyűjtött információkat egy áldozat számítógépén. Normális esetben a naplót, hogy egy sima fájlt egy könyvtárba, sok kép, például a system32 mappában.

Ez egy gyakori, de nem a legjobb módja annak, hogy elrejtse információt a helyi számítógépen. Van esély arra, hogy a felhasználó értesítést kap egyszerre, folyamatosan frissített fájl hirtelen megjelent a szervezetében könyvtárban. Hozzáfűzése meglévő naplófájl? Először meg kell találni a fájlt hozzá az információ, amely nem rontja el a tartalmát. Mit szólnál, hogy mentse a régi olyan helyen, ami nem látható, akár az Explorer vagy a parancssorból vagy bármilyen fájlkezelő? Ez ad nekünk arra, hogy az NTFS fájlrendszer. A hagyományos otthoni personalke ez ritkán találni, mivel a legtöbb felhasználó még inkább FAT32, még azok is, akik ülnek XP alatt. De a helyi hálózaton egy cég alatt működő Win2k / XP, a legvalószínűbb NTFS, mivel ez a fájl rendszer képességeit, mint hozzárendelése felhasználói hozzáférési jogosultságokat, titkosítási és tömörítési. Ezen túlmenően, az NTFS sokkal biztonságosabb, mint a FAT32. Ahhoz, hogy a módszer az adatok bujkál, ami fogom leírni, ideális ipari kémkedés. Az Advent a Longhorn, NTFS van esélye, hogy rendezze és vezetni az otthoni számítógépek, mivel az elkövetkező WinFS fájlrendszer alapján NTFS, ígéri a további lehetőségeket szervezni, és információt keresni, amely vonzza a rendszeres használók.

A módszer lényege, hogy tárolja az adatokat nem a fájl, mint rendesen, de az NTFS file stream. Az adatfolyam lehet csatolni egy másik fájl (így annak mérete nem változik, és az adatok sértetlen marad, ami azt jelenti, hogy a közművek, ellenőrző cheksummy fájlokat nem fogja észrevenni a változást), a könyvtár vagy a lemez. Alternatív NTFS file stream - az egyik NTFS funkciók jelen benne, mivel a korai Windows NT verziók. Ez abban a tényben rejlik, hogy egyetlen fájl lehet több folyam adatokat tartalmaz, a felhasználó számára adott csak a fő áramlás, ahol a tartalom a fájl van tárolva. Valami hasonló van a HFS fájlrendszer Macintosh. Van patakok (stream) nevezzük ágak (villa). Egészen a közelmúltig, használták őket, mint a fájl tárolási erőforrások vagy információkat tartalmaznak a fájltípust. Az Advent a MacOS X, Apple javasolta, hogy forrásokat kell elhelyezni külön fájlokba, és fájltípusok meghatározása kiterjesztéseket. De a szerteágazó támogatási továbbra is fennáll. A Windows szálak általánosan használt tárol semmilyen további információt a fájlt. Például egy anyagáram tartalmazhat egy összefoglalót a dokumentumot. Ha a rendszer a meghajtó NTFS, a explorer.exe fájl valószínűleg összefoglalását tartalmazza. Attól függően, hogy a tartalmát a jelentések, a fájl lehet csatolni patakok SummaryInformation nevek, DocumentSummaryInformation és mások. Otthon a számítógép találtam egy patak nevű $ MountMgrRemoteDatabase mellé a C meghajtó

Körülbelül csatolt stream file a felhasználó csak találni néhány esetben, például, amikor egy fájl másolása egy csatolt áramlás egy lemez FAT / FAT32. Ezek a fájlrendszerek nem támogatják őket, így a rendszer kérni fogja, hogy erősítse meg az adatvesztést a patakok, meghatározva a nevüket. Persze, egy ilyen helyzet soha nem fordul elő, ha az áramlás csatlakozik a merevlemez, vagy a rendszer mappát. Választható használat szálak kémkedés céljából. Ha a fejlesztő shareware programok, akkor használhatja a jól patakok információkat tárolni regisztráció, a napok száma a lejárat előtt a használati időt, egyszóval minden, ami kell rejtve maradnak a felhasználó a prog.

Az algoritmus alkalmazásán alapul BackupRead funkciót. Úgy tervezték, hogy backup fájlokat. Ha egy biztonsági másolatot a fájl, fontos, hogy mentse a lehető legtöbb adatot, beleértve az fájladatfolyam. Információ venni a WIN32_STREAM_ID szerkezetét. Onnan lehet kapni a nevét a patak, típusát és méretét. Elég csak BACKUP_ALTERNATE_DATA típusú forgalmat. Minden funkció és struktúrák leírása a header file winnt.h. Először meg kell nyitnia egy fájlt olvasásra használatával CreateFile. A paramétert meg kell adni dwFlagsAndAttributes FILE_FLAG_BACKUP_SEMANTICS zászló, amely megnyitja nemcsak fájlokat, hanem a könyvtárakat. Akkor fuss egy while, amely beolvassa az üggyel kapcsolatos információk a szerkezet sid, ahonnan kapunk információt minden patak. Mielőtt a következő ciklusban tisztítására csatorna felépítését, és mozgassa a fájl pointer a következő szabályozásán keresztül BackupSeek funkciót. Miután minden patakok találhatók, tisztítsa meg a lpContext tartalmazó védett információkat, és zárja be a fájlt. A program forráskód 2. kódrészlet már összeállított egy programot, amit megtehetsz a meghajtót. Streaming nem szükséges, hogy írjon egy különleges program. Valamit lehet tenni közvetlenül a parancssorból. Néhány példa látható a süllyesztés.

Csatolása információáramlás semmit, mielőtt annak tartalmát a nehezen elérhető anélkül, hogy ismernék a nevét. Ha az áramlás csatlakozik a logikai kötet, Windows nem szabványos eszközök érzékelni. Mivel a nevét a patak tartalmazhat karaktereket, amelyek nem érvényesek a nevét a közönséges fájl, ez teremt további nehézségeket próbálják megtanulni a tartalmát a patak, a parancssor segítségével. Tartalmi összefoglalók a dokumentum jellemzően tárolják nevű patak, amely tartalmazza a kódot szimbólum 0x05. Ez a jel lehet tipizálni a konzolon (Ctrl + E), de ha ez volt a szimbóluma 0x10 vagy 0x13 (kocsi vissza és soremelés), majd tárcsázza azokat lehetetlen lenne. Elméletileg, akkor megtudjuk, véletlenszerűen kapcsolódnak folyamok segítségével néhány szoftver, amely valószínűleg a számítógépen. A WinRAR egy lehetőség. és ha benne van, akkor előfordulhat, hogy akkora, mint egy kis fájlt helyezzük az archívumban, nem csak nem csökken, hanem még növeli is (annak a ténynek köszönhető, hogy az adatáramlás is elhelyezett az archívumban). Ez felkelti a gyanút. A program nyomon követésére hozzáfér a fájlrendszer - FileMonitor ugyanabból Sysinternals - nem tesz különbséget a hívásokat a fájl vagy patak. Ennek megfelelően, alapos vizsgálata a log lemez fér gyanús programot (a keylogger), és megadja a nevét a patak, ahol a naplót, és a fájl nevét, amelyhez kapcsolódik.

Létrehozása stream file:
típusú nul> fájlnév.txt: Patak

Entry Feed:
echo „Valami” >> fájlnév.txt: Patak

Reading áramlási:
több

Úgy véljük, hogy az áramlás lehet eltávolítani csak a fájlt, amelyhez kapcsolódik. Ez nem így van. Ha tudja a nevét a patak, akkor mindig távolítsa el alapfelszereltség DeleteFile.

1. lista Példa létre áramlás.

2. lista X-Stream: A program megjeleníti a vízfolyások

A téma az fájladatfolyam is a következő:

Kapcsolódó cikkek

• Alternatív adatfolyamok ntfs vagy létrehozását titkos fájlokat Windows operációs rendszer

• Ntfs alternatív források, vagy a létrehozandó titkos fájlokat, amelynek létezését az első pillantásra,

• Alternatív adatfolyamok