Katalógus $ rmmetadata
A Windows 7 és a Windows Vista rendszeren minden NTFS partíciónál rejtett rendszerfájlok találhatók, amelyekhez hozzáférést tilthat a felhasználó. A fájlok nevei a dollár szimbólummal kezdődnek. Ezek maguk az NTFS rendszer működésével kapcsolatosak, a partíciók más fájlrendszerekkel nincsenek. A fájlok célja a "Különleges NTFS fájlok" szövegrész. A Windows Vista és a Windows 7 rendszerben a rejtett rendszerfájlok között megjelentek a $ RmMetadata mappában található fájlok.
Ezek a fájlok az NTFS tranzakciós technológiák támogatására vonatkoznak, amint azt a fájlnevek, például a $ TxfLog (TxF jelenti a Transactional NTFS-t). Egyes programok úgy vélik, hogy ezek a fájlok a számítógépen a rootkit által okozott fertőzés jelei. Valójában csak Windows rendszerfájlok. Lehetnek jelen bármilyen NTFS köteten, amelyet valaha is használtak a Windows Vista és Windows 7 operációs rendszerek alatt.
A Windows 7 rendszerben a C: meghajtó gyökerében található rejtett rendszerfájlok listája így néz ki:
sebezhetőség:
A $ Repair fájl hozzáférési védelmének hiánya a $ könyvtárban Extend \ $ RmMetadata. A rendszerfájl az NTFS tranzakciós támogatás végrehajtására vonatkozik.
alkalmazás:
Az információ rejtett tárolása, amelyet a $ Repair fájl alternatív fájlfolyamaiba helyezhetünk.
Operációs rendszer:
Windows Vista, Windows 7.
Meg kell jegyezni, hogy a listában a normál fájlok mellett további NTFS fájlfolyamok is vannak. Ez a $ BadClus fájl $ Bad streamje, a $ Secure fájl $ SDS streamja, a $ UsnJrnl - $ J és a $ Max két szál. Ezenkívül $ RmMetadata, amely a rejtett $ Extend könyvtár belsejében található, tartalmaz egy $ Repair fájlt egy alternatív streamrel, és $ Tops $ T streamrel a $ TxfLog mappában.
Az érdeklődést a \ $ kiterjesztése \ $ RmMetadata \ $ fájl javítja. Ellentétben az összes többi fájllal, amelyek hozzáférése az ntfs.sys illesztőprogram szintjén blokkolt, ez a fájl olvasható. Vagyis a rendszer nem esküszik arra, hogy megpróbálja elolvasni ezt a fájlt. Hasonlítsa össze például a parancsok végrehajtásának eredményét
Igaz, a $ Repair javítás üres, és semmi sem írható rá, mivel a "fájlmegosztás megsértése" hiba történik. A $ Repair fájl csatolt streamje $ Config. Leolvasható, és a fájloktól eltérően írható.
Az $ Config streamen belül egy sornyi byte 01 00 00 00 01 00 00 00. Lehet írni bármelyik adatait, de ki tudja, hogy ez hogyan befolyásolja a TxF helyességét és az NTFS kötet integritását? A rendszer menetének felülírása helyett saját alternatív szálakat csatolhat a $ Repair fájlhoz. Például a FAR fájlkezelőben nyomja meg a Shift + F4 billentyűt, írja be a C: \ $ Extend \ $ RmMetadata \ $ Repair: MyOwnStream parancsot, és kattintson a Folytatás gombra. A létrehozott MyOwnStream streamben le lehet írni az adatokat. A fájl tartalmát másképp is átmásolhatja az adatfolyamra:
Általában a $ Extend könyvtár tartalmát védeni kell a külső hozzáféréstől. Azonban itt van egy olyan helyzetünk, ahol adatokat tárolhatunk egy védett rendszer mappában, akkor is, ha nem fájlok formájában, hanem NTFS-fájlok formájában. Egy rejtett adattárolóból származik, és mindez hiba miatt egy adott fájlt védett a hozzáféréstől.
Az NTFS-fájlok listájának keresésére és megjelenítésére szolgáló programok nem tudnak megbirkózni a $ Repair fájlból származó szálak felsorolásával. Például a program streams.exe Mark Russinovich nem jeleníti meg azokat:
Ebből következik, hogy nagyon nehéz megmondani, hogy vannak-e rögzített patakok ott vagy sem. Ez segíteni fog, kivéve ha a rootkit detektor, vagy keres a streamek a Linux rendszer.