发布日期:2000-03-31
文章内容:
By Adam, joyadam@263.net
<http://www.nsfocus.com/>
在NT下使用NTFS存取当然是必要的,但是,在这个机制下的还有一种文件鲜为人知的存取格式你熟悉吗?
我叫他文件流(File streams),在微软的站点上几乎找不到相关的资料(也可能是我不会找而已)
我是怎么发现这个东西的呢,呵呵,很偶然的因素
你也可以根据我的方法找到文件流(注意:一定要是NTFS文件系统)
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.
C:/>cd test
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:15 <DIR> .
2000-03-30 18:15 <DIR> ..
2000-03-30 18:15 3 adam.txt
1 个文件 3 字节
2 个目录 788,922,368 可用字节
C:/test>notepad adam.txt:IloveAdam
[这个时候,会提示你创建一个新文件,click yes then 开始输入,然后存盘退出。]
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:15 <DIR> .
2000-03-30 18:15 <DIR> ..
2000-03-30 18:16 3 adam.txt
1 个文件 3 字节
2 个目录 788,922,368 可用字节
通过dir没有发现这个建立的adam.txt:IloveAdam,而且磁盘的空间大小也没有发生变化
你也许会认为刚才什么都没有作,但是请看下面:
C:/test>notepad adam.txt:IloveAdam
【是不是你刚才敲的东西啊?】
如果冒号前面的文件不存在,我直接创建一个文件流呢?
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:21 <DIR> .
2000-03-30 18:21 <DIR> ..
2000-03-30 18:16 3 adam.txt
1 个文件 3 字节
2 个目录 788,922,368 可用字节
C:/test>notepad adamtest:123
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:21 <DIR> .
2000-03-30 18:21 <DIR> ..
2000-03-30 18:16 3 adam.txt
2000-03-30 18:21 0 adamtest
2 个文件 3 字节
2 个目录 789,184,512 可用字节
实际上这个里面已经有了一个文件流adamtest:123
然后我们再来看看如果存在目录以后然后再玩玩文件流
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:29 <DIR> .
2000-03-30 18:29 <DIR> ..
2000-03-30 18:26 <DIR> adam
0 个文件 0 字节
3 个目录 788,922,368 可用字节
C:/test>notepad adam:123
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:29 <DIR> .
2000-03-30 18:29 <DIR> ..
2000-03-30 18:26 <DIR> adam
0 个文件 0 字节
3 个目录 789,184,512 可用字节
哈哈,你现在知道我研究这个东西的目的了吧!
也就是我可以在你的硬盘上建立c:/winnt/system:adam,c:/winnt/system32:adam
而且你永远也找不着!
命令行方式下看不到,资源管理器也看不到
问:能不能放2进制文件呢?
答:你自己去试吧,写病毒、写木马的大哥自己去玩玩吧,其实业也好分析的,因为微软有一个工具,可以实时检测你调用的 dll ,你打开这个monitor,然后一步一步走,你就会发现他怎么做的!
哈哈,写程序我不行,灌水我在行!该怎么玩自己去想吧!有结果可以mail to joyadam@263.net一起探讨探讨!Your Are Welcome!
文章内容:
By Adam, joyadam@263.net
<http://www.nsfocus.com/>
在NT下使用NTFS存取当然是必要的,但是,在这个机制下的还有一种文件鲜为人知的存取格式你熟悉吗?
我叫他文件流(File streams),在微软的站点上几乎找不到相关的资料(也可能是我不会找而已)
我是怎么发现这个东西的呢,呵呵,很偶然的因素
你也可以根据我的方法找到文件流(注意:一定要是NTFS文件系统)
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.
C:/>cd test
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:15 <DIR> .
2000-03-30 18:15 <DIR> ..
2000-03-30 18:15 3 adam.txt
1 个文件 3 字节
2 个目录 788,922,368 可用字节
C:/test>notepad adam.txt:IloveAdam
[这个时候,会提示你创建一个新文件,click yes then 开始输入,然后存盘退出。]
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:15 <DIR> .
2000-03-30 18:15 <DIR> ..
2000-03-30 18:16 3 adam.txt
1 个文件 3 字节
2 个目录 788,922,368 可用字节
通过dir没有发现这个建立的adam.txt:IloveAdam,而且磁盘的空间大小也没有发生变化
你也许会认为刚才什么都没有作,但是请看下面:
C:/test>notepad adam.txt:IloveAdam
【是不是你刚才敲的东西啊?】
如果冒号前面的文件不存在,我直接创建一个文件流呢?
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:21 <DIR> .
2000-03-30 18:21 <DIR> ..
2000-03-30 18:16 3 adam.txt
1 个文件 3 字节
2 个目录 788,922,368 可用字节
C:/test>notepad adamtest:123
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:21 <DIR> .
2000-03-30 18:21 <DIR> ..
2000-03-30 18:16 3 adam.txt
2000-03-30 18:21 0 adamtest
2 个文件 3 字节
2 个目录 789,184,512 可用字节
实际上这个里面已经有了一个文件流adamtest:123
然后我们再来看看如果存在目录以后然后再玩玩文件流
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:29 <DIR> .
2000-03-30 18:29 <DIR> ..
2000-03-30 18:26 <DIR> adam
0 个文件 0 字节
3 个目录 788,922,368 可用字节
C:/test>notepad adam:123
C:/test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2
C:/test 的目录
2000-03-30 18:29 <DIR> .
2000-03-30 18:29 <DIR> ..
2000-03-30 18:26 <DIR> adam
0 个文件 0 字节
3 个目录 789,184,512 可用字节
哈哈,你现在知道我研究这个东西的目的了吧!
也就是我可以在你的硬盘上建立c:/winnt/system:adam,c:/winnt/system32:adam
而且你永远也找不着!
命令行方式下看不到,资源管理器也看不到
问:能不能放2进制文件呢?
答:你自己去试吧,写病毒、写木马的大哥自己去玩玩吧,其实业也好分析的,因为微软有一个工具,可以实时检测你调用的 dll ,你打开这个monitor,然后一步一步走,你就会发现他怎么做的!
哈哈,写程序我不行,灌水我在行!该怎么玩自己去想吧!有结果可以mail to joyadam@263.net一起探讨探讨!Your Are Welcome!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
