NTFS备用数据流

最新推荐文章于 2022-10-05 16:22:07 发布

xuqi7

最新推荐文章于 2022-10-05 16:22:07 发布

阅读量689

点赞数

分类专栏：杂

本文链接：https://blog.youkuaiyun.com/xuqi7/article/details/118651923

版权

杂专栏收录该内容

95 篇文章

订阅专栏

NTFS备用数据流

keywords: 交换数据流 ads

NTFS: New Technology File System, Windows默认的文件系统
ADS: Alternate Data Streams, 备用数据流，虽然很多地方都叫交换数据流，但通过dir /?是能看到官方翻译的

NTFS备用数据流可以理解成附在正常文件上的隐藏的文件内容

已知的一个正常用途

在windows上，从网上下载的文件，都会有一个备用数据流，名为：<filename>:Zone.Identifier
该备用数据流会记录下载地址，这个功能也被系统用于判断文件是否从网络下载

假如下载的文件是 hello.txt，则备用数据流名称为：hello.txt:Zone.Identifier
意思就是说，假如我发现hello.txt:Zone.Identifier存在，那同一文件夹下的hello.txt就是从网上下载的

一些操作

命令行

列出文件(包括文件的备用数据流)的命令：

dir /r

使用记事本查看备用数据流(也可以用这种方法创建编辑备用数据流)：

notepad hello.txt:Zone.Identifier

暂时没找到命令行单独删除备用数据流的方法，删除原文件，备用数据流会一起被删除

图形界面

如果不习惯命令行，AlternateStreamView软件可以用来查看和提取备用数据流
用winrar在命令行下也可以提取备用数据流

使用 AlternateStreamView 可以单独把备用数据流删掉

2016/11/12

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

xuqi7

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

文件安全新视角：Windows利用NTFS备用数据流管理下载的文件

will的专栏

03-28

576

这个数据流作为文件的元数据，包含了关键的安全信息，如文件下载的来源、时间戳等。操作系统采用了一种独特的方法来识别和管理从互联网下载的可执行文件，这主要依赖于NTFS文件系统中的一个特性：备用数据流（Alternate Data Streams, ADS）。备用数据流是附加在文件或目录上的额外数据，它们可以包含任何类型的数据，从文本到图像，甚至是可执行文件。：为了防止下载的文件被自动标记，用户可以选择将文件保存到非NTFS文件系统，如FAT或exFAT格式的驱动器上。传输区域ID（ZoneId）的重要性。

NTFS ADS（备用数据流)文件、文件夹的ADS查看与创建

ShenZ的博客

08-03

2818

NTFS ADS（备用数据流) 简介 Alternate Data Stream（ADS）在NTFS中，主数据流指的是文件或目录的标准内容，通常对用户可见，而**备用数据流（ADS）**则隐藏。如果要查看备用数据流，可以使用dir命令的/R选项，或是Windows提供的streams.exe工具，没有可用的API。 ADS没有大小限制且多个数据流可以和一个正常文件关联。ADS的内容也不仅限于text文本数据，基本上只要是二进制格式文件都可以被作为ADS备用流嵌入。使用所有的文件在NTFS中至少

参与评论您还未登录，请先登录后发表或查看评论

关于NTFS文件系统中的数据流问题

ciahi的专栏

03-26

1350

关于NTFS文件系统中的数据流问题[转自安全焦点]xundi@xfocus.org http://www.xfocus.org2000-9-18在NTFS文件系统里存在的数据流形式已经是几年前的事情了，而防病毒供应商没有充分的检查这一方面的文件，这样导致病毒扫描程序发现不了而已代码或者病毒扫描程序本身就会有可能破坏文件系统的文件。NTFS分区的数据流是一个子文件系统允许额外的数据连接到一个特别的文

ntfs 数据流

微笑的撒旦的专栏

07-31

1329

前几天看到了一片关于ntfs数据流的老文章，依此写了一个枚举文件中命名数据流的小软件，现在把源代码贴出来。以下内容为程序代码: // ntfs.cpp : Defines the entry point for the console application.// // 1.0.0.0: First version.// 1.0.0.1: All error info output to std

什么是NTFS数据流

weixin_33827590的博客

09-11

196

NTFS数据流？在介绍NTFS数据流之前，我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定，更安全，功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统，可以在“命令提示符”中输入&amp...

PowerShell操作：探索NTFS备用数据流

我感兴趣的参数是-Stream，它使用户能够读取和写入NTFS备用数据流。如果我们使用以下命令创建文件； $file = " $ env: TEMP \test.txt " Set-Content - Path $file - Value ' Alternate Data Stream Test File ' ...

StreamSuite：NTFS备用数据流的C#命令行工具集

资源摘要信息:"StreamSuite是一个开源的命令行工具集，专门用于处理NTFS文件系统的备用数据流。这些实用程序是用C#语言编写的，目前仅支持Windows 2000和Windows XP操作系统。StreamSuite的主要目的是简化对NTFS文件...

ADSdotNET：用于从.NET语言使用备用数据流的DLL

04-08

总结来说，ADSdotNET是一个方便.NET开发者操作NTFS备用数据流的库，它避免了直接使用P/Invoke调用Win32 API的复杂性，提高了代码的可读性和维护性。提供的二进制和源代码包使得开发者无论是直接使用还是研究学习都...

谈谈NTFS数据流文件

热门推荐

梦涵飞雨de学习专栏

01-20

1万+

1、什么是NTFS数据流文件？要了解NTFS流文件之前，你应该对NTFS文件系统有一定的了解， NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定，更安全，功能也更为强大。这个NTFS数据流文件，也叫Alternate data streams，简称ADS，是NTFS文件系统的一个

浅析NTFS 文件系统数据流安全问题

weixin_33991727的博客

01-07

393

从一个古老的漏洞谈起人们应该还记得1998年中期发现的IIS低版本那臭名昭著的$DATA漏洞，若你对www.hackart.org站点的sheepxxy.asp文件的源代码感兴趣只需要在浏览器中输入 http://www.hackart.org/sheepxxy.asp::$DATA 源代码就出来了！[NETSCAPE将提示下载文件，IE则在窗口中直接打开源代码] 不少人对这个...

fount:使用备用数据流将文件隐藏在其他文件中，而无需跟踪-开源

05-08

使用备用数据流将文件隐藏在其他文件中，而没有任何痕迹。也可以使用提供的命令行工具来恢复文件。

NTFS文件流访问

09-20

NTFS 文件系统下流文件的访问与控制。很好的文档亲测可用。可用于文件的特殊处理。可以用来隐藏文件除非使用专用工具否则无法编辑。

NTFS数据流隐写工具

08-20

ntfsstreamseditor是一款针对ctf中ntfs数据流隐写题型的工具

NTFS文件附加数据流读写类

02-16

摘要：NTFS是Microsoft公司开发的一种有着良好安全性和稳定性的高性能文件系统，NTFS的文件或文件夹中附加多个额外的数据流，但是其访问一直没有很好的解决办法，本文使用VB2003实现NTFS文件附加数据流的读写类，提供.Net框架下NTFS文件附加数据流的完整解决方案。关键词：VB.Net NTFS 数据流 类在项目中选择添加引用->浏览->选择“JWBStreamOP.dll”文件->确定，即可成功引用。 4.1 类的声明： Dim myStreamOP As New ClassJWBStreamOP(“NTFS文件完整路径”) 4.2 属性：该类共有3个只读属性属性名返回值类型备注 FileName String 只读，在成功声明后使用 Ready Boolean 只读，该类可操作时为True Ver String 只读，类版本、版权信息 4.3 方法该类共有6个方法： 4.3.1 OpenNTFSStream(ByVal sStreamName As String) As System.IO.FileStream 打开指定文件（声明时指定）的指定数据流，返回值为指定数据流的FileStream接口。参数列表类型传递方式参数说明 sStreamName String Byval 流文件名 4.3.2 GetNTFSStreamSize(ByVal sStreamName As String) As Long 获取指定数据流的大小，返回实际大小，执行失败返回-1 参数列表类型传递方式参数说明 sStreamName String Byval 流文件名 4.3.3 AddNTFSStream(ByVal toHidName As String, ByRef percentDone As Double) As Boolean 添加附加数据流，返回执行结果。参数列表类型传递方式参数说明 toHidName String ByVal 待添加的文件路径 percentDone Double ByRef 传递一个完成百分比的参数 4.3.4 SaveNTFSStream(ByVal sStreamName As String, ByVal outFileName As String, ByRef percentDone As Double) As Boolean将指定的数据流保存为文件，返回执行结果。参数列表类型传递方式参数说明 sStreamName String ByVal 流文件名 outFileName String ByVal 保存文件路径 percentDone Double ByRef 传递一个完成百分比的参数 4.3.5 ReadNTFSStreamsName() As String() 获取文件的所有附加数据流名称，返回名称数组。 4.3.6 DeleteNTFSStream(ByVal sStreamName As String) As Boolean 删除指定数据流，返回执行结果。参数列表类型传递方式参数说明 sStreamName String Byval 流文件名

关于NTFS数据流ADS的详细介绍

AmrYu的博客

02-02

5174

ADS数据流能否脱离文件单独存在？将一个文件设置为另一个宿主文件的ADS数据流之后，源文件能否删除？

NTFS 数据流隐写学习

Goodric的博客

10-05

2933

NTFS文件系统中存在NTFS数据流文件也被称为 Alternate data streams（ADS），是NTFS磁盘格式的一个特性之一

ntfs数据流的复制

cackeme的专栏

01-07

1992

数据流文件不能使用CopyFile进行复制，但是可以变相使用ReadFile,WriteFile实现。 procedure CopyDataStream(strFileName,strNewFileName:string); var hFile,hNewFile:Cardinal; dwLen,dwRet:DWORD; szBuf:array[0..102400] of

NTFS数据流文件里的_病毒木马_[网帖]

多媒体编程、网络编程、系统编程、网络安全编程、驱动编程

07-19

1888

随着杀毒软件功能的日益强大，木马病毒已经不再局限于设置文件属性来达到隐藏自身的目的。一种更为隐蔽，危害更为巨大的文件隐藏方式正逐渐被木马所利用，通过这种方法，木马可以在系统中“隐形”，甚至躲过绝大多数杀毒软件的查杀，这种方法就是利用NTFS数据流隐藏木马。NTFS数据流本是NTFS文件格式中的一种正常功能，但是却可以被一些木马病毒所利用，而杀毒软件对NTFS数据流文件的检测能力十分薄弱，很多木马病

webshell的NTFS交换数据流文件隐藏及Python脚本查杀

Mi1k7ea

08-05

1919

本文是参考了FreeBuf上的一篇文章然后再学习一遍的~ 通过NTFS交换数据流文件实现文件隐藏：首先创建一个正常的文本文件test.txt，到命令行通过dir命令查看：先使用echo命令吧，就是将相应的字符写入新建的交换数据流文件中，通过echo hello>>test.txt:webshell.php创建交换数据流文件，然后通过dir /r命令查看，不添加/r参数是查看不到的