关于数据流文件的一些信息

关于数据流文件的一些信息

又是一篇关于Windows，NTFS和cmd的帖子哈~貌似本板块可以改名为中国cmd联盟了~嘻嘻~废话不多说，进入正题你用过卡巴斯基么?是不是每次复制文

件都会显示这个：screen.width*0.7){this.resized=true；

this.width=screen.width*0.7；this.alt='Click here to open new

window'；}"哈哈，这个就是今天我们要讨论的话题：NTFS数据流。NTFS分区

的数据流是一个子文件系统允许额外的数据连接到一个特别的文件中，现在的FAT文件系统格式是不支持数据流格式的。简单点说就是给在NTFS分区格式的

文件添加了一个标记。除了上面举的卡巴斯基的例子，在WinRAR添加压缩文件时，在高级选项中就有"保存文件数据流"的选项。再看看卡巴斯基对NTFS数据流干了些什么，Kaspersky把文件的验证指纹信息保存到NTFS数据流里面，如

果病毒/木马修改了这个文件，Kaspersky就会很快发现文件校检有误，这就是

为什么Kaspersky安装完毕要必须"全盘检查"一次，这样可以大幅度加快以后

的病毒检查速度！那么，怎样添加NTFS数据流呢?这就和cmd有关了CODE：[Copy to clipboard]dir C：1.txt看看1.txt里的内容，记住哦~然后CODE：[Copy to clipboard]dir c：2.txt：stream.txt怎么样，糊涂了吧~先看看

2.txt的属性：0 Bytes，打开2.txt看看有什么?什么都没了~然后在输入：CODE：[Copy to clipboard]notepad 2.txt：stream.txt看看，出来什么了?

惊讶吧~其实每个文件都可以有多个流的，用这个NTFS的特性我们可以隐藏文

件哦~而且，还可以，隐藏木马^_^实际上,流还可以不依赖于文件,下面的命令

也是合法的(先不要试,否则可能会有点麻烦)：CODE：[Copy to clipboard]dir e：：stream.txt这是把流绑到了文件夹上，这种流就更隐蔽了，一般情况下

要想删除流只有将其宿主删除，如果你执行了刚才的命令，并且是在根文件夹

上执行的，如果你想删除它,那就恭喜你要格盘了：)，不过有现成的工具可以

使用的，这个就是：Streams v1.53 Reveal NTFS alternate streams这么样，又是sysinternal的作品哦~我要说的就说完了，下面是网上收集的关于NTFS

流的资料了Quote：NTFS上的交换数据流NTFS上的交换数据流转载：来源不详--目录--1、前言2、概念3、性质和应用-3.1创建-3.2删除-3.3检测与提取-3.4保存与传输-3.5文件隐藏-3.6运行-3.7与IIS相关4、附言5、参考文章--1、前言交换数据流(alternate data streams，以下简称ADS)也不是什么新

东西，但用户和管理员对它的认识知之甚少，本文将结合前人的资料对ADS做

一番探讨。如有错误，还望高手赐教。2、概念先来看看微软对多文件流的解释：在NTFS文件系统下，每个文件都可以有多个数据流。值得一提的是，流不是NTFS 2000的功能，但是从Windows NT 3.1开始流已存在。当在非NTFS卷(如Windows 98计算机的磁盘分区)下读取文件内容时，只能访问一个数据流。因此，您会觉得它是该文件真正的且"唯一"的内容。这样的主流没有名称，并且

是非NTFS文件系统可以处理的唯一一个流。但是当在NTFS卷上创建文件时，

事情可能不一样。参看图1了解此重要概念。ADS是NTFS文件系统特有的性质，也就是前面说的多数据流文件除了主流之外的流，但基于API的Win32却不能

很好的支持ADS。例如我们可以把一个文件以流的形式附加到另一个文件(载体)中，但是对于Windows资源管理器来说载体文件没有发生任何变化(包括其大小、修改时间等)。由此将会产生一系列问题。下面就让我们来看看ADS的一些性质及应用吧。3、性质和应用3.1创建创建ADS很简单，语法是载体文件名：看个命令行下面的例子：echo This is lake2's stream a.txt：stream.txt通过

上面的例子我们就很简单的创建了一个ADS，它在windows下并不可见，不信

你可以用资源管理器或者dir命令看看a.txt文件的大小是不是0。打开a.txt，可是里面什么内容都没有。当然没有内容，这里ADS是a.txt：stream.txt，

内容应该在这个文件里。注意，这里用type命令并不能显示文件a.txt：stream.txt，但是记事本却可以。还是在命令行下输入notepad a.txt：stream.txt，呵呵，看到"This is lake2's stream"了吧。现在我们用记事本

打开a.txt随便修改内容，这并不会影响到流的内容；同样，对a.txt：stream.txt的修改也不会影响到载体文件a.txt。3.2删除删除ADS最为简单，直接删载体文件就是；但是如果只想删ADS而保留载体文件的话最简单的办法

就是把载体文件拉到非NTFS分区去走一趟。因为ADS是NTFS的"专利"，离开

了NTFS文件系统ADS也就烟消云散了。如果你只想在NTFS分区删除ADS的话，可以用下面这个批处理：type a.txt a.txt.bak rem type不能支持ADS，所以拿它来备份载体del a.txt rem删除载体及ADS ren a.txt.bak a.txt rem恢

复载体文件3.3检测与提取关于ADS的检测涉及到API编程了，呵呵，这方面

我还在努力学习，这里就抄微软的话："Win32备份API函数(BackupRead、BackupWrite等)可用于枚举文件中的流"。不过好在已经有检测ADS的软件了，下面几个软件都可以检测：LADS(List Alternate Data Streams)-Streams

v1.1(Sysinternals)-NT Objectives Forensic Toolkit(sfind.exe)-(要提取