Vaihtoehtoiset tietovirrat kuinka säästää. Vaihtoehtoiset tietovirrat NTFS:ssä tai muistilehtiön piilottaminen. Vaihtoehtoisten tietovirtojen mielenkiintoisia ominaisuuksia
DIR /B C:\WINDOWS\System32\*.SCR
DIR /B C:\WINDOWS\System32\*.* |ETSI /i ".SCR"
Kuvaile yksityiskohtaisesti kunkin komennon parametrien tarkoitus (muista, että jokaisen komennon kohdalla voit kutsua apua /?-näppäimellä). Huomaa, että samoilla näppäimillä voi olla erilaisia vaikutuksia eri komentoihin.
4.1.8. NTFS*-tiedostovirrat
NTFS-tiedostojärjestelmä tukee tiedostovirtoja - vaihtoehtoisia tietovirtoja. Itse asiassa tiedostovirrat ovat useiden tiedostojen yhdistelmä yhdeksi ryhmäksi, jolla on yksi yhteinen tiedostonimi (jokaisella virralla on oma lisänimi). Ryhmän sisällä on päätietovirta, jonka kanssa useimmat ohjelmat toimivat tiedostona, ja muita nimettyjä virtoja, joita ei näytetä normaalisti. Tiedostojen kopioinnin, siirtämisen, poistamisen jne. aikana NTFS:ssä toiminto suoritetaan koko ryhmälle. Käytettäessä joitain arkistointilaitteita ja kopioitaessa vaihtoehtoisia tietovirtoja sisältäviä tiedostoja FAT-osioon, nämä virrat voivat kadota. Teknisesti vaihtoehtoisia virtoja käytetään täydentämään tiedostoa tiedoilla muuttamatta päävirran sisältöä ja luomatta lisätiedostoja, jotka voivat kadota.
Virustentorjuntaohjelmat käyttävät vaihtoehtoisia tietovirtoja tiedostoa koskevien tietojen tallentamiseen ("sormenjälki", tarkistussumma) havaitakseen tiedostossa ajan mittaan tapahtuvat muutokset. Direct Connect (DC++) -tiedostonjakoasiakkaat voivat tallentaa hajautustuloksia (tarkistussummalaskelmia) suurille tiedostoille, joita käytetään, kun tiedostoa siirretään ja tiivistetään uudelleen, mikä nopeuttaa huomattavasti luettelon päivitystä.
Jatkossa kirjasto-ohjelmat, elokuvakirjastot ja äänikirjastot voivat käyttää vaihtoehtoisia virtoja tallentaakseen yhdessä asiakirjojen kanssa kansivirtoja, ääniraitoja, kuvauksia ja eri kieliä. Vaihtoehtoiset virrat mahdollistavat "salaisten" tietojen liittämisen, mikä on mahdollinen vaara.
Voit tarkastella tietoja virroista käyttämällä STREAMS-komentoa25, NTFS Stream Explorer26 -ohjelmaa, käyttämällä tiedostonhallintalaajennuksia27 Windows 7:ssä, dir /r-komento näyttää luettelon kaikista määritettyjen objektien virroista (voit myös käyttää lisäavaimia komennolla; dir-komento).
Kun tallennat tiedostoja Internetistä, oletusarvoisesti Zone.Identifier 28 -virta lisätään tiedostoon NTFS:ssä, jolla on ini-tiedostomuoto ja joka sisältää yleensä tekstin:
ZoneId-parametri numerolla tarkoittaa vyöhykettä, josta tiedosto saapui tietokoneelle vyöhykkeen numero on otettu suojavyöhykkeen asetuksista (; Ohjauspaneeli/Internet-asetukset(Verkko ja Internet / selaimen ominaisuudet -
Zera )/Turvallisuus-välilehti). Seuraavat arvot ovat sallittuja29: 0 – paikallinen tietokone
1 - intranet (paikallinen verkko, verkkotunnus)
2 – luotettava lähde
3 – Internet
4 – epäluotettava lähde
Jos arvo on 3, järjestelmä antaa varoituksen " Ei voi tarkistaa
repiä kustantaja. Haluatko todella suorittaa tämän ohjelman?"
Viestin alaosassa on valintaruutu " Kysy aina tätä tiedostoa avattaessa", jonka poistaminen poistaa Zone.Identifier-virran. Jos ZoneId sisältää arvon 4, näkyviin tulee varoitus " Näitä tiedostoja ei voi avata. Internet-suojausasetukset estivät sinua avaamasta
25 Streamia (http://technet.microsoft.com/ru-ru/sysinternals/bb897440)
26 NTFS Stream Explorer, ohjelma NTFS-virtojen kanssa työskentelemiseen (http://hex.pp.ua/ntfs-stream-explorer.php)
27 NTFS-tiedoston tiedot
(http://forum.farmanager.com/viewtopic.php?t=2050)
28 Voit estää tiedostojen estävän säikeen luomisen paikallisessa ryhmäkäytäntöeditorissa (gpedit.msc):Käyttäjän asetukset
/ Hallintamallit / Windows-komponentit / Liitteiden hallinta / Poista tiedot liitteiden alkuperävyöhykkeestä.
29 Zone.Identifier-virta (http://hex.pp.ua/Zone.Identifier.php)
yksi tai useampi tiedosto" ja tiedostojen avaaminen on estetty. Kun avaat Internetistä vastaanotetun tiedoston Ominaisuudet-ikkunan Explorerissa, Kumoa esto -painike tulee näkyviin Yleiset-välilehden alaosaan ja
"Varoitus: Tämä tiedosto tuli toisesta tietokoneesta ja se on saatettu estää tietokoneesi suojaamiseksi" ", napin painallus Poista esto poistaa Zone.Identifier-virran.
Lataa Internet-selaimella STREAMS.zip-tiedosto (voit ladata minkä tahansa pienen tiedoston määrittämällä sen nimen alla olevaan komentoon), tallenna se F:-aseman juurikansioon, katso Zone.Identifier-virran sisältö komennolla käsky:
LISÄÄ< F:\Streams.zip:Zone.Identifier
Avaa Ominaisuudet-ikkuna Resurssienhallinnassa (Alt+Enter tai Ominaisuudet-kontekstivalikon komento) ladatulle tiedostolle, napsauta Yleiset-välilehdellä Poista esto -painiketta ja toista edellinen komento konsolissa.
Luo testitiedosto komennolla, joka uudelleenohjaa tekstitulostusoperaattorin tekstin, lisää vaihtoehtoinen virta, katso tulos:
ECHO Pääteksti > F:\M.TXT
ECHO Piiloteksti > F:\M.TXT:Secret.TXT
TYYPPI F:\M.TXT
LISÄÄ< F:\M.TXT:Secret.TXT
Muistioon voidaan ladata vaihtoehtoinen tekstivirta:
NOTEPAD F:\M.TXT:Secret.TXT
Kansioihin ja järjestelmätiedostoihin voidaan myös luoda vaihtoehtoisia streameja30.
Virtoja käytetään myös laajennettujen attribuuttien tallentamiseen31.
30 Piilotettu tietojen tallennus $Repair-tiedoston virtoihin järjestelmähakemistossa $RmMetadata (http://hex.pp.ua/RmMetadata.php)
31 Laajennetut NTFS- ja FAT16-attribuutit
(http://hex.pp.ua/extended-attributes.php) 53
Vaihtoehtoiset tietovirrat NTFS:ssä
NTFS-tiedostojärjestelmässä on monia mielenkiintoisia ominaisuuksia, joista yksi on vaihtoehtoisten tietovirtojen (Alternate Data Stream, ADS) läsnäolo. Niiden ydin on, että jokainen NTFS-tiedosto on joukko virtoja, joihin tiedot tallennetaan. Oletuksena kaikki tiedot ovat päävirrassa, mutta tarvittaessa tiedostoon voidaan lisätä muita vaihtoehtoisia tietovirtoja.
Huomautus. Vaihtoehtoiset tietovirrat NTFS:ssä ilmestyivät kauan sitten, Windows NT:ssä. Ne luotiin yhteensopivuutta varten HFS-tiedostojärjestelmän kanssa, minkä jälkeen niitä käytettiin MacOS:ssa. HFS tallensi tiedostotiedot erityiseen resurssivirtaan.
NTFS-tiedostot on jaettu attribuutteihin, joista yksi on $DATA eli dataattribuutti. Virrat ovat $DATA-attribuutin lisäominaisuuksia. Oletuksena on yksi pääsäie $DATA:″″. Kuten näet, sillä ei ole nimeä, joten sitä kutsutaan nimetön. Halutessasi voit myös luoda lisää nimettyjä virtoja. $DATA:″Stream1″. Jokaisella NTFS-tiedostolla voi olla useita tietovirtoja, jotka sisältävät erilaisia, toisiinsa liittymättömiä tietoja.
Kaikki tiedostoon kirjoitetut tiedot päätyvät oletusarvoisesti päätietovirtaan. Kun avaamme tiedoston, näemme tarkalleen päävirran, kun taas vaihtoehtoiset streamit ovat piilossa käyttäjältä eikä niitä näytetä tavanomaisin keinoin. Niitä ei voi nähdä tavallisilla tavoilla, vaikka jotkut ohjelmat voivat lukea niihin piilotetut tiedot. Voit myös käyttää komentoriviä käsitelläksesi virtoja.
Avataan esimerkiksi konsoli ja luodaan tekstitiedosto streams.txt komennolla echo ja kirjoitetaan teksti siihen:
echo Tämä on main stream>streams.txt
Ja seuraavalla komennolla kirjoitamme tekstin vaihtoehtoiseen stream-virtaan1:
echo Tämä on vaihtoehtoinen stream>streams.txt:stream1
Jos nyt avaamme streams.txt-tiedoston missä tahansa tekstieditorissa, näemme vain ensimmäisen merkinnän, teksti "Tämä on vaihtoehtoinen stream" jää piiloon. Voit lukea stream1:een piilotetut tiedot komennolla:
lisää Vaihtoehtoisia virtoja voidaan lisätä yksittäisten tiedostojen lisäksi myös hakemistoihin. Lisätään esimerkiksi nykyiseen Streams-hakemistoon vaihtoehtoinen stream2, joka sisältää tekstin "Piilota stream Streamsissä": echo Piilota stream Streams>:stream2 Ja tulosta stream2 seuraavalla komennolla: lisää<:stream2
Vaihtoehtoista suoratoistosisältöä voidaan avata muussakin kuin konsolissa. Esimerkiksi Muistio voi myös käyttää tietovirtoihin piilotettuja tietoja, jos määrität tiedoston nimessä vaihtoehtoisen virran nimen kaksoispisteellä erotettuna. Toistetaan edellinen esimerkki ja muutetaan hieman streamin nimeä stream1.txt: echo Tämä on vaihtoehtoinen stream>streams.txt:stream1.txt Ja avaa vaihtoehtoinen virta muistiinpanossa komennolla: muistilehtiö streams.txt:stream1.txt Huomautus. Normaali Notepad vaatii txt-laajennuksen streamin nimessä, muuten se ei voi avata sitä. Kehittyneemmät editorit, kuten Notepad++, voivat näyttää vaihtoehtoisen streamin sisällön sen nimestä riippumatta. Tiedoston vaihtoehtoisten virtojen olemassaoloa ei näytetä millään tavalla Resurssienhallinnassa ja muissa tiedostonhallintaohjelmissa. Niiden löytämiseksi helpoin tapa on käyttää komentoa ohjaaja/R(alkaen Windows Vistasta), joka näyttää kaikki tietovirrat, myös vaihtoehtoiset. Saatat ajatella, että vaihtoehtoiset virrat rajoittuvat tekstitietoihin. Tämä ei pidä lainkaan paikkaansa, ja ehdottoman mitä tahansa tietoa voidaan tallentaa vaihtoehtoisiin virtoihin. Luodaan esimerkiksi kuva.txt-tiedosto ja lisätään siihen pic1.jpg-virta, johon laitamme samannimisen kuvan: echo Picture>picture.txt Siten ulkoisesti meillä on tavallinen tekstitiedosto, ja kuvan avaamiseksi vaihtoehtoisesta virrasta Paint-grafiikkaeditorissa käytämme komentoa: mspaint picture.txt:pic1.jpg Samalla tavalla voit lisätä mitä tahansa dataa minkä tahansa tyyppisiin tiedostoihin - lisätä kuvia tekstitiedostoihin, lisätä tekstitietoja mediatiedostoihin jne. On mielenkiintoista, että vaihtoehtoinen sisältö ei lisää näennäistä tiedostokokoa, esimerkiksi 30 Gt:n HD:n lisääminen videon 1 kt:n tekstitiedostoon , Explorer näyttää silti tiedostokoon 1 kt. Voit myös piilottaa suoritettavat tiedostot vaihtoehtoisissa virroissa. Ota esimerkiksi test.txt-tiedosto ja lisää Notepad-sovellus (notepad.exe) vaihtoehtoiseen note.exe-virtaan: kirjoita notepad.exe>test.txt:note.exe Ja käynnistääksemme piilotetun muistikirjan käytämme komentoa: käynnistä .\test.txt:note.exe Muuten, jotkin haittaohjelmat käyttävät hyväkseen tätä mahdollisuutta lisäämällä suoritettavaa koodia vaihtoehtoisiin NTFS-virtoihin. On olemassa useita kolmannen osapuolen apuohjelmia vaihtoehtoisten virtojen kanssa työskentelemiseen, kuten Sysinternalsin Streams-konsoliapuohjelma. Se voi havaita vaihtoehtoisten lankojen olemassaolon ja poistaa ne. Apuohjelma ei vaadi asennusta, pura se pakkauksesta ja suorita se. Tarkastetaan esimerkiksi streamien läsnäolo Streams-kansiossa komennolla: Streams.exe -s C:\Streams Ja poista vaihtoehtoiset streamit streams.txt-tiedostosta: Streams.exe -d C:\Streams\streams.txt PowerShell voi toimia myös vaihtoehtoisten virtojen kanssa – luoda, havaita, näyttää niiden sisältöä ja jopa poistaa ne. Luodaan esimerkiksi tekstitiedosto: Uusi kohde -Tyyppitiedosto - Polku C:\Streams\stream.txt Lisätään pääketjuun merkintä: Set-Content - Polku C:\Streams\stream.txt -Arvo ″Päävirta″ Ja vaihtoehtoiseen streamiin nimeltä Second: Set-Content -Path C:\Streams\stream.txt -Arvo ″Toinen stream″ -Stream Second Sitten tulostamme päätiedoston sisällön Get-Content - Polku C:\Streams\stream.txt ja vaihtoehtoiset virrat: Get-Content -Path C:\Streams\stream.txt -Stream Second Vaihtoehtoisten virtojen havaitsemiseksi voit käyttää komentoa: Get-Item -Path C:\Streams\stream.txt -Stream * Ja voit poistaa tarpeettomat säikeet komennolla: Poista-kohde -Path C:\Streams\streams.txt -Stream * Sekä Windows itse että jotkin ohjelmat käyttävät vaihtoehtoisia streameja. Esimerkiksi Internet Explorer jakaa verkon neljään suojausvyöhykkeeseen, ja tiedostoja ladattaessa se lisää niihin tunnisteita, jotka sisältävät tiedot vyöhykkeestä, josta ne on ladattu. Nämä tunnisteet on tallennettu vaihtoehtoiseen streamiin ja edustavat numeroa 0–4: Internet (3) Varmista tämä siirtymällä latauskansioon, ottamalla Internetistä ladattu tiedosto ja tarkistamalla, onko siinä vaihtoehtoisia virtoja. Kuten näet, se sisältää ketjun nimeltä Zone.Identifier, joka sisältää merkkijonon ZoneID=3. Tämä tarkoittaa, että tiedosto kuuluu epäluotettavalle Internet-vyöhykkeelle, ja sinun on oltava varovainen avaaessasi sitä. Jotkut ohjelmat, kuten Word, lukevat nämä tiedot, kun avaat tiedoston ja antavat varoituksen. Myös File Classification Infrastructure (FCI) perustuu vaihtoehtoisten tietovirtojen käyttöön. Kolmannen osapuolen ohjelmista jotkin virustorjuntaohjelmat käyttävät erityisesti vaihtoehtoisia tietovirtoja. Kaspersky Anti-Virus tallentaa niihin tarkistuksen tuloksena saadun tarkistussumman. Vaihtoehtoisten virtojen käyttö ei kuitenkaan rajoitu tähän, voit itse keksiä niille mitä tahansa käyttöä. Esimerkiksi heidän avullaan voit piilottaa henkilökohtaisia tietoja uteliailta silmiltä. Vaihtoehtoisia virtoja sisältäviä tiedostoja voidaan vapaasti kopioida tai siirtää levyltä levylle, kaikki streamit kopioidaan tiedoston mukana. Ja silti, kun käytät vaihtoehtoisia virtoja, sinun on muistettava, että ne on tiukasti sidottu NTFS-tiedostojärjestelmään. Jotta niitä voisi käyttää, tiedostojen on sijaittava NTFS-levyillä, joten voit työskennellä niiden kanssa vain Windowsista. Jos siirrät tiedoston johonkin toiseen tiedostojärjestelmään, kaikki streamit paitsi päävirta menetetään. Vaihtoehtoiset streamit katkeavat myös siirrettäessä tiedostoja FTP:n kautta tai lähetettäessä niitä sähköpostin liitetiedostona. Tämän artikkelin tarkoitus on selittää merkitys Minkä vuoksi? Lisää tietovirtoja ilmestyi Asiaan Ymmärtääkseen todellisen vaaran Tässä 192.168.1.102 on hyökkääjän tietokone Alta näemme, että hyökkäys onnistui Kun olet tunkeutunut autoon, sinun on siirrettävä se sinne Samalla tavalla lataamme psexec.exe, pslist.exe ja Työnnetään nyt ipeye.exe streamiin, Sitten sama voidaan tehdä jalustin kanssa c:\Compaq\test_file:ipeye.exe (Jatkuu) Windows-käyttöjärjestelmissä on kaksi vähän tunnettua tietojen piilotusominaisuutta: NTFS-tietovirrat (tunnetaan myös vaihtoehtoisina tietovirroina) ja Access-based Enumeration (ABE) -resurssien luettelointi. Vaihtoehtoiset tietovirrat tarjoavat mahdollisuuden lisätä tiedostoon piilotettuja tietoja, kuten tiedostotietoja. Sinun ei todennäköisesti tarvitse käyttää piilotettuja tietovirtoja, mutta hyökkääjät voivat käyttää tätä tekniikkaa sinua vastaan, joten sinun tulee olla tietoinen siitä ja miten se voi toimia. Mitä tulee ABE-menetelmään, se voi lisätä arsenaaliasi. Tämän menetelmän avulla voit tehdä jaetuista resurssikansioista ja tiedostoista näkymättömiä käyttäjille, joilla ei ole oikeuksia käyttää niitä. Tässä on mitä sinun tulee tietää näistä työkaluista. Tietomerta ruokkivat joet Vaihtoehtoiset tietovirrat ovat NTFS-tiedostojärjestelmän ominaisuus. Ne sisällytettiin kerran Windows NT 3.1:een, jotta NT- ja Macintosh-käyttäjät voivat jakaa tiedostoja. NTFS-tiedosto koostuu tietovirroista. Tämä on tavallinen $DATA-datavirta ja mahdollisesti yksi tai useampi vaihtoehtoinen tietovirta. Kuka tahansa käyttäjä, jolla on tarvittavat oikeudet tiedostoon, voi nähdä olemassa olevan $DATA-tietovirran, avata sen sekä lukea ja kirjoittaa tietoja streamiin. Vaihtoehtoinen tietovirta on lisätietoja tai tiedostoja, jotka käyttäjä tai sovellus voi liittää NTFS-tiedostoon. Vain sen luonut käyttäjä tietää vaihtoehtoisen tietovirran olemassaolosta. Käyttäjät eivät yleensä tiedä, onko tiedostoon liitetty vaihtoehtoinen tietovirta; Asia on siinä, että tämän streamin sisältö tai nimi eivät ole näkyvissä. Lisäksi tiedostokoon muutosta ei voi nähdä. On monia tapoja käyttää vaihtoehtoisia tietovirtoja. Windowsissa näitä virtoja käytetään yhteenvetotietojen tallentamiseen asiakirjoista, jotka on luotu sellaisilla sovelluksilla, jotka eivät sisälly Microsoft Officeen, kuten tekstitiedostoista (.txt). Voit kirjoittaa yhteenvetotiedot, kuten otsikon, aiheen ja tekijän tiedot, tiedoston Ominaisuudet-valintaikkunan Yhteenveto-välilehdelle. Nämä yhteenvetotiedot tallennetaan vaihtoehtoiseen tietovirtaan, SummaryInformation. Windows-sovellukset, kuten Encrypting File System (EFS) ja Windowsin Resurssienhallinta, käyttävät vaihtoehtoisia tietovirtoja tiedostokohtaisten tietojen liittämiseen NTFS-muotoilluille asemille tallennettuihin tiedostoihin. EFS lisää koodaus- ja dekoodaustiedot salattuihin tiedostoihin vaihtoehtoisten tietovirtojen avulla, mikä mahdollistaa hajautetun salauksen ja salauksen purkamisen EFS:n avulla. Windows XP Service Pack 2:ssa (SP2) Microsoft Internet Explorer (IE) käyttää vaihtoehtoista Security.Zone-tietovirtaa NTFS-taltiolle tallennettujen tiedostojen suojausvyöhykeluokituksen tarjoamiseen. Tämän seurauksena IE pystyy estämään käyttäjien eskalaatiohyökkäykset, joita voi esiintyä tilanteissa, joissa käyttäjä lataa haitallista koodia Internetin suojaamattomalta alueelta ja tallentaa koodin paikalliselle kiintolevylle. IE luokittelee paikallisesti tallennetun sisällön Local Machine -suojausvyöhykkeelle, joka tarjoaa enemmän oikeuksia kuin Internet-suojausvyöhyke. XP SP2 tarkistaa aina Security.Zone-tietovirran ennen kuin sallii ladatun koodin suorittaa mitään toimia paikallisessa järjestelmässä. Kanava haitallisen koodin lisäämiseen Vaihtoehtoisista tietovirroista tekee huomionarvoisia ja vaarallisia se, että niiden nimiä ja sisältöä ei näytetä Windowsin Resurssienhallinnassa. Siksi erityyppisten hyökkäysten järjestäjät pitävät tällaisia virtoja kätevänä keinona piilottaa järjestelmään joutunut tieto tai haitallinen koodi. Esimerkki näiden säikeiden käytöstä on mato VBS.Potok@mm. Hakkerit käyttivät vaihtoehtoista tietovirtaa useiden Visual Basic (VB) -komentosarjojen liittämiseen olemassa olevaan ODBC .ini -tiedostoon. Aktivoituessaan mato luo tilin järjestelmänvalvojan oikeuksin ja lähettää itsensä osoitteisiin, jotka se havaitsee Microsoft Outlookin osoitekirjassa. Toinen vaara on, että vaihtoehtoisille tietovirroille varattu levytila ei heijastu Windowsin Resurssienhallinnan (tiedoston) koossa ja varaamattoman levytilan tiedoissa. Hakkeri voi käyttää vaihtoehtoisia tietovirtoja täyttääkseen tiedostopalvelimen levytilan, jolloin järjestelmänvalvoja raapii päätään yrittääkseen päästä ongelman ytimeen. Lisäksi on huomattava, että Dir-komentorivi-apuohjelma ei ota huomioon vaihtoehtoisia tietovirtoja laskettaessa kokotietoja (tiedostot ja kansiot). Tällä hetkellä on vain yksi Microsoft-työkalu, joka voi ottaa huomioon vaihtoehtoiset tietovirrat kokoja laskettaessa: Chkdsk-apuohjelma. Lisätään uutta ketjua Jokainen, jolla on kirjoitusoikeudet NTFS-tiedostoon, voi käyttää tavallisia käyttöjärjestelmän komentoja liittääkseen tiedostoon vaihtoehtoisen tietovirran. Esimerkiksi seuraava komento luo vaihtoehtoisen tietovirran mystream, liittää mystream-nimisen tiedostoon tiedosto.txt ja tallentaa lauseen "täysin salainen" mystreamiin. echo Top Secret > file.txt: mystream Voit tarkastella mystreamin sisältöä komennolla Kuten edellä mainittiin, suoritettavat tiedostot voidaan lisätä vaihtoehtoisiin tietovirtoihin. Siten on mahdollista lisätä piilotettu kopio Windows-laskimesta (calc.exe) tiedostoon file.txt. Tätä varten sinun tarvitsee vain kirjoittaa komento kirjoita calc.exe > file.txt: calc.exe Voit käynnistää piilotetun laskimen kirjoittamalla komennon aloita .file.txt: calc.exe Voit varmistaa itse, että vaihtoehtoiset tietovirrat ja niiden sisältö eivät näy Microsoftin työkaluissa. Avaa Windowsin Resurssienhallinta ja tarkastele tiedosto.txt-tiedoston ominaisuuksia. Todellinen tiedoston koko on 112 kt (sen verran tilaa sulautettu calc.exe vie) - mutta ohjelma näyttää tiedoston kooksi 0 kt: upotetusta tiedostosta ei ole tietoa $DATA-tietovirrassa, ja Windows Explorer ei pysty lukemaan tietoja vaihtoehtoisesta tietovirrasta. On selvää, että vaihtoehtoisiin tietovirtoihin liittyy monia uhkia, erityisesti verkoissa, joissa NTFS-resurssien käyttöoikeuksien myöntämiseen ei kiinnitetä riittävästi huomiota eikä Windows-palvelimien tiukkaa pääsynvalvontaa ole vahvistettu. On olemassa yksinkertainen suojausmekanismi, joka voi estää hakkereita yrittämästä hyödyntää vaihtoehtoisia tietovirtoja - NTFS-pääsynvalvontajärjestelmä. Jos hyökkääjillä ei ole oikeutta kirjoittaa tietoja tiedostoon, he eivät voi luoda vaihtoehtoisia tietovirtoja ja liittää niitä tiedostoon. Muutosten havaitseminen Jos sinusta tuntuu, että hakkerit ovat ohittaneet lupasi, käytä jotakin tähän mennessä kehitetyistä vaihtoehtoisista tietovirran sisällönhakutyökaluista. Järjestelmän eheyden tarkistimet, kuten Tripwire Enterprise ja Tripwire for Servers, voivat havaita kaikki NTFS-tiedostojärjestelmään tehdyt muutokset Windows-järjestelmässä, mukaan lukien lisäykset tai muutokset tietovirran sisältöön. Sysinternalin Streams-ohjelma on ilmainen komentoriviohjelma, joka määrittää tiedostoihin liitettyjen vaihtoehtoisten tietovirtojen nimet. Kuva 1 näyttää, kuinka Streams-apuohjelmalla tarkastellaan aiemmin file.txt-tiedostoon lisäämämme calc.exe-tietovirran nimeä. Tämä apuohjelma voidaan ladata osoitteesta http://www.sysinternals.com/utilities/streams.html. Toinen helppo tapa havaita vaihtoehtoinen tietovirta on käyttää Windowsin Resurssienhallintaa kopioimaan epäilyttävä tiedosto asemaan, jossa on jokin muu tiedostojärjestelmä kuin NTFS (esimerkiksi FAT-asema). Muut tiedostojärjestelmät eivät ole varustettuja käsittelemään vaihtoehtoisia tietovirtoja. Joten jos yrität kopioida NTFS-tiedoston, johon on liitetty vaihtoehtoisia tietovirtoja sijoittaaksesi sen toiseen tiedostojärjestelmään, NTFS antaa varoituksen, joka on samanlainen kuin kuvassa 2. Huomaa kuitenkin, että jos kopioit tämän tiedoston komentokehotteeseen ikkunan Kopioi-komennolla , Windows kopioi sen ei-NTFS-tiedostojärjestelmään ja poistaa tietovirran ilman varoitusta. Jaettujen resurssien piilottaminen ABE:n avulla ABE on valinnainen tiedostonjakokerroksen ominaisuus, jonka Microsoft otti ensimmäisen kerran käyttöön Windows Server 2003 SP1:ssä. Sitä voidaan käyttää missä tahansa Windowsin jaetussa hakemistossa riippumatta tiedostojärjestelmästä, johon jaetut tiedot on tallennettu. ABE:n avulla järjestelmänvalvojat voivat piilottaa jaetuille resursseille tallennetut kansiot ja tiedostot käyttäjiltä, joilla ei ole asianmukaisia oikeuksia käyttää niitä NTFS-tasolla. Toisin sanoen puhumme suojauksen tarjoamisesta kansiotasolla. Tapauksissa, joissa ABE:tä ei käytetä, jaettuun hakemistoon muodostavat käyttäjät näkevät kaikki jaetussa hakemistossa olevat tiedostot ja kansiot, mukaan lukien ne, joiden lukemiseen heillä ei ole lukuoikeuksia, ja ne, joiden käyttö on estetty. Kun käyttäjä yrittää avata tiedoston tai kansion, jota he eivät saa käyttää, järjestelmä näyttää virhesanoman, joka selittää, että pääsy on estetty. Nämä virheilmoitukset voivat olla hämmentäviä käyttäjille, joten ABE:n käyttöönotto voi auttaa vähentämään tukityökuormaa. ABE:n käytössä on kuitenkin myös haittoja. Ennen kuin palvelimen palauttaa kansion objektiluettelon jaettuun asiakkaalle, sen on tarkistettava kaikki kyseisten objektien ACL-luettelot, jotta se voi määrittää, mitä tietoja palautetaan. Tämän seurauksena saatat kokea järjestelmän suorituskyvyn merkittävää heikkenemistä, etenkin kun käytät jaettuja resursseja, jotka sisältävät monia objekteja. On suositeltavaa käyttää ABE-työkaluja esimerkiksi julkisten resurssien määrittämiseen käyttäjien kotihakemistoissa. Sen sijaan, että luot piilotetun jaon kullekin käyttäjälle kotihakemistoon, voit luoda yhden jaon, joka sisältää kaikkien käyttäjien kotihakemistot juurikotihakemistokansion alla. Käyttäjät muodostavat yhteyden tähän juurihakemistoon, ja voit käyttää ABE- ja NTFS-oikeuksia hallitaksesi kaikkien käyttäjien kotihakemistojen näkyvyyttä. ABE-toiminnon aktivointi Tämä toiminto käyttää uutta julkisten resurssien tason lippua SHI1005_FLAGS_ENFORCE_NAMESPACE_ ACCESS; näitä rivejä kirjoitettaessa se on toteutettu vain Windows 2003 SP1:ssä ja Release 2:ssa (R2). Tämä lippu tarkoittaa, että käytät ABE-toimintoa johonkin kansiosta. Voit käyttää Windowsin Resurssienhallinnan kansion ominaisuuksien laajennuksia tai abecmd.exe-komentorivityökalua lipun asettamiseen. Microsoft jakelee ABE Explorer -laajennusta ja abecmd.exe-tiedostoa ABE-asennuspaketissa, joka on Windows Server 2003 SP1 -alustan lisäosa. Asennuspaketti voidaan ladata Microsoftilta osoitteesta http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D 9-78D9-4342-A485-B030AC442084. Koska ABE on palvelinpuolen laajennus, sitä voidaan käyttää riippumatta siitä, mikä Windows-versio on asennettu asiakkaalle. Kun ABE-työkalut on asennettu palvelimelle, voit asettaa tämän lipun tietylle kansiolle. Napsauta kansiota hiiren kakkospainikkeella, valitse Ominaisuudet, siirry Access-based Enumeration (Käyttöoikeuspohjainen luettelointi) -välilehteen ja aseta Salli käyttöoikeuspohjainen luettelointi tälle jaetulle kansiolle, kuten kuvassa 3 näkyy. Voit käyttää ABE-toimintoa kaikissa järjestelmän jaetuissa resursseissa. aseta Käytä -lippu tämän kansion asetus kaikille tämän tietokoneen olemassa oleville jaetuille kansioille. Toinen tapa on käyttää abecmd.exe-komentorivityökalua. Jos haluat käyttää ABE-funktiota jaetun asiakirjan julkisessa resurssissa, anna seuraava komento: abecmd /enable sharedocs Voit käyttää /all-vaihtoehtoa ottaaksesi ABE:n käyttöön kaikissa käytettävissä olevissa resursseissa tai käyttää /disable-vaihtoehtoa poistaaksesi ABE:n käytöstä. Kulunvalvonta ABE on yksinkertainen työkalu, jonka avulla voit rajoittaa käyttäjien käyttöoikeudet vain niihin tiedostoihin, joita he tarvitsevat työnsä suorittamiseen. Käyttäjät voivat helposti löytää tarvitsemansa tiedostot, koska heidän ei tarvitse kahlata läpi aiheeseen liittymättömiä kansioita, eikä heidän tarvitse vaivata tukitiimiä kysymyksillä siitä, miksi tiedostot, joita heillä ei ole avausoikeutta, eivät avaudu. Suojatakseen vaihtoehtoisia tietovirtojen hakkereita järjestelmänvalvojien tulee valvoa julkisia käyttöoikeuksiaan ja käyttää jotakin kuvaamistani apuohjelmista piilotettujen vaihtoehtoisten tietovirtojen ja NTFS-järjestelmän muutosten tunnistamiseen. Otettiin käyttöön Windows NT 4.0:ssa, ja ne olivat kaikkien jälkeläisten ympärillä (pois lukien win-95:n jälkeläiset: 98, Me). XP:ssä, Vistassa ja Win 7:ssä ne ovat edelleen olemassa. Niin kauan kuin Windows-versiot tukevat NTFS:ää, ne tukevat tiedostovirtoja. Ne tukevat NTFS:ää pitkään. Antamasi virhe on kuvattu sivulla, jonka näet kysymyksessäsi. Type-komento ei ymmärrä säikeitä. Käyttö: Lisää< 1013.pdf:Zone.Identifier
Microsoftilla on vain muutama komento, jotka toimivat säikeiden kanssa, itse asiassa vain< , >toimivat virtojen kanssa, ja siksi voidaan käyttää vain komentoja, jotka voivat toimia näiden uudelleenohjausoperaattoreiden kanssa. Kirjoitin siitä, kuinka voit silti hallita säikeitä vain näillä komennoilla. Streamit toimivat vain ohjelmien kanssa, jotka on suunniteltu toimimaan niiden kanssa, yksinkertaisesti siksi, että niitä on käsiteltävä erityisellä tavalla (vertaa liitoskohtia sekä NTFS-toimintoa, mutta ajuri piilottaa yksityiskohdat, eikä ohjelmien tarvitse tehdä mitään erityistä: he vain laskevat liitoskohdan oikean tiedoston). Kun yrität avata tiedostovirtaa komennolla start filename:streamname ja ohjelma sanoo jotain kuten "laiton tiedostonimi" tai "tiedostoa ei löydy" ja olet varma, että streamin nimi on oikea, ohjelma ei todennäköisesti tue streameja. Huomasin, että Notepad, Wordpad ja Word/Excel toimivat oikein streamien kanssa, vaikka Word ja Excel pitävätkin tiedostoja vaarallisina. Alla muutamia kokeiluja. HUOMAA: Sinusta näyttää siltä, että vaihtoehtoiset tietovirrat ovat outoja. Ne ovat outoja, koska ne ovat niin piilossa, mutta monissa suurissa tiedostojärjestelmissä (HFS, NSS) on tämä, ja konsepti juontaa juurensa 80-luvun alkupuolelle. Itse asiassa streamit lisättiin alun perin NTFS:ään toimiakseen vuorovaikutuksessa muiden tiedostojärjestelmien kanssa.
kirjoita kuva1.jpg>kuva.jpg:kuva1.jpg
Streams-apuohjelma
PowerShell
Käyttö
Paikallinen verkko (1)
Luotetut sivustot (2)
Vaaralliset paikat (4)
Paikallinen tietokone (0)
vaihtoehtoisia tietovirtoja
Windows-käyttöjärjestelmissä,
näytä kuinka ne luodaan ja
vaarantaa auton, miten se löytää
piilotetut tiedostot julkisilla tiedostoilla
apuohjelmia. Ensimmäinen askel on tajuta
ADS:n merkitys ja minkälainen uhka ne sitten aiheuttavat
katsotaan kuinka niitä käytetään hakkerointiin
ja lopuksi tarkastellaan työkaluja
toiminnan havaitsemiseen ja miten
lopettaa laittoman työn jatkaminen
niitä.
Windows NTFS:llä. Itse asiassa, sikäli kuin minä
Ymmärrän, että heillä ei ollut erityistä merkitystä - he
tehtiin yhteensopivaksi vanhan HFS:n kanssa
Macintosh-tiedostojärjestelmä - Hierarkkinen tiedostojärjestelmä. Asia
tämä tiedostojärjestelmä käyttää
sekä datahaarukka että resurssihaarukka
sisällön tallennus. datahaara,
vastaavasti vastaa sisällöstä
asiakirja, ja resurssihaara on takana
tiedostotunniste - sen tyyppi ja muut
tiedot. Tähän mennessä olemassaolosta
lisästreameja tavallisilta käyttäjiltä
harva tietää. Kuitenkin tietokonemaailmassa
he saivat tietyn määrän vakuuksia
leviäminen. Esimerkiksi pahat hakkerit
käytä ADS-tiedostoja tiedostojen tallentamiseen
hakkeroituja tietokoneita, myös joskus
virusten ja muiden haittaohjelmien käyttämä. Asia
koska koko pointti on, että nämä virrat eivät ole
katsotaan tavanomaisin menetelmin, samoin
Explorer tai komentorivin kautta. Miten
Ovatko nämä ketjut mielenkiintoisia? Ja se tosiasia, että tapauksessa
hakkerointitutkimuksia ei aina seurata
kiinnitä niihin huomiota, eikä kaikkia virustorjuntaohjelmia
oletusarvoisesti näytä suoratoisto
haittaohjelmien etsiminen.
ADS näyttää paremmin, kuinka heidän kanssaan työskennellä.
Esimerkissä käytämme tunkeutumiseen Metasploit Frameworkia
autoon. Käytämme tähän haavoittuvuutta
MS04-011 (lsass). Sitten TFTP:n avulla lataamme tiedostot,
jonka laitamme lisävirtoihin
tiedot. Kun se on valmis
suorita etäkone komentoriviltä
linjaskanneri, joka etsii verkon
muiden autojen saatavuus. Huomautus,
jotka Metasploit Frameworkin kirjoittajat ovat toimittaneet
luominen METASPLOIT-allekirjoituksella, jotta tekijät
turvaohjelmat voisivat havaita paketin,
tulee MF:ltä. Huomioi paketti
tulee hyökkääjältä:
joka sisältää Metasploit Frameworkin ja 192.168.1.101 -
haavoittuva tietokone Win2K Prof. Tässä tapauksessa Axis
toimitetaan ilman korjaustiedostoja ja huoltopaketteja,
vain esittelytarkoituksiin
:). Huomaa, että ADS:t eivät itse sitä tee
liian hyödyllisiä, ne luonnollisesti tekevät sinut onnelliseksi
hyökkääjä vain jos on
pääsy koneeseen, järjestelmän haavoittuvuus
käyttöjärjestelmä. Oikeassa verkossa sinä
Et todennäköisesti löydä korjaamatonta W2K:ta, joten
meidän on etsittävä muita periaatteita
tunkeutuminen.
hyökkäävän ajoneuvon peruutuskuori on auki,
uhrin antama. Oletusarvo tälle
Metasploitin haavoittuvuus käyttää porttia 4321,
sen voi kuitenkin muuttaa:
tiedostot. Käytämme tähän TFTP:tä tässä
Tässä tapauksessa saamme ipeye.exe.
klogger.exe. Listataan hakemisto C:\Compaq\,
minne kaikki meni:
liitetty olemassa olevaan tiedostoon
testi_tiedosto.
muut työssä tarvittavat tiedostot.
Huomaa, että vaihtoehto
virtaus voidaan järjestää paitsi
tiedostot, mutta myös hakemistot, sama C:\ to
esimerkki. Käynnistetään skanneri, josta puhumme
he sanoivat alussa, ipeye.exe, tartunnan saaneelle
tietokone:Työskentely säikeiden kanssa
