Kuinka luoda vaihtoehtoinen ntfs-tiedostovirta. NTFS-tiedostojärjestelmän ominaisuudet. Sovellusten piilottaminen ja käynnistäminen

Oletko kuullut mitään NTFS-streamit? Erittäin mielenkiintoinen tiedostojärjestelmätoiminto, jota voidaan käyttää käytännön sovelluksissa. Tänään puhumme siitä, mitä se on ja kuinka voit käyttää sitä.

Ensin vähän teoriaa.
Vaihtoehtoisten tietovirtojen tuki on lisätty NTFS Yhteensopivuus Macintosh-tiedostojärjestelmän HFS kanssa, joka käytti resurssivirtaa kuvakkeiden ja muiden tiedostotietojen tallentamiseen. Ne ovat läsnä NTFS vanhimmista versioista Windows NT. Tekniikan ydin on, että tiedosto on päällä NTFS voi olla useita dataa sisältäviä säikeitä. Kapellimestari ja suosituimmat tiedostonhallintaohjelmat rajoittuvat työskentelemään vain päävirta(nimeämätön), joka edustaa tiedoston pääsisältöä. Virtoja voidaan käyttää tiedostojen metatietojen tallentamiseen, joten niitä on käytetty Windows 2000, Kuten tiedän.

SISÄÄN Windows 7 vaihtoehto NTFS-streamit tiedostossa olevaa , ei voi nähdä tavallisilla työkaluilla. Ja turhaan: esimerkiksi helvetin ovelat virukset voivat kirjoittaa itsensä joidenkin täysin vaarattomien tiedostojen virtoihin. Kun poistat tiedoston, jossa on suuria tietoja sisältäviä virtoja, saatat huomata, että tilaa on vapautunut paljon enemmän kuin tiedosto luuli tiedoston vievän. Kapellimestari.
Käytettävissä olevien streamien tarkastelemiseksi käytämme tunnetun Mark Russinovichin luomaa konsoliapuohjelmaa.

Vaihtoehtoisen NTFS-virran luominen

Joidenkin konsolikomentojen avulla voit luoda ja näyttää sisältöä virtaus NTFS, esimerkiksi komento kaiku voi antaa sinun luoda vaihtoehtoisen virran tekstitiedostolle. Tehdäksemme selväksi, kuinka tämä toimii, katsotaanpa esimerkkiä. Kirjoita komentoriville seuraava:
echo Hello Happy Bulldozer > hello.txt
echo Hello World > hello.txt:test

Avaa nyt hello.txt-tiedosto Muistiossa:

Teksti Hei maailma jäi "kulissien taakse" ollessaan nimen mukana testata. Jos määrität avattavan tiedoston nimen ja virran nimen, et voi avata tiedostoa virrassa: kaksoispiste on virheellinen merkki tiedoston nimessä. Voit kuitenkin käyttää komentoriviä, joka on hieman uskollisempi ja jonka avulla voit suorittaa seuraavan komennon:
lisää< hello.txt:test

Näytä NTFS-streamit, kuten edellä kirjoitin, voidaan tehdä streams.exe-apuohjelman kautta
streams.exe hello.txt


Minusta tässä on kaikki selvää.

Vaihtoehtoiset NTFS- ja Notepad-streamit

Kehittyneet ohjelmat näyttävät käsittelevän sen ilman paljon vaivaa ja näyttävän sinulle streamin sisällön:

Normaali Muistio liittää txt-laajennuksen streamin nimeen. Jos haluat käyttää sitä, sinun on nimettävä virrat seuraavasti:
echo Hello World > hello.txt:test.txt
Sitten cmd.exe-tiedostosta suoritettu komento antaa positiivisen tuloksen:
muistilehtiö hello.txt:testi.txt

Vaihtoehtoiset NTFS-virrat ja erilaiset tiedostotyypit

Saatat saada vaikutelman, että vaihtoehtoisten NTFS-virtojen soveltamisala ei ulotu tekstitiedostoihin. Tämä on väärin. Seuraavassa esimerkissä lisäsin hello.txt-tiedostoon virran, joka sisältää 7z-arkistotiedot:

Huomaan, että streameja voidaan luoda paitsi tiedostoille, myös kansioille ja jopa kiintolevyosioille.

Kaikkea rajoittaa henkilökohtainen mielikuvituksesi ja tarpeesi. Kuvattujen tekniikoiden avulla voit helposti piilottaa henkilökohtaiset tiedot esimerkiksi valmistautumattomalta käyttäjältä. Eräänlainen typerystodistus, jos haluat.

Näkyvästi-näkymättömästi

Blogin lukija Victor ei pystynyt suorittamaan Internetistä lataamaansa PowerShell-komentosarjaa. Ohjeideni huolellinen lukeminen vältti ongelman, mutta sen syy ei ollut PowerShellin tiukat suojauskäytännöt.

Victor latasi TechNet-galleriasta arkiston, jossa oli PSWindowsUpdate.zip-skripti Windows Updaten hallintaa varten, josta puhuin. Pakkaamaton käsikirjoitus kieltäytyi kuitenkin toimimasta. Kun ehdotin lukijalle, että ohjeeni ensimmäinen kohta puhui tarpeesta avata arkiston lukitus, kaikki meni kuin kello.

Victor pyysi selittämään, miksi järjestelmä esti komentosarjan ja kuinka se tiesi, että arkisto oli ladattu toiselta tietokoneelta.

Rehellisesti sanottuna tämän päivän aihe ei ole uusi, mutta päätin käsitellä sitä blogissani useista syistä:

• Monet artikkelit on kirjoitettu Windows XP:n tai Windows 7:n aikana, eivätkä ne ota huomioon uudempien Microsoft-käyttöjärjestelmien sisäänrakennettuja ominaisuuksia.
• Yksi lähitulevaisuudessa suunnitelluista artikkeleista koskettaa tätä aihetta, ja minun on helpompi viitata aineistoon, jonka merkityksellisyydestä ja oikeellisuudesta olen itse vastuussa.
• Blogilla on suuri yleisö, ja monille lukijoille tämä aihe on vielä uusi :)

Tänään ohjelmassa

NTFS-tietovirrat

Windows saa tiedot tiedoston lähteestä NTFS-tiedostojärjestelmän vaihtoehtoisesta tietovirrasta (ADS). Tiedoston ominaisuuksissa hän kirjoittaa vaatimattomasti, että se on toiselta tietokoneelta, mutta todellisuudessa hän tietää hieman enemmän, kuten näet myöhemmin.

NTFS:n näkökulmasta tiedosto on kokoelma . Tiedoston sisältö on dataattribuutti nimeltä $DATA. Esimerkiksi tekstitiedosto, jossa on rivi "Hei, maailma!" sisältää dataattribuutin "Hei, maailma!"

NTFS:ssä $DATA-attribuutti on tietovirta, ja sitä kutsutaan ensisijaiseksi tai nimettömäksi, koska... sillä ei ole nimeä. Muodollisesti se näyttää tältä:

$DATA:""

• $DATA- Nimi attribuutti
• : -erotin
• "" - Nimi virtaus(tässä tapauksessa ei ole nimeä - lainausten välissä ei ole mitään)

Vaihtoehtoisten tietovirtojen mielenkiintoisia ominaisuuksia

Yllä olevien esimerkkien yhteydessä haluan tuoda esiin muutamia mielenkiintoisia kohtia.

Näkymättömiä muutoksia

Kun olet luonut tekstitiedoston ensimmäisellä komennolla, voit avata sen tekstieditorissa ja varmistaa, että kaikki muut käsittelyt eivät vaikuta tiedoston sisältöön millään tavalla.

Siitä tulee mielenkiintoista, kun tiedosto avataan esimerkiksi Notepad++:ssa. Tämä editori voi varoittaa sinua tiedostojen muutoksista. Ja se tekee tämän, kun kirjoitat vaihtoehtoisen streamin tiedostoon, mutta sisältö pysyy samana!

Tallenna ja katsele CMD:n mainoksia

ADS voidaan luoda ja näyttää komentoriviltä. Seuraavat komennot kirjoittavat piilotetun tekstin toiseen ADS:ään nimeltä MyStream2 ja näyttävät sen sitten.

Echo Hidden Text > C:\temp\test.txt:MyStream2 lisää< C:\temp\test.txt:MyStream2

Mainosten katselu tekstieditorissa

Sama Notepad++ näyttää sinulle ADS:n sisällön, jos määrität virran nimen komentorivillä

"C:\Ohjelmatiedostot (x86)\Notepad++\notepad++.exe" C:\temp\test.txt:MyStream1

Tulos:

Muistiossa tämä temppu toimii vain, jos on a .txt. Alla olevat komennot lisäävät kolmannen ADS:n ja avaavat sen Muistiossa.

Echo Hidden Text > C:\temp\test.txt:MyStream3.txt notepad C:\temp\test.txt:MyStream3.txt

Tulos:

Ladattujen tiedostojen estäminen

Palataanpa kysymykseen, jonka lukija esitti minulle. Se, estetäänkö tiedosto, riippuu ensisijaisesti ohjelmasta, jossa se on ladattu, ja toiseksi käyttöjärjestelmän asetuksista. Joten kaikki nykyaikaiset selaimet tukevat estoa, ja se sisältyy Windowsiin.

Muista, että kun arkisto on lukittu, kaikki pakkaamattomat tiedostot lukitaan "perinnöllisesti". Muista myös, että ADS on NTFS:n ominaisuus, ts. Kun tallennat tai purat arkiston FAT32:ssa, estoa ei tapahdu.

Näytä tiedot estetyn tiedoston lähteestä

Siirry PowerShellissä kansioon, jossa on ladattu tiedosto, ja katso tiedot kaikista säikeistä.

Get-Item .\PSWindowsUpdate.zip -Stream * Tiedostonimi: C:\Users\Vadim\Downloads\PSWindowsUpdate.zip Stream Length ------ ------ :$DATA 45730 Zone.Identifier 26

Kuten jo tiedät, $Data on tiedoston sisältö, mutta myös ADS näkyy luettelossa Zone.Identifier. Tämä on selvä vihje, että tiedosto on vastaanotettu joltakin vyöhykkeeltä. Tiedätkö mistä tämä kuva on?

Vyöhykkeen selvittämiseksi sinun on luettava ADS:n sisältö.

Get-Content .\PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId=3

Ilmeisesti se on tarkoitettu erän lukituksen avaamiseen (esimerkiksi kun arkisto on jo purettu). Alla oleva komento avaa kaikkien tiedostojen lukituksen Lataukset-kansiossa, jotka sisältävät nimen PS:

Director C:\Downloads\*PS* | Poista esto-tiedosto

Tietenkin on olemassa kaikenlaisia ​​​​apuohjelmia, joissa on graafinen käyttöliittymä, jopa ne, jotka voidaan integroida kontekstivalikkoon. Mutta mielestäni PowerShell tai pahimmillaan streamit riittää.

Kuinka estää tiedostojen estäminen

Estoa ohjaa ryhmäkäytäntö Älä tallenna tietoja liitetiedostojen alkuperävyöhykkeestä. Kuten nimestä voi päätellä, esto on normaali Windowsin toiminta, ja käytäntö antaa sinun muuttaa sitä.

Nimestä ei kuitenkaan käy ilmi, että käytäntö ei koske vain sähköpostin liitteitä, vaan myös Internetistä ladattuja tiedostoja. Lue lisää liitteiden hallinnasta julkaisussa KB883260.

Kotiversioissa ei ole ryhmäkäytäntöeditoria, mutta kukaan ei ole peruuttanut rekisteriä: SaveZoneInformation.zip.

Muita esimerkkejä ADS:n käytännön soveltamisesta

ADS:n laajuus ei rajoitu ladatun tiedostovyöhykkeen lisäämiseen, eikä ADS:ään tarvitse tallentaa vain tekstiä. Mikä tahansa ohjelma voi käyttää tätä NTFS-ominaisuutta kaikenlaisten tietojen tallentamiseen, joten annan vain muutaman esimerkin eri alueilta.

Tiedostojen luokitusinfrastruktuuri

kirjailijasta

Mielenkiintoista materiaalia, kiitos. Opin jotain uutta PowerShellista, joka on minulle vielä vähän tuttua :)

Käytän usein WhatsAppia kommunikoidakseni perheeni kanssa - tähän mennessä on ollut vähiten ongelmia tämän palvelun kanssa, jopa vanhempani ovat tottuneet siihen. Kontaktik on myös pääosin perheelle, vaikka siellä viestien vaihto tapahtuu pääasiassa julkaistujen albumien ympärillä, joissa on kuvia ja videoita. Jotkut sukulaiset pysyvät uskollisina Viberille - se ei toiminut minulle, pidän sen vain heille luopumatta yrittämästä vetää heitä WhatsAppiin.

Töihin, pääasiassa Slackiin, kun jokin on kiireellinen - WhatsApp, erittäin kiireellinen - SMS. VKontakte viestintään ulkomaailman kanssa työskentelystä.

Käytän Skypeä vain videopuheluihin, pääasiassa perheeni kanssa. Korvaa sen mielelläni WhatsAppilla, jos olisi videopuheluita.

urix

Viberillä on nyt videopuhelut ja jopa videopuhelut työpöytäversiossa. Joten ehkä Viber on seuraava Skype... hyvällä tavalla

Andrei Kuznetsov

Mielenkiintoista materiaalia, kiitos. Tiesin säikeiden olemassaolosta, mutta en tiennyt, että niiden kanssa työskentely PowerShellin kautta oli niin helppoa.
Mitä tulee pikaviestintään: Ainoat valitukset Skypestä ovat Windows Phonen käynnistysaika. iPadissa ja Windowsissa tällaista ongelmaa ei ole. Käytän sitä puheviestintään, kun GSM:n käyttö on jostain syystä hankalaa.
Ja kirjeenvaihto Whatsappin kautta. Sen käyttäminen vain puhelimessasi on enemmän etua yksityisyyden kannalta.

• Andrei Kuznetsov: Ja kirjeenvaihto Whatsappin kautta. Sen käyttäminen vain puhelimessasi on enemmän etua yksityisyyden kannalta.

  Andrey, selitä mikä tässä on plussa?

Pavlovsky roomalainen

1. Käytän useimmiten: Skype ja Hangouts - työskentely tietokoneella, muu kirjeenvaihto VKontaktessa mistä tahansa laitteesta, koska työasiakkaat käyttävät yleensä Skypeä ja ystävät ja tuttavat sosiaalisissa verkostoissa.

2. Haluaisin käyttää: Jabber - kirjeenvaihtoon ja puheluihin mistä tahansa laitteesta. Minun osaltani asiakas voidaan asentaa mille tahansa laitteelle ja viestiä toistensa kanssa missä tahansa käyttäjä on, jopa heikolla Internet-yhteydellä + lisäksi voit ottaa käyttöön oman jabber-palvelimen ja tallentaa kaiken kirjeenvaihdon palvelimelle, jotta myöhemmin löydät nopeasti tarvittavan kirjeenvaihdon, jos asiakas ei osaa tallentaa historiaa, ja Jabberin kautta puheluiden laajennukset löytyvät (esimerkiksi saman SIP Asterisk 1.8+:n kautta)

Andrei Bayatakov

Useimmiten käytän WhatsAppia (pääasiassa töihin), puheluihin (ääni/video/kansainväliset puhelut) Skypeä. Vaikka työpöytä Skype on hirveän raivostuttava (minulla on muuntaja ja kotona käytän sitä pääasiassa tablettina)... Viber ei ole tarttunut. Jotta voit soittaa puheluita WhatsAppin kautta, tarvitset vain teräshermoja. Sanot jotain keskustelukumppanillesi ja odotat minuutti tai kaksi, että hän kuulee sinut (50 Mbit yhteys)…
Jos olisi mahdollisuus, vaihtaisin kokonaan Skypeen. Windows 10 Mobilessa äskettäisen päivityksen jälkeen Skypen viestit tulevat suoraan sisäänrakennettuun Viestit-sovellukseen (kuten SMS), mikä on erittäin kätevää.

Maxim

1. Vastahakoisesti käytän ICQ:ta (perääntyville asiakkaille) ja Slackia (moderneille asiakkaille).
2. Haluaisin käyttää Jabberia - samoista syistä kuin Roman Pavlovsky yllä.

Vladimir Kiryushin

Hei Vadim!
Ennen tätä artikkelia luin artikkelisi siitä, kuinka voit lukea raportin koko järjestelmälevyn tarkistamisesta chkdsk-komennolla. Hieno artikkeli! Hänen ansiostaan ​​tänään, kun olin tarkistanut järjestelmälevyn chkdsk-komennolla, sain raportin tekstitiedoston. Ja tämä artikkeli myös selventää monia asioita PowerShell-ohjelmasta. Jotkut asiat ovat minulle eläkeläisenä käsittämättömiä, mutta yritän olla panikoimatta ja luen ahkerasti loppuun asti. Kiitos tutkimuksesta, jota teet kanssamme! Kaikkea hyvää sinulle!

Lecron

Mitkä selaimet ja latausohjelmat luovat tämän streamin?

Mitä muita vaihtoehtoja käyttäjällä on käyttää säikeitä? Ja erityisesti käsikirjoituskäyttäjä? Koska vaikka tiesin niistä pitkään, en koskaan käyttänyt niitä. Kun varsinaisesti työskentelet tietokoneen kanssa, et yksinkertaisesti muista niitä, ja tämän vuoksi saatat päätyä käyttämään kainalosauvoja kätevän työkalun sijaan, ja ilman tätä työtä et muista muistista mitään.
Mietin vain yhtä vaihtoehtoa. Kommentti tiedostoon, jos tiedoston nimeen ei ole mahdollisuutta tai halua kirjoittaa pitkää tekstiä. Mutta tämä vaatii tukea tiedostonhallinnasta, joka kirjoittaa ne aiemmin ja nytkin tiedostoihin descript.ion tai files.bbs.

Speed ​​Guru

Toinen roskatekniikka, kuten USN-lehti. Kuinka paljon hyötyä ZoneIdentifieristä tai tiedostoon tai kansioon liitetystä viruksesta on? Ei tietenkään. Lisäksi tämä sotkee ​​järjestelmän tarpeettomilla "alitiedostoilla", joita tavallinen käyttäjä ei millään tavalla tarvitse. Jokainen MFT-hakemiston ylimääräinen lukema ja muut vaihtoehtoisten tietovirtojen ylläpitoon ja ylläpitoon liittyvät toiminnot merkitsevät ylimääräisiä hukattuja prosessorijaksoja, RAM-muistia ja mikä tärkeintä, ylimääräistä kuormitusta kiintolevylle.
Voit kertoa minulle, että tämä tekniikka on erittäin tarpeellinen järjestelmälle. Mutta tämä on hölynpölyä - järjestelmä toimisi täydellisesti ilman säikeitä. Mutta kukaan ei kysy käyttäjältä - he myivät sen (kuten USN-lehden) eivätkä antaneet mahdollisuutta poistaa kokonaan näiden virtojen ylläpito käytöstä. Mutta käyttäjinä en tarvitse niitä ollenkaan, ajattelen kuten sinä…
Emme voi tehdä muuta kuin "streams -s -d %systemdrive%". Mutta tämä ei myöskään salli säikeiden poistamista järjestelmäosiosta.

Alexiz Kadev

Nimetyt streamit ovat hieno asia, ja niitä oli muistaakseni olemassa ensimmäisestä NTFS-julkaisusta lähtien. On varsin kätevää tallentaa esimerkiksi dokumenttiversioita nimettyihin virtoihin, minkä, jos en erehdy, monet sovellukset ovat tehneet. Mutta kopiointi toiseen tiedostojärjestelmään jatkuu väijytysnä - nimetyt streamit yksinkertaisesti katkaistaan.

Harmi, että kyselyyn ei voitu valita useita lähettiläitä: käytän useita, koska osa kontakteistani suosii tiettyjä. Joten käytän WhatsUpia, ICQ:ta (vaikka ei tietenkään alkuperäistä asiakasta), Skypeä, SkypeforBusinessia (hiljainen kauhu, ei asiakas, mutta kun sitä kutsuttiin Lynciksi, se oli vielä pahempi) ja Viber (tässä on enemmän roskapostia) kuin muissa vähintään kerran 5).
Ja ihannetapauksessa käytä vain yhtä, kuten Mirandaa lisäosien kanssa, koska tarvittaessa on yksinkertaisesti epärealistista löytää, kuka sanoi/kirjoitti jotain kun koko joukosta. Mutta valitettavasti monet valmistajat sulkevat protokollansa ja suojelevat niitä, kuten Kashchei suojelee neulaansa.

Vladimir Kokarev

VSh

Vadim Sterkin: Roman, en sisällyttänyt Jabberia kyselyyn. Päätin, että harvat ihmiset käyttävät sitä, eikä näkymiä ole.

Turhaan
Käytän esimerkiksi OpenFireä (freeware xmpp) toimistokommunikaattorina useilla aloilla.

Siksi tärkein viestini on XMPP (Pidgin.exe, Spark.exe), mutta 99,8 % näistä viesteistä on verkkotunnuksen sisäisiä.
Skype - ulkoiseen pikaviestintään
WhatsApp ja Viber ovat "satunnaisia ​​​​yhteyksiä varten", viimeiset n kuukautta ovat olleet vain roskapostia, mietin - pitäisikö minun poistaa se?

Artem

Jostain syystä kaikki on Viberissä. Ja viestinnän laatu on varsin tyydyttävä. Muuten tulee sähke. Siellä on tyhjää.

sameaa

1. Skype (PC:llä) ja Viber (mobiililaitteella). Syyt ovat periaatteessa samat kuin useimmilla - käytettävissä olevien kontaktien määrä ja luonnollisesti näiden samojen kontaktien haluttomuus vaihtaa toiseen sanansaattajaan.
2.uTox. Miniatyyri, ei mitään tarpeetonta, asiakas Winille, Linuxille, Macille ja Androidille. Sijoitettu suojattuna.
P.S. Alan vetää yhteystietojani siihen lähemmin :-)

Jevgeni Karelov

Kiitos työstäsi!

Kyselyyn liittyen käytän PC:lläni QIP 2012:ta kirjeenvaihtoon, johon on kytketty ICQ, VKontakte ja muut kontaktit. Henkilökohtaisesti minulle on kätevää käyttää yhtä ohjelmaa kommunikoimaan useiden protokollien kautta. Ja mahdollisuus katsella sosiaalisen median syötteitä yhdestä paikasta on erittäin miellyttävä. Ihannetapauksessa ainoa puuttuva asia on tuki Skypelle, jota käytän puheviestintään, mutta se ei ilmeisesti näy.
Vaikka tämä ohjelma näyttää "hylätyltä", koska päivityksiä ei ole ollut pitkään aikaan, se suorittaa sille osoitetut toiminnot täydellisesti.

strafer

Mielenkiintoinen sekoitus postauksen aihetta tietovirroista ja IM-kyselystä.

Kyselyn mukaan: Jabber/Jabber, jota sinun ei olisi pitänyt sisällyttää listaan, vaikka siellä on XMPP-pohjainen WhatsApp ja jopa Asechka, joka on matkalla kohti menestystä.

Jabber yleensä ratkaisee kaikki nämä ongelmat protokollan avoimuuden, asiakkaiden saatavuuden monille alustoille ja itsenäisesti asennettavien palvelimien saatavuuden vuoksi. Mutta kaktusten pureskelu on perinteisempää, kyllä.

• Lista sisältää asiakkaita, ei protokollia.
  ICQ... no, en laittanut hymiöitä sinne, koska sen pitäisi olla selvää.
  Jabber ei todellakaan ratkaise yhtä ongelmaa - siellä ei ole ketään.

  • strafer

    Vadim Sterkin: Asiakkaat on lueteltu, ei protokollia.

    Koska virallisen asiakkaan protokolla ja lähdekoodit ovat suljettuja, ainoan asiakkaan ja protokollan välille muodostuu luonnollinen identiteetti.

    Vadim Sterkin: ICQ... no, en laittanut hymiöitä sinne, koska sen pitäisi olla selvää.

    Mätälle postitytölle ei riitä, että asechka kuolee luonnollisesti - he tekevät myös lisäponnisteluja saadakseen sen kuolemaan nopeammin.

    Vadim Sterkin: Jabber ei todellakaan ratkaise yhtä ongelmaa - siellä ei ole ketään.

    Siitä huolimatta kirjoitit itse Telegramille

    näyttää hyvältä, mutta se on tyhjä (joka voidaan korjata)

    Jabberilla oli kaikki mahdollisuudet tulla sellaiseksi kuin sähköpostiekosysteemi nykyään (protokollan täydellinen avoimuus, mahdollisuus määrittää palvelimesi kenelle tahansa ja varmistaa palvelimien välinen vuorovaikutus jne.), mutta yritykset eivät tarvitse tätä, mikä on selvästikin selvää. näkyy esimerkissä eroamisesta Googlesta tai omasta WhatsAppista.

    • Telegramille - korjattavissa, Jabberille - erittäin epätodennäköistä. Siksi ensimmäinen on luettelossa, mutta toinen ei.

      • strafer

        Tietysti Telegram on tyylikäs, muodikas, nuorekas, mutta Jabberia ei käytä kukaan cool, kuten Pasha Durov. Mitkä ovat tulevaisuudennäkymät?

        Hm... tule ulos "koko maailma vastustaa vapaita ohjelmistoja" salaliittoteorioita. Kaikki paljon helpompi

        

        Jos se ei ole selvää, tältä näyttää henkilön ensimmäinen kokemus vuorovaikutuksessa virallisesti suositellun Jabber-asiakkaan kanssa yleisimmällä mobiilialustalla.

        strafer

      • En ymmärtänyt vähän, missä kohtaa salaliittoa koskeva kommenttini.

        Kyllä, kaikkialla :) Yrität selittää jaburon epäonnistumiset epämuodittomuudella ja nuoruuden puutteella, kun taas sen asiakkaat ensimmäisestä näytöstä eivät ole sopeutuneet nykytodellisuuteen.

        Mitä minun pitäisi nähdä kuvakaappauksessa?

        Kehotus syöttää puhelinnumero ~~~O~

      strafer

      strafer: Yrität katsoa jahkauksen epäonnistumisen syyksi epämuodittomuuteen ja nuoruuden puutteeseen

      No jos näin on.

      strafer: vaikka sen asiakkaat ensimmäisestä näytöstä eivät ole mukautuneet nykyaikaiseen todellisuuteen.

      Nuo. nykyiseen tapaan, kuten puhelinnumerosi paljastaminen kaikille. Koska en ymmärrä miksi se pitäisi ottaa käyttöön, jos sitä ei tarvita järjestelmän toimintaan, koska minusta on aivan mahtavaa, että sitä ei kysytä täällä.

      Itse asiassa hylkäsin tilin, huolimatta muutamasta jäljellä olevista kontakteista, juuri tästä syystä - Meirushechka vaati uhkavaatimuksen muodossa puhelinnumeron yhdistämistä tiliin, minkä seurauksena hänet lähetettiin tunnettuihin koordinaatteihin.

      Kyllä, et ymmärrä, edes kuvien selitysten jälkeen... Tämä ei ole muotia, tämä on ainoa tapa yksinkertaistaa rekisteröintiä mobiililaitteilta, jotka muodostavat perustan nykyaikaisten sanansaattajien yleisölle ja ainoa lähde sen kasvulle .

      strafer

      Kuvakaappaus näyttää nimen, salasanan ja valinnaisen lempinimen pyynnön. Missä meidän pitäisi yksinkertaistaa enemmän? Vai eikö erityiskoulujen oppilaita lukuun ottamatta ole enää varauksia yleisön kasvulle, vaan pitää olla yksi nappi "tee se sen vuoksi"?
      Miksi tässä ylipäätään on puhelinnumero ja mitä messengerin pitäisi tehdä puhelinnumerolle?

AltDS (Alternate Data Stream) -tuki lisättiin NTFS:ään yhteensopivuuden vuoksi Macintosh-tiedostojärjestelmän HFS:n kanssa, joka käytti resurssivirtaa kuvakkeiden ja muiden tiedostotietojen tallentamiseen. AltDS:n käyttö on piilotettu käyttäjältä, eikä sitä voi käyttää tavallisin keinoin. Explorer ja muut sovellukset toimivat vakiovirran kanssa eivätkä voi lukea tietoja vaihtoehtoisesta virrasta. AltDS:n avulla voit helposti piilottaa tiedot, joita ei voida havaita tavallisilla järjestelmätarkastuksilla. Tämä artikkeli antaa perustiedot AltDS:n toiminnasta ja määritelmästä.

AltDS:n luominen

AltDS:n luominen on erittäin helppoa. Tätä varten käytämme komentoriviä. Ensin luodaan perustiedosto, johon liitetään streamimme.

C:\>echo Vain suunnitelman tekstitiedosto>sample.txt

C:\>kirjoita sample.txt
Vain suunnitelman tekstitiedosto

Seuraavaksi käytämme kaksoispistettä operaattorina osoittamaan, että käytämme AltDS:ää:

C:\\>echo Et näe minua>näyte.txt:salaisuus.txt

Voit tarkastella sisältöä seuraavilla komennoilla:

C:\Lisää< sample.txt:secret.txt

tai

C:\muistio näyte.txt:salainen.txt

Jos kaikki toimii hyvin, näet tekstin: Et näe minua, mutta kun se avataan Explorerista, tämä teksti ei näy. Voit myös liittää AltDS:n paitsi tiedostoon, myös kansioon tämä, luo kansio ja liitä jonkinlainen teksti:

C:\>md tavaraa
C:\>cd tavaraa
C:\stuff>echo Piilota tavaraa kamaa>:piilota.txt
C:\stuff>dr
Aseman C tilavuudessa ei ole etikettiä.
Volyymin sarjanumero on 40CC-B506C:\stuff-hakemisto
28.09.2004 klo 10:19 .
28.09.2004 klo 10:19…
0 tiedosto(tta) 0 tavua2 Dir(t) 12 253 208 576 tavua ilmaiseksi
C:\jutut>muistilehtiö:piilota.txt

Nyt tiedät, kuinka voit tarkastella ja muokata liitettyä AltDS:ää Muistiolla sekä kuinka liittää se tiedostoihin ja kansioihin.

Sovellusten piilottaminen ja käynnistäminen

Sovellusten piilottaminen AltDS:n avulla on yhtä helppoa kuin testitiedostojen piilottaminen. Luodaan ensin perustiedosto uudelleen:

Laitetaan seuraavaksi sovelluksemme streamiin, esimerkiksi käytin notepad.exe:tä:

C:\WINDOWS>kirjoita notepad.exe>test.txt:note.exe

Varmistetaan nyt, että tiedostomme sisältää saman tekstin:

C:\WINDOWS>kirjoita testi.txt
Testata

Nyt hauskin osa, käynnistäkäämme piilotettu sovelluksemme:

C:\WINDOWS>käynnistä .\test.txt:note.exe
C:\WINDOWS>

Koska tämä artikkeli ei ole artikkelin täydellinen käännös, se on muotoiltu yksinkertaiseksi aiheeksi. Muita tekniikoita löydät oheisesta linkistä.

UPD:

Apuohjelmat AltDS:n kanssa työskentelemiseen (luettelo otettu yllä linkitetystä artikkelista):

LADS - Listaa vaihtoehtoiset datavirrat, kirjoittanut Frank Heyne
www.heysoft.de/Frames/f_sw_la_en.htm

Streams.exe SysInternalsilta.

Artikkeli on kirjoitettu Hacker-lehdelle vuonna 2004. Se julkaistiin numerossa 09/04 (69) otsikolla "Tuhovirrat".

Kun otat haltuunsa toisen NT-järjestelmän ja asennat siihen omia kotitekoisia vakoiluohjelmia, sinun on ratkaistava kerättyjen tietojen tallentaminen uhrin tietokoneelle. Yleensä loki kirjoitetaan yksinkertaiseen tiedostoon hakemistossa, jossa on suuri määrä tiedostoja, esimerkiksi system32:ssa.

NTFS-ominaisuudet

Tämä on yleinen, mutta kaukana paras tapa piilottaa tiedot paikalliselta tietokoneeltasi. On mahdollista, että käyttäjä huomaa ylimääräisen, jatkuvasti päivittyvän tiedoston, joka yhtäkkiä ilmestyi hänen järjestelmähakemistoonsa. Liitäkö loki jo olemassa olevaan tiedostoon? Ensin sinun on löydettävä tiedosto, johon tietojen lisääminen ei pilaa sen sisältöä. Entä tietojen tallentaminen paikkaan, joka ei näy Resurssienhallinnassa, komentoriviltä tai mistään tiedostonhallinnasta? NTFS-tiedostojärjestelmä tarjoaa meille tämän mahdollisuuden. Näet sen harvoin tavallisella kotitietokoneella, koska useimmat käyttäjät pitävät edelleen FAT32:sta, jopa XP:tä käyttävillä. Mutta Win2k/XP:tä käyttävän yrityksen paikallisverkossa NTFS on lähes varmasti käytössä, koska tämä tiedostojärjestelmä tarjoaa sellaisia ​​ominaisuuksia kuin käyttöoikeuksien myöntäminen käyttäjille, salaus ja tiedostojen pakkaus. Lisäksi NTFS on paljon turvallisempi kuin FAT32. Joten kuvaamani tietojen piilotusmenetelmä on ihanteellinen teollisuusvakoilulle. Longhornin myötä NTFS:llä on mahdollisuus löytää koti kotitietokoneiden asemilla, sillä tuleva NTFS-pohjainen WinFS-tiedostojärjestelmä lupaa lisätiedon organisointi- ja hakuominaisuuksia, joiden pitäisi houkutella tavallisia käyttäjiä.

Liitä tiedostoon kaikki tiedot

Menetelmä on tallentaa tietoja ei tiedostoon, kuten tavallista, vaan NTFS-tiedostovirtaan. Virta voidaan liittää toiseen tiedostoon (tässä tapauksessa sen koko ei muutu ja tiedot pysyvät koskemattomina, mikä tarkoittaa, että tiedostojen tarkistussummia tarkistavat apuohjelmat eivät huomaa muutoksia), hakemistoon tai levylle. NTFS Alternate File Streams on yksi NTFS:n ominaisuuksista, joka on ollut siinä Windows NT:n varhaisista versioista lähtien. Se johtuu siitä, että yhdessä tiedostossa voi olla useita dataa sisältäviä säikeitä, ja vain pääsäie, johon tiedoston sisältö on tallennettu, on käyttäjän käytettävissä. Macintosheiden HFS-tiedostojärjestelmässä on jotain vastaavaa. Siellä puroja kutsutaan haarukoiksi. Viime aikoihin asti niitä käytettiin tiedostoresurssien tallennusvälineenä tai ne sisälsivät tietoja tiedostotyypistä. MacOS X:n myötä Apple suositteli resurssien sijoittamista erillisiin tiedostoihin ja tiedostotyyppien tunnistamista tunnisteiden perusteella. Mutta haarautumistuki on edelleen olemassa. Windowsissa streameja käytetään tavallisesti tiedostoa koskevien lisätietojen tallentamiseen. Virta voi esimerkiksi sisältää yhteenvedon asiakirjasta. Jos järjestelmä on NTFS-levyllä, explorer.exe-tiedosto sisältää todennäköisesti yhteenvedon. Yhteenvetosisällöstä riippuen tiedostoon voidaan liittää streameja nimeltä SummaryInformation, DocumentSummaryInformation ja useita muita. Löysin tietokoneeltani $MountMgrRemoteDatabase-nimisen säikeen, joka on liitetty C-asemaan.

Käyttäjä voi saada tiedon tiedostoon liitetyistä virroista vain joissakin tapauksissa, esimerkiksi kopioidessaan liitetyn streamin sisältävää tiedostoa levylle FAT/FAT32:lla. Nämä tiedostojärjestelmät eivät tue niitä, joten järjestelmä kehottaa sinua vahvistamaan tietovirran menetyksen ja ilmoittaa niiden nimet. Tätä tilannetta ei tietenkään koskaan synny, jos stream on liitetty levylle tai järjestelmäkansioon. Lankoja ei tarvitse käyttää vakoilutarkoituksiin. Jos olet shareware-ohjelmien kehittäjä, voit helposti käyttää streameja tallentaaksesi tietoja rekisteröinnistä, päivien määrästä vanhenemispäivään, sanalla sanoen kaiken, mikä pitäisi olla piilossa ohjelmasi käyttäjältä.

Työskentely säikeiden kanssa

Tiedostojen ja streamien käsittelyssä on sekä yhtäläisyyksiä että eroja. Ei ole paljon sellaista. Molemmat tiedostot ja niiden virrat luodaan ja poistetaan samoilla WinAPI-toiminnoilla CreateFile ja DeleteFile. Lukeminen ja kirjoittaminen toteutetaan vastaavasti ReadFile- ja WriteFile-funktioilla. Tähän yhtäläisyydet loppuvat, vain erot seuraavat. Virtojen nimet voivat sisältää erikoismerkkejä, jotka eivät voi olla osa normaalia tiedostonimeä: kuten "*", "?", "<”, “>" ,"|" ja lainaushahmo. Yleensä minkä tahansa virran nimi tallennetaan Unicode-muodossa. Palvelumerkkejä välillä 0x01 – 0x20 voidaan myös käyttää. Virran kopioimiseen ja siirtämiseen ei ole vakiotoimintoa: MoveFile ja CopyFile eivät toimi streamien kanssa. Mutta kukaan ei häiritse sinua kirjoittamaan omia funktioitasi. Streameillä ei ole omia attribuuttejaan, luonti- tai käyttöpäiviään. Ne peritään tiedostosta, johon ne on liitetty. Jos tiedosto itsessään sisältää tietoja, se voidaan esittää myös virtana. Virtojen nimet näytetään muodossa "tiedostonimi:virran nimi:attribuutti". Sen virran vakioattribuuttia, jossa tiedot ovat, kutsutaan nimellä $Data. On monia muita määritteitä, joiden nimet alkavat myös "$"-merkillä. Tiedoston sisältö on nimettömässä virrassa (tiedostonimi::$DATA). Tämä tiedostojärjestelmän ominaisuus esittää tiedoston sisältö virtana yhdistettiin Microsoft IIS:n vanhemmissa versioissa olevaan virheeseen, kun hakkeri, joka halusi selvittää haavoittuvan palvelimen komentosarjan tekstin, yksinkertaisesti lisäsi ":: $DATA” sen nimeen, ja palvelin sen sijaan antoi lähdekoodinsa suorittaakseen komentosarjan. Virtojen käsittely on samanlaista kuin tiedostojen käsittely. Katso listaus 1. Tämä on yksinkertainen esimerkki ohjelmasta, joka luo stream-tiedoston ja kirjoittaa siihen tietoja. Ohjelman suorittamisen jälkeen tyhjä "testfile"-tiedosto ilmestyy sen hakemistoon. Näet liitetyn streamin sisällön kirjoittamalla komentoriville "more".< testfile:stream». Как видишь, имя потока указывается после имени файла, отделенное от него знаком двоеточия. Самое трудное при работе с потоками – это получить их список для конкретного файла. Стандартной функции нет, и поэтому придется писать ее самому. Напишем небольшую консольную программу, которая бы возвращала список потоков по имени файла. Такая прога есть у ребят из Sysinternals, с открытым кодом, и она работает, но мне не понравился их способ. Они используют вызовы Native API, и поэтому их код большой и трудный для понимания. Мы же напишем свою прогу, которая будет работать из командной строки, с алгоритмом попроще и со стандартными API функциями.

Haetaan lankaluetteloa

Algoritmi perustuu BackupRead-funktion käyttöön. Se on suunniteltu tiedostojen varmuuskopiointiin. Kun varmuuskopioit tiedostoa, on tärkeää tallentaa mahdollisimman paljon tietoa, mukaan lukien tiedostovirrat. Tiedot on otettu WIN32_STREAM_ID-rakenteesta. Sieltä saat streamin nimen, tyypin ja koon. Tarvitsemme vain BACKUP_ALTERNATE_DATA-tyypin streameja. Kaikki toiminnot ja rakenteet on kuvattu winnt.h-otsikkotiedostossa. Ensin sinun on avattava tiedosto lukemista varten CreateFilen avulla. Parametrissa dwFlagsAndAttributes on määritettävä FILE_FLAG_BACKUP_SEMANTICS-lippu, jonka avulla voit avata paitsi tiedostoja myös hakemistoja. Sitten ajetaan while-silmukka, joka lukee tiedot tiedostosta sid-rakenteeseen, josta saamme tietoa jokaisesta säikeestä. Ennen silmukan seuraavaa läpikulkua tyhjennämme rakenteen ja siirrämme tiedoston osoittimen seuraavaan streamiin BackupSeek-toiminnolla. Kun kaikki säikeet on löydetty, tyhjennämme palvelutietoja sisältävän lpContextin ja suljemme tiedoston. Ohjelman lähdekoodi näkyy listassa 2. Voit ottaa valmiiksi käännetyn ohjelman levyltämme. Virtojen kanssa työskentelyyn ei tarvitse kirjoittaa erityisiä ohjelmia. Joitakin asioita voit tehdä suoraan komentoriviltä. Joitakin esimerkkejä on esitetty laatikossa.

Havaitseminen

Kun tietovirta on liitetty johonkin, sen sisältöön on vaikea päästä käsiksi tietämättä sen nimeä. Jos virta on liitetty loogiseen taltioon, Windowsilla ei ole lainkaan vakiotyökaluja sen havaitsemiseen. Koska virran nimi voi sisältää merkkejä, joita ei sallita tavallisissa tiedostonimissä, tämä aiheuttaa lisävaikeuksia, kun yritetään selvittää virran sisältö komentorivin avulla. Asiakirjan yhteenvetosisältö tallennetaan yleensä streamiin, jonka nimi sisältää merkkikoodin 0x05. Tämä merkki voidaan kirjoittaa konsolissa (Ctrl+E), mutta jos se olisi merkki 0x10 tai 0x13 (rivinvaihto ja rivinvaihto), niitä ei voi kirjoittaa. Teoriassa voit saada tietää liitetyistä säikeistä sattumalta käyttämällä tietokoneessasi todennäköisesti olevia ohjelmistoja. WinRARissa on vaihtoehto, ja jos se on käytössä, saatat huomata, että arkistoon sijoitetun pienen tiedoston koko ei vain pienene, vaan jopa kasvaa (johtuen siitä, että virtojen tiedot sijoitetaan myös arkisto). Tämä voi herättää epäilyksiä. Ohjelma, joka valvoo pääsyä tiedostojärjestelmään - FileMonitor samasta Sysinternalsista - ei tee eroa tiedostojen tai virtojen käytön välillä. Näin ollen epäilyttävän ohjelman (keyloggerisi) levykäyttölokin huolellinen tutkiminen paljastaa sekä virran nimen, johon loki kirjoitetaan, että sen tiedoston nimen, johon se on liitetty.

Virukset

Syyskuussa 2000 ilmestyi ensimmäinen virus, joka käytti vaihtoehtoisia tiedostovirtoja leviämiseen. W2k.Stream oli ensimmäinen edustaja uudentyyppisestä viruksesta - stream-kumppanista. Se etsii .exe-tiedostoja hakemistostaan, ja jos se löytää, se aloittaa tartuntaprosessin. Tiedostoon liitetään lisävirta, johon virus siirtää alkuperäisen tiedoston sisällön ja sitten viruksen runko kopioidaan tiedoston päävirtaan. Saastuneen tiedoston suorittamisen jälkeen virus yrittää uudelleen tartuttaa tiedostoja hakemistossaan ja käynnistää sitten ohjelman lisäsäikeestä. Todellakin, käyttämällä CreateProcess-toimintoa voit aloittaa prosessin säikeestä. Lisäksi virran sisältävä tiedosto voidaan poistaa turvallisesti, mutta prosessi säilyy. Vain satu troijalaisille! Huolimatta siitä, että W2K.Streamin ilmestymisestä on kulunut lähes neljä vuotta, kaikki virustorjuntaohjelmat eivät vielä pysty havaitsemaan haitallista koodia tiedostovirroista. Siksi uusien matojen ja niitä käyttävien virusten ilmaantuminen voi aiheuttaa vakavan vaaran.

Muut virukset, jotka käyttävät virtoja

W2K.Streamin lisäksi virrat ovat löytäneet sovelluksen muissa viruksissa ja matoissa. Ensimmäinen mato, joka käytti tiedostovirtoja, oli I-Worm.Potok. Tämä pieni peto liittää useita säikeitä Windows-hakemiston odbc.ini-tiedostoon ja tallentaa sinne komentosarjat postitse lähettämistä varten. Toinen virus on W2k.Team. Kuvaukset näistä ja muista vastaavista viruksista löytyvät verkkosivustolta http://www.viruslist.com/

Työskentely streamien kanssa konsolista

Tiedoston luominen streamilla:
kirjoita nul > somefile.txt:Stream

Kirjoita striimiin:
echo "Jotain" >> somefile.txt:Stream

Virrasta lukeminen:
lisää< somefile:Stream

Olemassa olevan tiedoston sisällön kopioiminen streamiin:
kirjoita tiedosto1.txt >> jokintiedosto.txt:Stream

Virran sisällön kopioiminen tiedostoon:
lisää< somefile.txt:Stream >> tiedosto2.txt

Lankojen poistaminen

On olemassa mielipide, että stream voidaan poistaa vain yhdessä sen tiedoston kanssa, johon se on liitetty. Tämä on väärin. Jos tiedät virran nimen, voit aina poistaa sen tavallisella DeleteFile-toiminnolla.

Listaus 1. Esimerkki säikeen luomisesta.

#sisältää int main() ( DWORD dwRet; HANDLE hStream = CreateFile("testitiedosto:virta", GENERIC_WRITE, FILE_SHARE_WRITE, NULL, OPEN_ALWAYS, NULL, NULL); WriteFile(hFile, "Tämä on virta", 17, &NUdwRet); CloseHandle(hStream) return 0;

Listaus 2. X-Stream: Ohjelma, joka näyttää luettelon virroista

#sisältää #sisältää #sisältää #sisältää int _tmain(int argc, _TCHAR *argv) ( WIN32_STREAM_ID sid; ZeroMemory(&sid, sizeof(WIN32_STREAM_ID)); DWORD dw1,dw2,dwRead; INT numerovirtojen määrä = 0; //Puskuri virran nimelle wLPNaNameiStr; lpContext = NULL /* * Avaa tiedosto lukemista varten parametrilla FILE_FLAG_BACKUP_SEMANTICS, jonka avulla voimme * avata paitsi tiedostoja, myös levyjä sisältäviä hakemistoja */ HANDLE hFile = CreateFile(argv,GENERIC_READ,FILE_SHARE_READ, NULL,OPEN_EXISTING. ,FILE_FLAG_BACKUP_SEMANTICS,NULL ); if (hFile == INVALID_HANDLE_VALUE) (printf("\nVirhe: Ei voitu avata tiedostoa, hakemistoa tai levyä %s\n",argv); exit(0); ) DWORD dwStreamHeaderSize) = (LPBYTE) &sid.cStreamName - (LPBYTE)&sid + sid.dwStreamNameSize; printf("\nStreamNameSize;" )) ( / /Jos virran tyyppi on virheellinen, keskeytämme silmukan if (sid.dwStreamId == BACKUP_INVALID) break; ZeroMemory(&wszStreamName,sizeof(wszStreamName)); //Hanki virran nimi, jos (!BackupRead(hFile, (LPBYTE) wszStreamName, sid.dwStreamNameSize, &dwRead, FALSE, TRUE, &lpContext)) break; if (sid.dwStreamId == BACKUP_DATA || sid.dwStreamId == BACKUP_ALTERNATE_DATA) (nmofstreams++; printf("\n\nStream\t\t#%u",numofstreams); kytkin (sid.dwStreamId) ( case: printf_DATA ("\nNimi:\t\t::$DATA"); kirjainkoko:\t\t%u\; n",sid.Size); ) //Siirry seuraavaan streamiin BackupSeek(hFile, sid.Size.LowPart, sid.Size.HighPart, &dw1, &dw2, &lpContext); //Tyhjennä rakenne ennen silmukan seuraavaa kulkua ZeroMemory(&sid,sizeof(sid)); ) //Tyhjennä palvelutietoja sisältävä lpContext //jotta BackupRead-toiminto toimisi BackupRead(hFile, NULL, NULL, &dwRead, TRUE, FALSE, &lpContext); //Sulje tiedosto CloseHandle(hFile); paluu 0; )

Tiedostovirrasta löytyy myös seuraavaa:

• NTFS Stream Explorer 2.00 Ohjelma NTFS:n ja

    Useimmat Windows-perheen nykyaikaisten käyttöjärjestelmien käyttäjät ovat kohdanneet tilanteen, jossa ohjetiedosto CHM (Compiled Help Module) -muodossa avautuu vain osittain - voit tarkastella vain sisällysluetteloa ilman sen kohteiden sisältöä:

Lisäksi, jos yrität avata jaettuun verkkoon sisältyvän CHM-tiedoston käyttämällä UNC-polkua (Universal Naming Convention), kuten \\server\h\help.chm, sen osia ei näytetä. Toisin sanoen, voit normaalisti tarkastella .chm-tiedostoja vain, jos niitä ei ole vastaanotettu verkon kautta.

Samanlainen kuva ilmenee, kun yrität avata verkosta ladatun suoritettavan tiedoston. Näet suojausvaroituksen:

Lisäksi sama tiedosto, joka on purettu arkistosta, joka on myös ladattu Internetistä, voidaan avata tällä tietokoneella ilman ongelmia. Itse asiassa ainoa ero on se, että avattava tiedosto luotiin paikallisesti purkausprosessin aikana, eikä sitä ole ladattu verkon kautta. Toisin sanoen Windows pystyy määrittämään tiedoston verkkoalkuperän ja vastaamaan siihen tiettyjen suojausasetusten avulla.

Mekanismi tiedostojen verkkoalkuperän määrittämiseksi.

NTFS-tiedostojärjestelmässä jokainen tiedosto (tai hakemisto) esitetään kokoelmana yksittäisiä elementtejä nimeltä attribuutteja. Elementit, kuten tiedoston nimi, suojausasetukset ja jopa tiedot, ovat kaikki tiedostoattribuutteja. Jokainen attribuutti tunnistetaan attribuutin tyyppikoodilla ja valinnaisesti määritteen nimellä. Joten esimerkiksi tiedoston nimi sisältyy määritteeseen Tiedoston nimi, sisältö on attribuutissa TIEDOT, tiedot omistajasta ja käyttöoikeuksista ovat attribuutissa Turvallisuuskuvaaja jne. Kunkin tiedoston sisältö ($DATA-attribuutti) on joukko purot, johon tiedot on tallennettu. Jokaiselle NTFS-tiedostolle tai hakemistolle on vähintään yksi pääsäie, johon tiedot todella tallennetaan. Pääsäikeen lisäksi voidaan kuitenkin liittää myös tiedosto tai hakemisto vaihtoehto (A vaihtoehtoinen D ata S stream - ADS), joka voi sisältää myös tietoja, jotka eivät liity millään tavalla päävirran tietoihin. Tiedoston päävirralla ei ole nimeä ja se on nimetty nimellä $DATA:"". Vaihtoehtoisilla virroilla on oltava nimi, esimerkiksi - $DATA:"StreamData"- vaihtoehtoinen virta nimeltä StreamData

Kun tietojen kirjoittamistoiminnot tiedostoon suoritetaan, ne sijoitetaan päätietovirtaan. Kun avaamme esimerkiksi tekstitiedoston Notepadilla, pääsemme käsiksi pääsäikeen tietoihin. Vaihtoehtoisten virtojen dataa ei näytetä normaalia pääsyä käytettäessä, eikä niiden olemassaolosta ole edes merkkejä. Tiettyyn tiedostoon tai hakemistoon liittyviä vaihtoehtoisia stream-tietoja voidaan kuitenkin käyttää erityisohjelmilla tai käyttämällä erityistä syntaksia Windowsin komentorivillä.

Esimerkiksi tekstin kirjoittaminen tiedostoon testi.txt komennolla kaiku:

echo Main stream Data > test.txt- kirjoita tiedostoon teksti "Main stream Data". testi.txt, mikä tarkoittaa kirjoittamista nimettömään päävirtaan.

Mutta voit muuttaa komentoa:

echo Vaihtoehtoinen stream Data > test.txt:stream1- kirjoita teksti "Vaihtoehtoinen stream Data" vaihtoehtoiseen streamiin, jolla on nimi virta 1 tiedosto testi.txt

Nyt voit avata esimerkiksi jokaisen streamin Muistiolla:

muistilehtiö testi.txt- päävirran sisältö avautuu tekstillä "Main stream Data"

muistilehtiö testi.txt:stream1- vaihtoehtoisen virran sisältö avautuu tekstillä "Vaihtoehtoinen stream Data"

Vaihtoehtoisia virtoja, jotka ovat näkymättömiä tiedostojärjestelmäobjektien kanssa työskentelyyn tarkoitetuille vakiotyökaluille, käytetään kuitenkin hyvin usein tiedostojen ja muiden palvelutietojen tallentamiseen. Joten esimerkiksi ladattaessa tiedostoja Internetistä selaimet lisäävät vaihtoehtoisen virran nimeltä Zone.Identifier, joka voidaan avata muistilehtiöllä, kuten yllä olevassa esimerkissä

muistilehtiö %USERPROFILE%\Downloads\ChromeSetup.exe:Zone.Identifier- avaa vaihtoehtoinen tietovirta, jonka nimi on muistikirjassa Zone.Identifier ChromeSetup.exe Sinun ei tarvitse määrittää tiedoston polkua suorittamalla ensin komento mennäksesi nykyisen käyttäjän ladattujen tiedostojen hakemistoon (käyttäjäpalvelukansioiden vakiosijainnilla):

cd %USERPROFILE%\Lataukset- Siirry ladattujen tiedostojen hakemistoon.

muistilehtiö ChromeSetup.exe:Zone.Identifier- avaa vaihtoehtoinen stream nimellä Zone.Identifier Google Chrome -selaimen asennustiedostolle nimeltä ChromeSetup.exe nykyisessä hakemistossa.

Kuten näet, vaihtoehtoisen virran sisältö sisältää rivit:

- osiokyltti tiedonsiirtoalueen kuvauksella
ZoneId=3- vyöhykkeen tunniste.

Näiden tietojen avulla on mahdollista määrittää tiedoston alkuperä tunnistenumeron perusteella ZoneId:

0 - paikallinen tietokone (paikallinen).
1 - paikallinen paikallinen verkko (intranet)
2 - Luotetut sivustot
3 - Internet
4 - vaaralliset sivustot (rajoitetut sivustot)

Tämä vyöhykkeiden määritelmä esimerkiksi vastaa Internet Explorerin suojausasetuksia:

Tässä tapauksessa voit määrittää, että tiedosto ChromeSetup.exe saatiin Internetistä (vyöhyketunnus = 3). Tällaista tiedostoa suoritettaessa annetaan turvavaroitus epäluotettavasta lähteestä. Microsoft Office -sovellusten suojausominaisuudet toimivat samalla tavalla, kun ne varoittavat Internetistä ladattujen tiedostojen avaamisen vaarasta. Samasta syystä CHM-muodossa olevien ohjetiedostojen sisältö ei avaudu - vaihtoehtoisen virran sisältö mahdollistaa niiden luokittelun vaarallisiksi riippumatta todellisesta tai olemattomasta vaarasta.

Kokeile vaihtaa sama muistilehtiö, ZoneId-arvoksi 0 , joka vastaa tiedoston paikallista alkuperää, ja suojausvaroitus poistuu, samoin kuin ongelmat Office-asiakirjojen tai ohjeaiheiden avaamisessa .chm-tiedostoissa.

Samanlainen turvallisuusjärjestelmien käyttäytyminen tapahtuu tapauksissa, joissa vaihtoehtoisen virran sisältö poistetaan (tyhjennetään) tai itse vaihtoehtoinen tietovirta poistetaan kokonaan.

Windows 7:stä alkaen voit käyttää komentoa saadaksesi luettelon vaihtoehtoisista tiedostovirroista OHJ parametrin kanssa /R:

dir /r %UserpRofile%\Lataukset- näyttää luettelon tiedostoista ja vaihtoehtoisista virroista hakemistossa Lataukset nykyinen käyttäjä.

Voit työskennellä vaihtoehtoisten tietovirtojen kanssa missä tahansa Windows-käyttöjärjestelmän versiossa käyttämällä apuohjelmaa streams.exe Microsoft Sysinternals Suite -ohjelmistopaketista. Paketti sisältää monia pieniä diagnostiikka-, optimointi- ja hallintaohjelmia, mukaan lukien apuohjelman, jonka avulla voit kompensoida puutteita työskennellessäsi vaihtoehtoisten virtojen kanssa.

Komentorivimuoto:

streams.exe [-s] [-d] tiedosto tai hakemisto

Komentorivivaihtoehdot:

-s- prosessi alihakemistot.
-d- Poista vaihtoehtoiset virrat.
-nobanneri- älä näytä aloitusbanneria ja tekijänoikeustietoja.

Esimerkkejä käytöstä:

streams.exe /?- näyttää ohjeita ohjelman käyttöön.

streams myfile.txt- näyttää tietoja tiedostovirroista omatiedosto.txt

virrat –d omatiedosto.txt- Poista vaihtoehtoiset tiedostovirrat omatiedosto.txt

streams -d -s D:\Lataukset\*.*- Poista vaihtoehtoiset virrat kaikista hakemiston tiedostoista ja alihakemistoista D:\Lataukset\

Windows 8:ssa ja uudemmissa käyttöjärjestelmissä PowerShell antaa sinun työskennellä myös vaihtoehtoisten säikeiden kanssa:

Get-Item -Path -Path C:\FirefoxSetup.exe -Stream *- näyttää tiedot säikeistä tiedostossa C:\FirefoxSetup.exe.

Get-Content -Path C:\FirefoxSetup.exe -Stream Zone.Identifier- näyttää vaihtoehtoisen streamin sisällön Zone.Identifier tiedosto C:\FirefoxSetup.exe

Remove-Item -Path C:\FirefoxSetup.exe -Stream *- poista kaikki vaihtoehtoiset tiedostoon liittyvät virrat C:\FirefoxSetup.exe

Poista-kohde -Path C:\FirefoxSetup.exe -Stream Zone.Identifier- Poista vaihtoehtoinen stream Stream Zone.Identifier liittyy tiedostoon C:\FirefoxSetup.exe.

Suojausvyöhyketietoja käytetään laajalti ryhmäkäytännöissä ja erityisesti Windows Attachment Managerissa, joka suorittaa suojaustoimintoja haittaohjelmia vastaan, jotka voivat olla sähköpostin liitetiedostoissa tai Internetistä ladatuissa tiedostoissa. Microsoftin verkkosivusto sisältää yksityiskohtaisen artikkelin liitteiden hallinnan määrittämisestä ja siihen liittyvien ongelmien ratkaisemisesta:
Kuvaus liitetiedostojen hallinnan toiminnasta, joka sisältyy Microsoft Windows -järjestelmään.

Lopuksi lisään, että vaihtoehtoiset streamit ovat NTFS-tiedostojärjestelmän ominaisuus, eikä niitä esimerkiksi tueta FAT32:ssa. Näin ollen, kun kopioidaan tiedostoja NTFS:stä mihin tahansa muuhun tiedostojärjestelmään, vaihtoehtoiset virrat hylätään.