暗藏危机的NTFS数据流

暗藏危机的NTFS数据流
飘忽不定

 

NTFS交换数据流(Alternate Data Streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却真实存在于我们的系统中。
既然NTFS数据流是NTFS磁盘格式的一种特性,那么它有什么危害呢?从上文的定义中我们知道NTFS文件系统中的一个普通文件可以拥有多个数据流文件,而数据流文件的格式是没有限制的,当我们运行文件时,文件附带的数据流文件也会随之运行,这说明什么呢?这就表示如果黑客将木马程序作为数据流文件捆绑于正常的文件中,木马程序就很容易被运行了。NTFS数据流还有一个更恐怖的特性:它在系统中是完全隐形的,在资源管理器中根本不可能发现它的存在,即使用一些专业的文件管理软件也无法找到它的蛛丝马迹。因此,使用NTFS数据流木马将是一种非常具有杀伤力的黑客攻击手段。

NTFS数据流的创建

关于NTFS数据流文件,我们可以选择创建或者关联,前者会创建一个独立的数据流文件,该文件和其它文件无关,是一个独立的、隐藏的文件,而后者则是将创建的数据流文件与一个正常的文件进行关联,数据流文件依赖这个正常文件的存在而存在。NTFS数据流文件是不可能通过资源管理器来创建的,它之所以能够在资源管理器中隐形也正是这个原因。因此我们只能在命令提示符中创建NTFS数据流文件。下面让我们来举例说明NTFS数据流文件的创建方法。
独立的数据流文件:在命令提示符中切换到C盘根目录,输入命令“echo“123456”>:test.txt”。回车后即可成功创建一个内容为“123456”,名为“test.txt”的NTFS数据流文件,但我们会发现C盘根目录下根本没有这个文件,如何确定我们成功创建了文件呢?接着输入命令“notepad:test.txt”,就可以查看到test.txt文件的内容了(如图1)。
关联的数据流文件:假设已存在一个正常的图片文件“photo.jpg”,在“命令提示符”中输入“echo“123456”>photo.jpg:test.txt”,同样,我们创建了一个内容为“123456”,名为“test.txt”的NTFS数据流文件,只不过它是依赖于photo.jpg而存在的。
NTFS数据流文件的特性决定了它不可能通过网络传播,目前黑客通常是使用WinRAR将数据流文件打包再进行攻击。黑客利用WinRAR创建一个自解压文件,然后在自解压文件的高级选项中勾选“保存文件数据流”(如图2),并在“常规”标签的“解压后运行”中填入数据流文件的名称,让数据流木马与正常的文件同时运行。

防范数据流木马

数据流木马虽然隐蔽,但是防范的方法还是有的,首先要对WinRAR的自解压文件格外小心,可以选择用WinRAR打开自解压文件而不是直接双击打开。此外,目前很多杀毒软件已经支持对数据流文件的查杀,例如卡巴斯基、瑞星等,都能有效地检测文件中附加的数据流文件,只要及时升级杀毒软件的病毒库就能有效防范。虽然数据流文件能够隐藏木马,但数据流本身并不具有危害。当_小马运行后还是会还原到内存中,如果杀毒软件能够在内存中拦截到木马,不管木马怎么隐藏都是徒劳的。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

暗藏危机的NTFS数据流
飘忽不定

 

NTFS交换数据流(Alternate Data Streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却真实存在于我们的系统中。
既然NTFS数据流是NTFS磁盘格式的一种特性,那么它有什么危害呢?从上文的定义中我们知道NTFS文件系统中的一个普通文件可以拥有多个数据流文件,而数据流文件的格式是没有限制的,当我们运行文件时,文件附带的数据流文件也会随之运行,这说明什么呢?这就表示如果黑客将木马程序作为数据流文件捆绑于正常的文件中,木马程序就很容易被运行了。NTFS数据流还有一个更恐怖的特性:它在系统中是完全隐形的,在资源管理器中根本不可能发现它的存在,即使用一些专业的文件管理软件也无法找到它的蛛丝马迹。因此,使用NTFS数据流木马将是一种非常具有杀伤力的黑客攻击手段。

NTFS数据流的创建

关于NTFS数据流文件,我们可以选择创建或者关联,前者会创建一个独立的数据流文件,该文件和其它文件无关,是一个独立的、隐藏的文件,而后者则是将创建的数据流文件与一个正常的文件进行关联,数据流文件依赖这个正常文件的存在而存在。NTFS数据流文件是不可能通过资源管理器来创建的,它之所以能够在资源管理器中隐形也正是这个原因。因此我们只能在命令提示符中创建NTFS数据流文件。下面让我们来举例说明NTFS数据流文件的创建方法。
独立的数据流文件:在命令提示符中切换到C盘根目录,输入命令“echo“123456”>:test.txt”。回车后即可成功创建一个内容为“123456”,名为“test.txt”的NTFS数据流文件,但我们会发现C盘根目录下根本没有这个文件,如何确定我们成功创建了文件呢?接着输入命令“notepad:test.txt”,就可以查看到test.txt文件的内容了(如图1)。
关联的数据流文件:假设已存在一个正常的图片文件“photo.jpg”,在“命令提示符”中输入“echo“123456”>photo.jpg:test.txt”,同样,我们创建了一个内容为“123456”,名为“test.txt”的NTFS数据流文件,只不过它是依赖于photo.jpg而存在的。
NTFS数据流文件的特性决定了它不可能通过网络传播,目前黑客通常是使用WinRAR将数据流文件打包再进行攻击。黑客利用WinRAR创建一个自解压文件,然后在自解压文件的高级选项中勾选“保存文件数据流”(如图2),并在“常规”标签的“解压后运行”中填入数据流文件的名称,让数据流木马与正常的文件同时运行。

防范数据流木马

数据流木马虽然隐蔽,但是防范的方法还是有的,首先要对WinRAR的自解压文件格外小心,可以选择用WinRAR打开自解压文件而不是直接双击打开。此外,目前很多杀毒软件已经支持对数据流文件的查杀,例如卡巴斯基、瑞星等,都能有效地检测文件中附加的数据流文件,只要及时升级杀毒软件的病毒库就能有效防范。虽然数据流文件能够隐藏木马,但数据流本身并不具有危害。当_小马运行后还是会还原到内存中,如果杀毒软件能够在内存中拦截到木马,不管木马怎么隐藏都是徒劳的。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

参考：

http://qkzz.net/magazine/1672-528X/2007/06/10028083.htm

http://www.zaoxue.com/article/tech-59784.htm

文章来自: 本站原创
引用通告地址: http://www.niaochao2008.com/trackback.asp?tbID=387
Tags: ntfs数据流ntfs数据流