● NTFS下一种隐藏颇深的文件存取格式 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: bstone (Back to real world!), 信区: Hacker
标  题: NTFS下一种隐藏颇深的文件存取格式
发信站: BBS 荔园晨风站 (Sun Apr  2 17:53:53 2000), 转信

发信人: cloudsky (小四), 信区: Security
标  题: NTFS下一种隐藏颇深的文件存取格式
发信站: 武汉白云黄鹤站 (Thu Mar 30 23:30:53 2000), 站内信件

By Adam, joyadam@263.net
   <http://www.isbase.com/>

在NT下使用NTFS存取当然是必要的,但是,在这个机制下的
还有一种文件鲜为人知的存取格式你熟悉吗?

我叫他文件流(File streams)，在微软的站点上几乎找不到
相关的资料（也可能是我不会找而已）
我是怎么发现这个东西的呢，呵呵，很偶然的因素
你也可以根据我的方法找到文件流（注意：一定要是NTFS
文件系统）

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.

C:\>cd test

C:\test>dir
驱动器 C 中的卷没有标签。
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30  18:15       <DIR>          .
2000-03-30  18:15       <DIR>          ..
2000-03-30  18:15                    3 adam.txt
               1 个文件              3 字节
               2 个目录    788,922,368 可用字节

C:\test>notepad adam.txt:IloveAdam
[这个时候，会提示你创建一个新文件，click yes then 开始输入，然后存盘退出。]

C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30  18:15       <DIR>          .
2000-03-30  18:15       <DIR>          ..
2000-03-30  18:16                    3 adam.txt
2000-03-30  18:16                    3 adam.txt
               1 个文件              3 字节
               2 个目录    788,922,368 可用字节
通过dir没有发现这个建立的adam.txt:IloveAdam，而且磁盘的空间大小也没有发生变化
你也许会认为刚才什么都没有作，但是请看下面：

C:\test>notepad adam.txt:IloveAdam
【是不是你刚才敲的东西啊？】
如果冒号前面的文件不存在，我直接创建一个文件流呢？

C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30  18:21       <DIR>          .
2000-03-30  18:21       <DIR>          ..
2000-03-30  18:16                    3 adam.txt
               1 个文件              3 字节
               2 个目录    788,922,368 可用字节

C:\test>notepad adamtest:123
C:\test>notepad adamtest:123

C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30  18:21       <DIR>          .
2000-03-30  18:21       <DIR>          ..
2000-03-30  18:16                    3 adam.txt
2000-03-30  18:21                    0 adamtest
               2 个文件              3 字节
               2 个目录    789,184,512 可用字节
实际上这个里面已经有了一个文件流adamtest:123
然后我们再来看看如果存在目录以后然后再玩玩文件流
C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30  18:29       <DIR>          .
2000-03-30  18:29       <DIR>          .
2000-03-30  18:29       <DIR>          ..
2000-03-30  18:26       <DIR>          adam
               0 个文件              0 字节
               3 个目录    788,922,368 可用字节

C:\test>notepad adam:123

C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30  18:29       <DIR>          .
2000-03-30  18:29       <DIR>          ..
2000-03-30  18:26       <DIR>          adam
               0 个文件              0 字节
               3 个目录    789,184,512 可用字节

哈哈，你现在知道我研究这个东西的目的了吧！
也就是我可以在你的硬盘上建立c:\winnt\system:adam,c:\winnt\system32:adam
而且你永远也找不着！
               3 个目录    789,184,512 可用字节
命令行方式下看不到，资源管理器也看不到

问：能不能放2进制文件呢？
答：你自己去试吧，写病毒、写木马的大哥自己去玩玩吧，其实业也好分析的，
    因为微软有一个工具，可以实时检测你调用的 dll ，你打开这个monitor，
    然后一步一步走，你就会发现他怎么做的！

哈哈，写程序我不行，灌水我在行！该怎么玩自己去想吧！有结果可
以mail to joyadam@263.net一起探讨探讨！Your Are Welcome！
--
            我问飘逝的风：来迟了？
            风感慨：是的，他们已经宣战。
            我问苏醒的大地：还有希望么？
            大地揉了揉眼睛：还有，还有无数代的少年。
            我问长空中的英魂：你们相信？
            英魂带着笑意离去：相信，希望还在。

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]

--
☆ 来源:．BBS 荔园晨风站 bbs.szu.edu.cn．[FROM: bbs@192.168.28.106]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店