創(chuàng)建NTFS數(shù)據(jù)流的方法

創(chuàng)建一個(gè)數(shù)據(jù)交換流文件的方法其實(shí)并不復(fù)雜，其命令行格式為“宿主文件:準(zhǔn)備和宿主文件關(guān)聯(lián)的數(shù)據(jù)流文件”，和NTFS數(shù)據(jù)流相關(guān)的命令，包括Echo、Type、Start等。

例如對(duì)于Echo命令來說，可以在CMD窗口中輸入命令“echo XXXXXXX>> 1.txt:2.txt”，其 中 的“XXXXXXX”代表機(jī)密信息，回車后即可在指定的NTFS分區(qū)根目錄下生成“1.txt”文件，但奇怪的是該文件的長(zhǎng)度為0，而且雙擊該文件，打開后發(fā)現(xiàn)文件的內(nèi)容為空。實(shí)際上，這是利用了NTFS文件流技術(shù)實(shí)現(xiàn)了重要數(shù)據(jù)的隱藏。

本 例 中 的“1.txt:2.txt”就是流文件，其中的“1.txt”可以存在，也可以不存在，可以是文本文件，也可以其他任何類型的文件（例如 bmp、exe、doc等），最重要的是其中的“2.txt”，它是虛擬文件名，當(dāng)然其后綴也可以是其他文件類型。在NTFS分區(qū)中是看不到完整的文件名的。也就是說，“2.txt”文件是寄存在“1.txt”文件中。注意，在“1.txt”中可以寄存多個(gè)文件。例如執(zhí)行“echo 別的重要信息 >>1.txt:3.txt”命令，可以讓“3.txt”文件寄存到“1.txt”中，寄存的內(nèi)容為“別的重要信息”。

如果需要查看隱藏的數(shù)據(jù)時(shí)，需要在CMD窗口中執(zhí)行命令“notepad 1.txt:2.txt”，即可在記事本中看到隱藏的數(shù)據(jù)了。

注意，這里看到的是寄存的“2.txt”文件，可以直接在記事本中編輯其寄存的內(nèi)容，之后可以正常保存該文件。

例如在CMD窗口中執(zhí)行命令“echo 具體的機(jī)密數(shù) 據(jù) >> a.pdf:b.doc”，這里 的“a.pdf”已 經(jīng) 存 在，“b.doc”為虛擬文件名，雙擊“a.pdf”文件，就直接打開閱讀器瀏覽該文件內(nèi)容，根本發(fā)現(xiàn)不了在“a.pdf:b.doc”文件，以及隱藏的機(jī)密數(shù)據(jù)內(nèi)容。只有執(zhí)行“Notepad a.pdf:b.doc”才可以看到隱藏的數(shù)據(jù)。

當(dāng)然，使用Echo命令只能編輯少量的文本數(shù)據(jù)。對(duì)應(yīng)的使用Type命令，可以使用NTFS文件流技術(shù)來隱藏文件。其格式為“type 文件名＋后綴 >> 任意文件:任意文件名＋源文件后綴”，注意其中的“后綴”和“源文件后綴”應(yīng)該相同，否則可能出現(xiàn)無法打開的故障。

例如執(zhí)行命令“type jimi.doc >> office.pdf:new.doc”，這樣，就可以將重要文件“jimi.doc”寫入“office.pdf:new.doc”流文件中了。其他人在NTFS分區(qū)中只能看到“office.pdf”文件，是無法看到上述流文件的。當(dāng)打開該流文件時(shí)，應(yīng)該使用對(duì)應(yīng)的工具，例如DOC文件使用Word來打開等。

如果處理程序位于系統(tǒng)目錄，則可以輸入程序名即可，否則應(yīng)該輸入完整的路徑。例如執(zhí)行命令“type mypic.bmp >>hello.def:xinhua.bmp”，這 樣 就 將“mypic.bmp”圖片隱藏到了hello.def:ly.bmp中，當(dāng)需要查看時(shí)，只要 執(zhí) 行“mspaint hello.def:xinhua.bmp”即可，對(duì)于上述“office.pdf:new.doc”流文件，則需要執(zhí)行“"C:Program FilesMicrosoft OfficeOFFICE11winword.exe" I:office.pdf:new.doc”（其中的程序路徑要帶引號(hào)，假設(shè)I盤為NTFS分區(qū)），就可以打開機(jī)密文件“jimi.doc”了。

對(duì)于exe文件來說，也可以將其寄存到某文件中。例如執(zhí)行“type nc.exe>>1.txt:2.exe”命 令，可以將“nc.exe”文件寄存到“1.txt”中。 執(zhí) 行“start e:1.txt:2.exe”，就可以啟動(dòng)寄存的exe文件，這里假設(shè)其保存在E盤。

注意使用Start命令啟動(dòng)寄存程序，必須使用絕對(duì)路徑。當(dāng)打開任務(wù)管理器后，可以看到名為“1.txt:2.exe”的特殊進(jìn)程。實(shí)際上，宿主可以是文件或者文件夾，例如執(zhí)行“type nc.exe>>folder:2.exe”命令，可以將其寄存到名為“folder”的目錄中。打開該目錄，里面沒有任何內(nèi)容。

NTFS數(shù)據(jù)流有一個(gè)特點(diǎn)，一旦宿主文件被刪除，與之關(guān)聯(lián)的流數(shù)據(jù)就會(huì)消失。為了防止這種情況，可以將系統(tǒng)中一些無法刪除的文件作為宿主，例如執(zhí)行“type c:jimi.doc > C:WINDOWSsystem32configSAM:new.doc”命令，將“jimi.doc”附加到“SAM:new.doc”流文件中。因?yàn)閯e人無法刪除“SAM”文件，所以就保護(hù)了附加文件的安全。而您可以在CMD窗口中進(jìn)入“c:windowssystem32”文件夾，之后執(zhí)行“start ./SAM:new.doc”，來查看隱藏在該流文件中的Word文檔。

警惕惡意程序非法利用NTFS數(shù)據(jù)流

正是因?yàn)槭褂肗TFS數(shù)據(jù)流，可以毫不費(fèi)力的隱藏?cái)?shù)據(jù)，所以自然會(huì)引起病毒木馬等惡意程序的“關(guān)注”，一旦被其非法利用，無疑會(huì)對(duì)系統(tǒng)安全構(gòu)成威脅。病毒木馬一般會(huì)使用NTFS數(shù)據(jù)流，將自身嵌入到正常的文件或者目錄中，來實(shí)現(xiàn)隱藏及啟動(dòng)的目的。

例如病毒木馬將自身文件寄存到E盤下名為“folder”的目錄中，其名稱其實(shí)是“folder:virus.exe”，之 后 其 會(huì) 創(chuàng) 建 一個(gè)VBS腳本文件，內(nèi)容很簡(jiǎn)單，只有一行語句“CreateObject("Wscript.Shell").Run "cmd /c start e:folder:virus",0”，并將該VBS文件添加到注冊(cè)表中的啟動(dòng)項(xiàng)中。這樣，當(dāng)開機(jī)后，病毒木馬就會(huì)利用NTFS數(shù)據(jù)流悄然啟動(dòng)。

當(dāng)然，病毒木馬也可以借助自解壓包來非法啟動(dòng)。例如，在上述包含病毒文件的“folder”目錄上點(diǎn)擊右鍵，在彈出菜單中選擇“添加到壓縮文件”項(xiàng)，打開WinRAR壓縮界面，在其中的“高級(jí)”面板中選擇“保存文件流數(shù)據(jù)”項(xiàng)，點(diǎn)擊“自解壓選項(xiàng)”按鈕，在高級(jí)自解壓選項(xiàng)窗口中的“常規(guī)”面板中的“解壓后運(yùn)行”欄中輸入“folder:virus.exe”。在“模式”面板中選擇“全部隱藏”和“覆蓋所有文件”項(xiàng)，將其變成自解壓文件。如果病毒制作者再為其更換一個(gè)具有迷惑性的圖標(biāo)，其危害就會(huì)變的更大。為了逃避安全軟件的監(jiān)控，病毒往往會(huì)使用免殺技術(shù)加以應(yīng)對(duì)。實(shí)際上，病毒木馬完全可以非法利用NTFS數(shù)據(jù)流來實(shí)現(xiàn)一定程度上的免殺功能。如果某些安全軟件對(duì)于NTFS數(shù)據(jù)流檢測(cè)功能支持不足的話，就很容易被病毒木馬鉆空子。

防范藏匿在NTFS數(shù)據(jù)流中的威脅

雖然說使用NTFS數(shù)據(jù)流技術(shù)，可以巧妙的隱藏?cái)?shù)據(jù)。但是，想發(fā)現(xiàn)其中的“貓膩”也并非難事。

例如在懷疑寄存了可疑內(nèi)容的文件或者文件夾上點(diǎn)擊右鍵，在彈出菜單中選擇“添加到壓縮文件”項(xiàng)，打開WinRAR壓縮界面，在其中的“高級(jí)”面板中選擇“保存文件流數(shù)據(jù)”項(xiàng)，之后將其打包為RAR壓縮文件。雙擊該壓縮包，在WinRAR中可以顯示其內(nèi)容（例如“1.txt”文件），當(dāng)雙擊該文件試圖對(duì)其操作時(shí)，WinRAR就會(huì)彈出錯(cuò)誤警告信息，可以讓用戶直觀的看到其中寄存的所有信息。

也可以先使用PEiD這款小工具，現(xiàn)將可疑的EXE文件打開，如果顯示“Nothing found [RAR SFX]”內(nèi)容，就說明其是自解壓文件。之后使用WinRAR直接打開，查看其注釋等信息，如果發(fā)現(xiàn)其中包含有諸如“Setup=xxx:xxx.exe”之類的內(nèi)容和，就可以肯定其包含了非法的NTFS數(shù)據(jù)流信息。因?yàn)闊o法直接查看到NTFS數(shù)據(jù)樓信息，而且狡猾的病毒很可能對(duì)相關(guān)信息進(jìn)行特殊偽裝，所以當(dāng)使用WinRAR查看可疑包體積明顯大于其中包含的數(shù)據(jù)容量時(shí)，就要引起警覺了。例如明明壓縮包內(nèi)空空如也，卻顯示其擁有不小的容量等。當(dāng)然，因?yàn)镹TFS數(shù)據(jù)流只能潛伏在NTFS分區(qū)，如果將其保存到非NTFS分區(qū)（例如采用FAT32分區(qū)的U盤）中，系統(tǒng)就會(huì)彈出警告信息，其中寄存的所有內(nèi)容就會(huì)暴露無遺。

此外，使用一些專門的工具，同樣可以讓寄存在NTFS數(shù)據(jù)流的不法分子現(xiàn)行。例如在CMD中運(yùn)行“l(fā)ads.exe”這款安全工具，就可自動(dòng)搜索當(dāng)前路徑下所有的NTFS數(shù)據(jù)流文件，執(zhí)行“l(fā)ads.exe/S”命令，可以搜索所有子目錄中的NTFS數(shù)據(jù)流信息。

但是該工具無法刪除NTFS數(shù)據(jù)流中嵌入的文件。使用微軟提供的“streams.exe”程序，可以解決該問題。在CMD中執(zhí)行“streams-d xxx命令，其中的“xxx”為目標(biāo)目錄，可以檢測(cè)該目錄中存在的NTFS數(shù)據(jù)流文件，對(duì)于找到的文件可以進(jìn)行刪除。例如，在“folder”文件夾綁定了NTFS數(shù)據(jù)流文件，執(zhí)行“streams -d e:folder”命令，就可以將其中嵌入所有的NTFS數(shù)據(jù)流數(shù)據(jù)清除，但是該目錄依然存在。實(shí)際上，將這兩個(gè)工具配合起來使用，查找和處理的效果更好。當(dāng)然為更好的提高安全性，安裝支持NTFS數(shù)據(jù)流檢測(cè)功能的功能強(qiáng)悍的殺軟是比較完美的選擇。