..
0 File(s) 0 bytes
2 Dir(s) 12,253,208,576 bytes free
C:\stuff>notepad :hide.txt
Теперь вы знаете, как блокнотом просмотреть и отредактировать прикрепленный AltDS, а так же как прикреплять его к файлам и папкам.
Сокрытие и запуск приложений
Скрыть приложения, используя AltDS так же легко, как и тестовые файлы. Для начала снова создадим базовый файл:
C:\WINDOWS>echo Test>test.txt
Далее поместим наше приложение в поток, для примера я использовал notepad.exe:
C:\WINDOWS>type notepad.exe>test.txt:note.exe
Теперь убедимся что в нашем файле все также текст:
C:\WINDOWS>type test.txt
Test
А теперь самое интересное, запустим наше спрятанное приложение:
C:\WINDOWS>start .\test.txt:note.exe
C:\WINDOWS>
Утилиты по работе с AltDS:
LADS — List Alternate Data Streams by Frank Heyne
www.heysoft.de/Frames/f_sw_la_en.htm
Streams.exe from SysInternals:
www.sysinternals.com/ntw2k/source/misc.shtml#streams
ScanADS command line tool:
www.kodeit.org/products/scanads/default.htm
ADS Spy GUI Scanner:
www.spywareinfo.com/~merijn/downloads.html
Crucial ADS GUI Scanner:
www.crucialsecurity.com/downloads.html
ADS Detector for Explorer:
www.codeproject.com/csharp/CsADSDetectorArticle.asp
Windows ports of Unix tools like CAT:
unxutils.sourceforge.net/
Скрытие одного файла в другом используя альтернативные потоки данных в NTFS.
Иcпользуя возможности файловой системы NTFS можно спрятать один файл в другой, просто добавив его как альтернативный поток данных.
Добавление одного файла в другой в качестве альтернативного потока данных.
1) Создайте на диске временную папку для работы (Например: D:\Temp) и скопируйте в нее файлы которые Вы желаете объединить.
2) Запустите командную строку (Win + R → cmd→ OK)
3) В соответствии с шаблоном введитекоманду и нажмите Enter ↵:
type file1 > file2:file3
где type - команда MS-DOS,
file1 - полный путь к файлу, который будет спрятан в альтернативный поток, включая его имя и расширение,
file2 - полный путь к файлу, в который будет добавлен альтернативный поток, включая его имя и расширение,
file3 - присвоенное имя скрытому файлу альтернативного потока данных. (Может быть идентичным наименованию файла из file1)
Символ перенаправления (>) записывает содержимое файла в другое месторасположение.
Например, чтобы добавить (спрятать) файл file1.pdf в файл file2.jpg введите:
type "D:\Test\file1.pdf" > "D:\Test\file2.jpg:file1.pdf"
Внимание: После добавления альтернативного потока данных размер файла в Проводнике визуально останется прежним.
Просмотр наличия альтернативных потоков данных в файле.
1) Запустите командную строку (Win + R → cmd → OK)
2) В соответствии с шаблоном введите команду и нажмите Enter ↵:
dir file /r
где file - полный путь к файлу, включая его имя и расширение, для которого необходимо отобразить альтернативные потоки данных.
Пример:
dir "D:\Test\file2.jpg" /r
Открытие скрытого файла в альтернативном потоке данных.
1) Запустите командную строку (Win + R → cmd → OK)
2) В соответствии с шаблоном введите команду и нажмите Enter ↵:
"program" file:stream
где program - полный путь к программе, необходимой для открытия альтернативного потока данных,
file - полный путь к файлу, содержащему альтернативный поток данных.
stream - наименование скрытого файла в альтернативном потоке
"C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\acrobat.exe" "D:\Test\file2.jpg:file1.pdf"
Примечание: Если Вы желаете добавить (спрятать) в качестве альтернативного потока данных файл-архив, то используйте rar-архив.
Пример открытия rar-архива из альтернативного потока данных:
"C:\Program Files\WinRAR\winrar.exe" "D:\Test\file2.jpg:file1.rar"
Удаление альтернативного потока данных:
1) Запустите командную строку (Win + R → cmd → OK)
2) Переименуйте Ваш файл, для этого в соответствии с шаблоном введите команду и нажмите Enter ↵:
ren file tempfile
type tempfile > file
где file - полный путь к файлу, включая его имя и расширение, из которого необходимо удалить альтернативные потоки данных. tempfile - временный файл с любым именем, но с идентичным расширением.
Пример:
ren "D:\Test\file2.jpg" temp.jpg
type "D:\Test\temp.jpg" > "D:\Test\file2.jpg"
3) Удалите временный файл, для этого в соответствии с шаблоном введите команду и нажмите Enter ↵:
del tempfile
Пример:
del "D:\Test\temp.jpg"
Если Вы желаете управлять альтернативными потоками данных файлов не только в командной строке, но и в графической оболочке, то скачайте программу ADS Tool или программу NTFS Stream Explorer
Данные программы позволяют добавить, сохранить в виде отдельного файла и/или удалить альтернативные потоки данных, плюс несколько дополнительных своих функций у каждой.
Программа для работы с потоками NTFS
NTFS Stream Explorer— программа для работы с альтернативными файловыми потоками NTFS и другими системными потоками, в том числе срасширенными атрибутами. На сегодняшний день последней версией программы является версия 2.1.1.
Здесь — официальная страница программы NTFS Stream Explorer, новые версии появляются именно тут.
Справка NTFS Stream Explorer.
Функции
-
Отображение всей основной информации о файле;
-
Отображение информации о всех именах файла (Win32, DOS, Posix имена, имена жёстких ссылок на файл);
-
Отображение и редактирование полного набора файловых атрибутов;
-
(NTFS) Отображение информации о атрибутах MFT;
-
(NTFS) Файловые потоки: вывод списка, создание, удаление, переименование, просмотр, экспорт, сжатие;
-
(NTFS, FAT16) Расширенные атрибуты: вывод списка, создание, удаление, переименование, просмотр, экспорт, задание флага атрибута;
-
(NTFS) Идентификатор объекта: создание, просмотр, импорт, экспорт, редактирование, удаление;
-
(NTFS, ReFS) Точки повторной обработки: создание, просмотр, импорт, экспорт, удаление;
-
(NTFS, ReFS) Символьные ссылки: создание, просмотр, редактирование, экспорт, удаление;
-
(NTFS) Сжатые файлы: информации о сжатии, установка и снятие атрибута как для файла, так и для его потоков;
-
(NTFS) Разреженные файлы: установка и снятие атрибута, просмотр и редактирование диапазонов байт;
-
(NTFS, ReFS) Отображение информации о файле из журнала USN;
-
(ReFS) Отображение информации о целостности файла.
История версий
-
Версия 2.1.1 — Исправлен баг, когда drag'n'drop переставал работать при уже открытом файле. К нескольким кнопкам в английском интерфейсе добавлены отсутствующие подсказки.
-
Версия 2.1 — Добавлена поддержка двух новых атрибутов файла (Windows Server 2012, файловая система ReFS). Добавлено отображение 128-битного идентификатора файла и расширенного серийного номера тома (Windows Server 2012, ReFS). Добавлена вкладка «Целостность», где отображается информация о целостности файла на ReFS. Добавлена вкладка «USN» где отображается информация, взятая из журнала изменений USN об открытом файле, если такая информация содержится в этом журнале. Журнал изменений USN имеется в NTFS и ReFS. Для Windows Server 2012 и ReFS поддерживается версия журнала 3.0, для остальных — версия 2.0. Добавлены кнопки диалогов открытия файла и каталога, для удобства. Добавлена настройка «Отключить перенаправление ФС для WOW64», которая отключает перенаправление файловой системы на 64-битных версиях Windows.
-
Версия 2.00.13.58 — Используемая в программе библиотека ObjIdLib обновлена до версии 0.2, в связи с этим добавлена новая возможность — теперь можно изменять весь идентификатор объекта, а не только его расширенную часть. Добавлен вывод сообщения об ошибке, если добавление идентификатора невозможно. Импорт идентификатора из файла и экспорт в файл теперь тоже могут быть выполнены как для всего идентификатора, так и только для расширенной части. Исправлено поведение программы, когда программа не выводила сообщения об ошибке при попытке создания идентификатора у файла, для которого это невозможно из-за отсутствия прав доступа. Добавлен перевод некоторых непереведённых пунктов меню и элементов интерфейса. На все вкладки и окна программы добавлена кнопка справки, которая открывает соответствующую страницу справки с этого сайта.
-
Версия 2.00 — Программа полностью переписана. Новый интерфейс основан на вкладках. Доступны операции с файловыми потоками, расширенными атрибутами, точками повторной обработки, идентификаторами объекта. Отображение информации, взятой из дисковых структур NTFS. Отображение и изменение всех возможных атрибутов файла. Доступны операции с диапазонами байт в разреженных файлах. Сканер файловых потоков исключён из состава программы, он будет позже выложен в виде отдельного приложения.
-
Версия 1.07 beta — При экспорте sparse-потоки теперь идентифицируются не только по размеру, но и по внутреннему содержимому (а именно, по первым 16 байтам). Это позволяет не путать потоки с одинаковым размером. Добавлена возможность создавать точки повторной обработки собственного типа. Исправлен баг, который делал кнопку удаления точки повторной обработки недоступной.
-
Версия 1.06 beta — Исправлен баг экспорта содержимого sparse-потоков. Исправлен баг с открытием файлов через строку аргументов приложения. Добавлена возможность создавать у файла системный поток типа $OBJECT_ID, а также записывать собственные данные в Extended-поле потока данного типа.
-
Версия 1.05 beta — Теперь в программе можно выбрать интерфейс на английском языке.
-
Версия 1.04 beta — Добавлен сканер потоков (пока реализован поиск только альтернативных файловых потоков NTFS). В интерфейсе включены клавиатурные сочетания.
-
Версия 1.03 beta — Добавлена возможность просмотра и экспорта системных потоков $OBJECT_ID и $REPARSE_DATA. Обновлён интерфейс.
Скачать программу NTFS Stream Explorer
Скачать версию 2.1.1(660 Кб)
Скачать версию 2.1(660 Кб)
Скачать версию 2.00(641 Кб)
Скачать версию 1.07 beta(660 Кб)
Скачать версию 1.06 beta(635 Кб)
Скачать версию 1.05 beta(631 Кб)
Скачать версию 1.04 beta(551 Кб)
Скачать версию 1.03 beta(543 Кб)