Загадь NTFS
технично!

Мало кому
известна такая вещь как ADS (Alternate Data Streams –
дополнительные потоки данных). В общем это
можно объяснить так: NTFS поддерживает
многопотоковые файлы в виде <FileName>:<StreamName>;
то есть один файл может иметь несколько
независимых потоков, различающихся именем (StreamName).
Над этими потокам можно осуществлять
обычные операции записи/чтения, указывая
после имени файла через двоеточие имя
потока.

Для примера
вывод на экран какой-либо проги
перенаправим в альтернативный поток:

ping.exe >>
somefile.txt:fuck

Весь прикол в том,
что при этом видимый размер файла не
изменился, так как ось померит размер
главного (дефолтового) потока (для
обращения к которому не пишется двоеточие и
его имя). А места на диске стало меньше из-за
того, что мы записали в поток fuck.

Как можно сие
использовать, догадайся сам.

Хотя, конечно,
кроме засерания NTFS-томов, для ADS можно найти
еще много других применений. Однако,
использование ADS какими-либо приложениями и
самой осью (win2000) мною замечено не было. Microsoft
не дает никаких способов борьбы или
обнаружения этих потоков.

Грохнуть
альтернативный поток обычным del не
получается. Самый простой способ
избавиться от альтернативных потоков –
перекинуть содержащий их файл на FAT, а потом
обратно.

Существуют проги
для их обнаружения. Я юзаю lads.

И еще:
дополнительные потоки можно цеплять и к
директориям, только файлы в них класть уже
нельзя :).

Здесь
в качестве примера я написал прогу на VB (ничего
другого не было), которая умеет писать
сколько надо и куда надо. То же самое можно (и
нужно) сделать на чем-либо другом (точно
также).

Оставить мнение

Check Also

Эхо кибервойны. Как NotPetya чуть не потопил крупнейшего морского перевозчика грузов

Российское кибероружие, построенное на утекших у АНБ эксплоитах, маскировалось под вирус-в…