NTFS交换数据流实现文件隐藏

NTFS交换数据流(Alternate Data Streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流。通俗的理解,就是其它文件可以“寄宿”在某个文件身上,而在资源管理器中却只能看到宿主文件,找不到寄宿文件。利用ADS数据流,我们可以做很多有趣的事情。




实验磁盘必须是NTFS格式


 一、ADS数据流文件的创建


在E盘一个单独文件夹 并建立宿主

1、进入DOS窗口

cd/d e:
md 123
cd 123
echo 1234567890>1.txt (这是宿主)
echo abcdefg>1.txt:ADS.txt(这是ADs流)

2、查看ADS。txt
用DIR查看 就只能看见1.txt
用资源管理器查看,也只能查看1.txt
lads能看见




ADS流文件成功创建了,那我们如何查看呢?
notepad.exe 记事本进程
只需要在DOS窗口中键入
notepad 1.txt:ads.txt
弹出记事本窗口
就能看见ads.txt的内容



当然ADS数据流文件不止这些、
图片也可以
准备一张图片。
使用的DOS命令有
echo
type
mspaint
1、 建立1.txt为宿主文件
echo >1.txt
type 1.jpg >1.txt:2.jpg (寄生到1.txt)
del 1.jpg (删除1.jpg)
在123 目录中只有1.txt (可见)
和ads流1.txt:2.jpg (不可见)
DOS窗口键入
mspaint 1.txt:2.jpg
这是就用画图 打开 寄宿在1.txt的2.jpg 图片


对于隐藏的文件,流文件名必须有"."这个后缀,否则无法直接由notepad命令打开。可以直接由notepad读取出来的文件格式有:.txt .xml .c .h .htt .ani .reg等。


删除方法
在刚才的窗口继续输入下面的东西
type 你文件的路径+名称>你文件的路径+名称.tmp 如type H:\test\test.txt>H:\test\test.txt.tmp
del 你文件的路径+名称 如:del H:\test\test.txt

ren 你文件的路径+名称.tmp 你文件的名称 如:ren H:\test\test.txt.tmp test.txt


你可能感兴趣的:(NTFS交换数据流实现文件隐藏)