隐写:NTFS STREAM

TFS文件流(ADS)的利用
一、隐藏信息
在任一NTFS分区下打开CMD命令提示符,输入echo abcde>>a.txt:b.txt,则在当前目录下会生成一个名为a.txt的文件,但 文件的大小只有0字节,打开后也无任何内容,只有当我们键入命令notepad a.txt:b.txt才能看见写入的abcde。
在上边的命令中,a.txt可以不存在。也可以是某个已存在的文件,文件格式无所谓,无论是.txt还是jpg,bmp,com,exe都行,b.txt也可以任意指定文件名以及后缀名。这样就可以将任意文本信息隐藏于任意文件中,只要不泄露冒号后的虚拟文件名(即b.txt),别人是根本不会查看到隐藏信息的。而且在已经使用NTFS文件流制造了隐藏信息后,包含隐藏信息的文件仍然可以继续隐藏其他的内容,例如abcde已经包含在a.txt:b.txt中,我们仍然可以使用命令echo 12345>>a.txt:c.txt建立新的包含隐藏信息的流文件,在命令行下使用notepad a.txt:c.txt打开后会发现12345这段信息,而abcde仍然存在于a.txt:b.txt中丝毫不受影响。
二、隐藏文件
我们要使用到的命令跟上面的大同小异,命令格式为type 文件名+后缀>>任意文件名+原文件后缀,比如type 1.jpg>>abc.def:2.jpg,就是将1.jpg的内容写入到abc.def:2.jpg这个流文件中,abc.def可以随便换,最好是使用正常的文件,这样隐蔽性会更强。
打开隐藏文件时就要致意了,如果用来打开文件的程序是系统自带的(位于系统目录下),直接输入程序名就可以了:但如果是使用另外的程序打开的话就要是加上完整的路径,且流文件也要带上完整的路径。例如使用画图工具打开abc.def:2.jpg,命令格式应该是mapaint abc.def:2.jpg,而如果使用ACDSee9打开的话,命令格式就应该是D:\ACDSee9\ACDSee8.exe D:\abc.def:2.jpg 注意上面的2.jpg,后缀最好跟原文件一致,不然使用第三方软件打开时可能会出错。比如type 1.jpg>>abc.def:2.jjj,使用Windows自带的画图工具可以顺利打开,但使用ACDSee9打开时却提示数据格式不可识别,必须改成.jpg后缀才可以打开。
同理,其他文件也可以这样隐藏,只要打开时根据后缀名找对应的程序就行了,而且也可以像隐藏信息那样隐藏多个文件。
三、捆绑木马
仍然是使用上面隐藏文件的方法,运行的命令格式为start 流文件路径,需要带上完整的路径,不然会提示参数不正确
四、注意事项
1.流文件不能直接通过网络传输,也不能使用WinRAR进行普通压缩后传输,那样会丢失信息,必须在压缩时选择高级选项里的“保存文件流数据“才行
2.制作好的流文件大小跟用来隐藏原文件的那个文件是一样的,但压缩后的文件还是包括了隐藏文件的大小,这说明NTFS文件流仍然会占用磁盘空间,这是判断文件是否包含流文件的重要方法,对比解压后的文件大小和压缩包的大小,如果前者小于后者那就说明这个压缩包里有猫腻
3.流文件必须要在NTFS分区下才能运行,一旦放到其他的文件系统分区中,即使再放回来,也会造成NTFS数据流的丢失

你可能感兴趣的:(Misc)