NTFS数据流漏洞

    NTFS数据流(ADS,Alternate Data Streams,附加数据流)通常用于保存文件额外信息,例如文件属性中的摘要信息就是以流的形式存储的。每个文件默认都有一个没有名字的主流,然后它还可以有其它若干附加流,这些流都为$Data属性,也就是数据属性,用WinHex查看一个文件的MFT,如果含有两个以上0x80属性,说明该文件存在附加流。主流是没有名字的,但附加流都有属性名,附加数据在Windows资源管理器里是不显示的,需要其它软件查看,所以,它可以用来隐藏数据。cmd下用Type命令可以建立附加流,格式为:Type 流文件>宿主文件:流名。例如Type C:\Windows\notepad.exe>D:\1.txt:test.exe,作用是将notepad.exe(记事本)这个文件附加到D:\1.txt文件中,附加后查看1.txt文件的大小,发现并没有改变,但实际上,1.txt藏着一个数据流,也就是notepad.exe,流名是test.exe,在cmd下输入start ./D:\1.txt:test.exe,即可运行notepad.exe,但仅xp下能执行EXE,其它系统不能直接执行EXE,因微软为了安全考虑将其禁用了(注意是禁止EXE流运行,而非禁止创建流)。而D:\1.txt:test.exe正是流的全路径。宿主文件可以是文件,也可以是目录,比如将流附加到根目录,这样流就无法删除了。

    然而,原本以为这个机制可能有利用价值,谁料偶然间却发现了NTFS流的一个问题。起初以为,流只会随着宿主文件的删除而消失,可没想到还有种情况,就是当宿主文件改变大小后,流文件居然莫名其妙地不见了。测试方法像上面说的一样,先在D盘建一个1.txt的空文件,大小是0字节,然后附加一个流进去,仍然是上面的命令,把记事本藏进去,这时用winhex查看1.txt的MFT记录,发现有两个0x80属性,第1个0x80属性长度是24字节,正好是属性头的长度,因为1.txt文件0大小,所以该文件没有内容,因而没有为此分配属性内容。接下来看第2个0x80属性,发现是test.exe流文件,是一个非常驻属性(因为notepad.exe文件比较大),此时还是没什么问题的,用AlternateStreamView软件扫描是能扫到test.exe流的。这时,我们打开1.txt,随便输入一个字符,比如“A”,保存。这时我想,此时文件的第二个0x80属性应该向下移动了一些位置,因为1.txt里面添了东西,所以它的数据属性会增加长度,结果用winhex查看发现,主流数据属性确实增加了8字节,第1个字节为字符A,剩下则是FF FF FF,不知是什么意思,感觉有问题,往下看果然如此,第二个0x80属性不见了,貌似是被覆盖了,WinHex已经无法识别到附加$Data属性。再在cmd下输入start来执行流,提示找不到文件,然后用AlternateStreamView和数据流扫描专家扫描,都扫不到流文件,看来流文件的记录已经被破坏了。这么说,如果宿主文件是EXE格式的倒影响不大,如果是txt等可编辑的文档,那就麻烦了,txt改变大小后,流便会丢失。以上是在XP/sp3下测试的结果,NTFS版本为3.1,不知道Vista/win7以上系统是否存在这个问题。

你可能感兴趣的:(漏洞发掘,系统安全,文件系统)