NTFS文件流体验 360能否查杀隐藏脚本

什么是NTFS文件流

NTFS交换数据流（alternate data streams，简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流，就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息。

实操一番

按照林老师上课讲的步骤，创建一个文本文件之后，在命令行中调用命令

image.png

image.png

然后使用命令行命令尝试找出这个数据流
当使用普通查看文件目录的方法时，并不管用

image.png

课上讨论知道dir /r 可以用

image.png

果然可以

接下来尝试其他操作

当我们删除原本的文件时，数据流文件也会跟着消失

image.png

如果我们直接创建一个数据流文件呢

如图所示，我们直接在目录下面创建了一个:test.txt的数据文件，发现并没有在目录里面显示，同时使用上面的语句也可以发现

image.png

image.png

随后尴尬的事情发生了，我发现没有办法去删掉这个数据流文件了。。。
只好把整个目录都删掉。。。
这里上网搜索发现可以做一个自解压木马，以后可以尝试

和360碰一碰

我的思路是这样的，写一个一句话木马，作为数据流文件，测试一下360能否把这个隐藏的脚本给查杀。

image.png

image.png

写入脚本，保存

找到另一台装了360的电脑，对文件进行查杀
在这里尴尬的事情发生了，当我想用U盘拷贝文件的时候，报错了，原因是U盘的文件格式不支持NTFS，U盘一般都是fat或者fat32，果然不能支持ntfs的数据流，只好到另一台电脑上现场制作。

png

结果是360并不能查出来这是一个木马，可能威胁还不够