NTFS数据流及高级文件隐藏

一、NTFS数据流是什么:
    在介绍NTFS数据流之前,我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统,可以在“命令提示符”中输入“convert 分区盘符: /fs:ntfs”,即可将该分区的文件系统转换为NTFS。

  NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为“宿主文件:准备与宿主文件关联的数据流文件”。

NTFS数据流的创建和打开方式:

1、创建一个NTFS数据流

e:\type file.exe>>1.jpg:a.exe      以1.jpg文件为宿主文件,将file.exe文件寄宿在1.jpg文件中,创建了一个ntfs数据流,名称为1.jpg:a.exe,这样就讲file.exe文件以ntfs数据流的形式                                                           寄宿在了1.jpg文件中,并且形成了一个流文件1.jpg:a.exe,只要执行这个流文件就可以打开隐藏在1.jpg中的file.exe文件了。

2、打开一个NTFS数据流

start e:\1.jpg:a.exe                       打开ntfs数据流文件1.jpg:a.exe,这里start参数后面必须跟绝对路径,且只能在cmdshall中打开,双标双击无效。

然而在微软为了安全性,在windows-xp以后的操作系统(从win7开始)就不允许直接使用start打开ntfs数据流文件,而必须使用mklink命令来为流文件建立一个链接,然后通过这个链接文件来打开流文件,以上面的为例:直接使用start e:\1.jpg:a.exe是无法打开这个流文件的,提示权限不够,所以我们必须这样做:

1、首先为流文件建立一个链接

mklink e:\b.exe e:\1.jpg:a.exe              将流文件1.jpg:a.exe链接到快捷方式b.exe上

2、使用start打开这个流文件的快捷方式

start e:\b.exe                                      这样就可以打开1.jpg:a.exe这个流文件了


二、高级文件隐藏

将文件藏入另一个文件内,举例将文件藏入123.jpg文件

1、windows下隐藏:
copy /b 123.jpg +123.rar  1234.jpg    将123.rar隐藏到123.jpg中,生成的新文件为1234.jpg,修改后缀名还原,注意图片文件和压缩文件的顺序不能错,图片在前,否则图片不能正确显示。


2、linux下隐藏:
cat 123.zip >> 123.jpg                          将123.zip文件隐藏到123.jpg中,重定向到123.jpg中,修改后缀名还原


三、windows下创建系统隐藏文件夹

1、windows下创建隐藏文件夹
attrib +a +s +h  文件夹名称,创建一个系统隐藏的文件夹


你可能感兴趣的:(NTFS数据流及高级文件隐藏)