DIR /B C:\WINDOWS\System32\*.SCR
DIR /B C:\WINDOWS\System32\*.* |PRONAĐI /i ".SCR"
Detaljno opišite svrhu parametara svake naredbe (zapamtite da za svaku komandu možete pozvati pomoć pomoću tipke /?). Imajte na umu da isti tasteri mogu imati različite efekte za različite komande.
4.1.8. Tokovi datoteka NTFS*
NTFS sistem datoteka podržava tokove datoteka - alternativne tokove podataka. Zapravo, tokovi datoteka su kombinacija nekoliko datoteka u jednu grupu sa jednim zajedničkim imenom datoteke (svaki tok ima svoje dodatno ime). Unutar grupe postoji glavni tok podataka, s kojim većina programa radi kao datoteka, i dodatni imenovani tokovi koji se ne prikazuju na uobičajen način. Tokom operacija datoteka kopiranja, premeštanja, brisanja itd., u NTFS-u se operacija izvodi na celoj grupi. Kada koristite neke arhivatore i kopirate datoteke koje sadrže alternativne tokove na FAT particiju, ovi tokovi mogu biti izgubljeni. Tehnički, alternativni tokovi se koriste za dopunu datoteke informacijama bez promjene sadržaja glavnog toka i bez kreiranja dodatne datoteke, koji se može izgubiti.
Antivirusi koriste alternativne tokove za spremanje informacija o datoteci („otisak prsta“, kontrolni zbir) kako bi otkrili promjene u datoteci tokom vremena. Klijenti za dijeljenje datoteka Direct Connect (DC++) mogu pohraniti rezultate heširanja (kalkulacije kontrolne sume) za velike datoteke koje se koriste kada se datoteka premešta i ponovo hešira, uvelike ubrzavajući ažuriranje liste.
U budućnosti, bibliotečki programi, filmske biblioteke i audio biblioteke mogu koristiti alternativne tokove za skladištenje, zajedno sa dokumentima, tokovima korica, audio zapisa, opisa i na različitim jezicima. Alternativni tokovi omogućavaju prilaganje "tajnih" podataka, što predstavlja potencijalnu opasnost.
Možete vidjeti informacije o streamovima koristeći STREAMS 25 naredbu, NTFS Stream Explorer26 program, koristeći module proširenja fajl menadžeri 27, u Windows 7 komanda dir /r navodi sve niti za navedene objekte (također možete koristiti dodatne prekidače sa komandom dir).
Prilikom spremanja datoteka sa Interneta, po defaultu se tok Zone.Identifier 28 dodaje datoteci u NTFS, koji ima ini format datoteke i obično sadrži tekst:
Parametar ZoneId sa brojem označava zonu iz koje je datoteka stigla na računar, broj zone je preuzet iz postavki sigurnosne zone (; Control Panel/Internet opcije(Mreža i Internet / Svojstva pretraživača -
Zera )/kartica Sigurnost). Dozvoljene su sljedeće vrijednosti29: 0 – lokalni računar
1 – intranet ( lokalna mreža, domena)
2 – pouzdani izvor
3 – Internet
4 – nepouzdani izvor
Ako je vrijednost 3, sistem će izdati upozorenje “ Ne mogu provjeriti
rip izdavača. Da li zaista želite da pokrenete ovaj program?"
Na dnu poruke nalazi se kvadratić " Uvijek pitajte kada otvarate ovaj fajl", uklanjanjem koje uklanja tok Zone.Identifier. Ako ZoneId sadrži vrijednost 4, pojavit će se upozorenje " Ove datoteke se ne mogu otvoriti. Postavke internet sigurnosti su vas spriječile da otvorite
25 tokova (http://technet.microsoft.com/ru-ru/sysinternals/bb897440)
26 NTFS Stream Explorer, program za rad sa NTFS streamovima (http://hex.pp.ua/ntfs-stream-explorer.php)
27 Informacije o NTFS fajlu
(http://forum.farmanager.com/viewtopic.php?t=2050)
28 Možete onemogućiti kreiranje blokirajuće niti za datoteke u lokalnom uređivaču grupna politika(gpedit.msc):Korisnička konfiguracija
/ Administrativni predlošci / Windows komponente / Upravljač prilozima / Uklonite informacije o zoni porijekla priloga.
29 Zone.Identifier stream (http://hex.pp.ua/Zone.Identifier.php)
jedan ili više fajlova" i otvaranje datoteka je blokirano. Kada otvorite prozor Svojstva u Exploreru za datoteku primljenu sa Interneta, dugme Deblokiraj se pojavljuje na dnu kartice Opšte i
"Oprez: Ovaj fajl je došao sa drugog računara i možda je blokiran radi zaštite vašeg računara" “, pritiskom na dugme Unblock uklanja tok Zone.Identifier.
Koristeći internet pretraživač, preuzmite STREAMS.zip datoteku (možete preuzeti bilo koju malu datoteku tako što ćete navesti njeno ime u naredbi ispod), sačuvajte je u root folderu F: diska, pogledajte sadržaj toka Zone.Identifier sa naredba:
VIŠE< F:\Streams.zip:Zone.Identifier
Otvorite prozor Svojstva u Exploreru (Alt+Enter ili komanda Properties kontekstnog menija) za preuzetu datoteku, na kartici Opšte, kliknite na dugme Deblokiraj i ponovite prethodnu komandu u konzoli.
Kreirajte test datoteku s naredbom koja preusmjerava tekst operatora izlaznog teksta, dodajte alternativni stream, pogledajte rezultat:
ECHO Glavni tekst > F:\M.TXT
ECHO Skriveni tekst > F:\M.TXT:Secret.TXT
TIP F:\M.TXT
VIŠE< F:\M.TXT:Secret.TXT
Alternativni tok teksta se može učitati u notepad:
BILJEŠKA F:\M.TXT:Secret.TXT
Alternativni tokovi se također mogu kreirati za foldere i sistemske datoteke30.
Tokovi se također koriste za pohranjivanje proširenih atributa31.
30 Skriveno skladištenje podataka u tokovima datoteke $Repair u sistemskom direktoriju $RmMetadata (http://hex.pp.ua/RmMetadata.php)
31 Prošireni NTFS i FAT16 atributi
(http://hex.pp.ua/extended-attributes.php) 53
Nedavno, zbog smanjenja cijene hardvera (u dolarskoj protuvrijednosti), sve veći broj korisnici računara imaju na raspolaganju sredstva sasvim dovoljna za rad operativni sistem Microsoft Windows NT (i200MMX + 32-64 Mb). Nepouzdanost i nepredvidivost Windows 95/98, kao i njegova nemogućnost upravljanja resursima na odgovarajućem nivou savremenih kompjutera navodi mnoge korisnike na razmišljanje o prelasku na NT.
Istovremeno, mnogi neiskusni korisnici ne pronalaze ništa radikalno novo za sebe. I zaista, nakon instalacije Internet Explorer 4 i bez iskorišćavanja mnogih mogućnosti NT-a za provođenje sigurnosnih politika, najveća razlika u odnosu na Windows 98 može se činiti u tome što je prisustvo dva startup foldera u početnom meniju ( trenutni korisnik i zajednički za sve korisnike) i odsustvo dodatka/ukloni hardverskog apleta na kontrolnoj tabli. Šta ako ne formatirate disk? sistem datoteka NTFS, onda možda nećete naći veliku razliku.
Ali ovaj članak samo opisuje neke od razlika između NTFS i FAT, VFAT, FAT16 i FAT32. Dobro poznate razlike: sposobnost samoizlječenja, lijeno pisanje, maksimalni volumen i veličina datoteke do 16 eksabajta ( 1 eksabajt = 1.000.000 GB), sposobnost kompresije odvojeni fajlovi i folderi, postavljanje dozvola i revizija su prilično široko pokriveni u literaturi i dokumentaciji za Windows NT. Ali i dalje postoje malo poznate i malo korišćene karakteristike NTFS-a: tvrde veze (tvrde veze) i višestruki tokovi podataka (množenje tokova podataka ili forks). Dalje ćemo pričati o njima.
Višestruki tokovi podataka. Ovaj termin je poznat korisnicima Macintosha. U ovom sistemu, datoteka može imati dvije vilice: tok podataka i tok resursa. Tok podataka pohranjuje podatke datoteke - ovaj tok se kopira kao jedini prilikom prijenosa datoteke sa Macintosh-a na PC. Drugi tok datoteke je tok resursa koji sadrži podatke operativnog sistema - menije, ikone, fontove, općenito, sve što se obično naziva resursima. Kada Windows NT Server opslužuje Macintosh klijente i pruža im prostor na disku za skladištenje datoteka, sistem datoteka servera mora podržavati format datoteke klijenta. Ovo je jedan od razloga za pojavu višestrukih tokova podataka u NTFS.
Kako se to implementira? Svaka informacija o datoteci, počevši od njenog imena, dozvola i završavajući sa stvarnim podacima pohranjenim u datoteci, sa stanovišta NTFS-a je atribut pohranjen u svom vlastitom toku. Programeri NTFS-a smatrali su da je moguće ne ograničiti se na jedan stream za podatke - neimenovani, i dodali su mogućnost kreiranja nekoliko, pored glavnih, imenovanih tokova. Za kreiranje više niti možete koristiti Win32 API funkciju, ali postoji lakši način.
Još od vremena Kernighana i Ritchieja, programera C jezika i operativnog sistema UNIX sistemi Mnogi operativni sistemi imaju sposobnost generalizacije ulazno-izlaznih operacija. Sa ove tačke gledišta, svaka I/O operacija se može smatrati operacijom unosa iz toka ili izlaza u tok, bez obzira na to koji je izvor podataka (konzola, tj. tastatura, datoteka ili port) i prijemnik (opet konzola, u ovom slučaju već ekran monitora, štampač ili datoteka). Također je moguće preusmjeriti ulaz - programski izlaz sa ekrana na štampač i unositi komande ne sa tastature, već iz datoteke. U naše vrijeme raširene upotrebe grafike korisnički interfejs Ove mogućnosti se vrlo rijetko koriste, pa ćemo to ilustrirati primjerom.
Naredba echo operativnog sistema Microsoft koristi se za prikaz informacija na ekranu u tekstualnom načinu:
C:>echo Zdravo, svijete!
Komanda echo koristi ekran monitora kao izlazni uređaj. Izlaz ove naredbe može se preusmjeriti s konzole na datoteku (za ovo koristite simbol “>”):
C:>echo Zdravo, svijete! > fajl
Kao što vidite, komanda echo u ovom slučaju nije ništa prikazala na ekranu. Ali u datoteci možete pronaći redak "Zdravo, svijet!". Slično, izlaz naredbe echo može se preusmjeriti na pisač:
C:>echo Zdravo, svijete! >lpt1
Na ekranu opet nema ničega, ali na listu papira u štampaču možete pronaći isti red „Zdravo, svete!“, ako je, naravno, štampač povezan na lpt1 port. Dakle, izlaz bilo kojeg programa u tekstualnom modu može se preusmjeriti na bilo koji uređaj koji podržava streaming informacija ili na datoteku, s izuzetkom onih programa koji u tekstualnom načinu koriste direktnu modifikaciju video memorije i druge nestandardne, od tačke sa stanovišta klasičnog C-a, mogućnosti za izlaz informacija.
Slično, možete preusmjeriti unos programa. Komanda more Microsoft operativnih sistema se koristi za baferovanje izlaza komandi koje prikazuju više informacija nego što stane na ekran. Ali ova naredba se također može koristiti za ilustraciju preusmjeravanja unosa:
C:>više Hello, World!
Datoteka je sadržavala string “Hello, World!”, koji je bio usmjeren na ekran.
Slično, koristeći I/O preusmjeravanje, možete kreirati i čitati više tokova podataka:
C:>echo string1 > file:fork1
Ulaz file:fork1 definira tok pod nazivom fork1 u datoteci (pošto još ne postoji, kreira se novi sa ovim imenom) i preusmjerava izlaz naredbe echo na njega. U ovom slučaju, veličina datoteke se ne mijenja prilikom pregleda njenih svojstava i standardna koristeći Windows NT, bez poznavanja imena niti, njeno postojanje se ne može utvrditi. Ali, znajući njegovo ime, možete koristiti naredbu more da odredite njegov sadržaj:
Na ovaj način možete kreirati i čitati sadržaj tokova podataka datoteke. Broj niti kreiranih u jednoj datoteci ograničen je samo dostupnošću slobodan prostor na disku. Slično, možete kreirati tokove podataka u direktorijima, ali da biste vidjeli sadržaj toka, morat ćete koristiti drugi način prikazivanja toka na ekranu, jer naredba more proizvodi sljedeću grešku:
Ako ne možete pronaći ništa prikladno, možete napisati sljedeći program u bilo kojem C++ kompajleru:
while (cin.get(ch)) cout.put(ch);
Bolje je napraviti ovaj program kao Win32 konzolnu aplikaciju i koristiti ga kao alat za proučavanje tokova direktorija.
Windows NT ne pruža standardnim sredstvima da dobijete informacije o više tokova podataka. Ali šta ako su vam takve informacije i dalje potrebne? U ovom slučaju možete koristiti streams program Marka Russinovicha, koji zajedno sa izvorni kod možete dobiti na www.sysinternals.com. Ovaj program koristi nedokumentirano Windows funkcije N.T. Evo informacija dobijenih pomoću programa streamova o datoteci:
NTFS Streams Enumerator v1.0
Systems Internals - http://www.sysinternals.com
Ovdje možete vidjeti i ime toka podataka i njegovu veličinu u bajtovima (dodatna 3 znaka su razmak nakon znaka “>”, povratak na nosivu i liniju dodana komandom echo). Nažalost, tokovi vam ne dozvoljavaju definiranje više tokova podataka u direktorijima.
Za šta se može koristiti više tokova podataka? Pored upotrebe koju je Apple pronašao za njih, možemo govoriti o najjednostavnijim načinima skrivanja informacija, na primjer, da zapamtite datum instalacije shareware programa. U zoru OLE tehnologije, Microsoft je zamislio korištenje tokova podataka za pohranjivanje informacija o ugrađenim objektima, ali se očito ispostavilo da je pružanje tokova podataka na FAT-u teže od kreiranja dugih imena datoteka i ideja je morala biti napuštena. Kreiranje „datoteke resursa“ za skriptu sa pohranjivanjem svih natpisa na kojima se prikazuju različitim jezicima, takođe bi moglo biti zanimljiva prilika primjena tokova. Pored navedenog, postoji još mnogo zanimljivih aplikacija za više tokova podataka, stoga ih nemojte zanemariti.
Tvrde veze. Korisnici različitih klonova UNIX-a upoznati su sa ovim konceptom. Za razliku od FAT sistema datoteka, koji dozvoljava svakoj datoteci da ima samo jedno ime, UNIX nema takvo ograničenje - svaka datoteka može imati više imena i njeni podaci se ne mogu izbrisati sve dok broj imena datoteke nije 0. U UNIX-u također ima simboličke veze - analogni prečicama u Windows-u, ali prate kretanje objekta na koji se odnose.
Windows NT ima ograničenu usklađenost sa standardom POSIX (Prenosivi operativni sistemski interfejs za računarska okruženja). Jedan primjer ograničenja je podrška za tvrde veze i nedostatak podrške za simbolične. Očigledno je odlučeno da su prečice dostojan analog simboličkih veza.
U NTFS-u, tvrde veze su organizovane na sličan način kao i višestruki tokovi podataka: ako datoteka ima više tokova podataka, zašto ne može postojati više imenovanih tokova? Više imena datoteka mogu biti u različitim direktorijima, ali samo unutar iste particije.
Da biste kreirali čvrstu vezu, potreban vam je program podsistema Windows NT POSIX. Takav program, zajedno sa izvornim tekstovima, nalazi se na CD-u “ Windows resursi NT.” Po analogiji sa UNIX-om, ovaj program se zove ln. Sintaksa za ovu naredbu je:
C:>Ln fajl hardlink1
Ovom komandom kreiramo za fajl fajl drugo ime ili hard link hardlink1 i promjenom sadržaja fajla možete promijeniti sadržaj hardlink1, odnosno to je isti fajl, ali sa dva imena. Na sličan način možete promijeniti druge atribute datoteke. Broj naziva datoteka nije ograničen, ali kada kopirate ime datoteke, veza se prekida i stvara se druga datoteka. Moguće je kreirati vezu u drugom direktoriju:
C:>Ln fajl ../temp/hardlink2
U ovom slučaju, morate navesti relativno ime direktorija umjesto apsolutnog.
Čvrstih veza ima isto toliko namjena koliko i višestrukih tokova podataka. Na primjer, kreirajte čvrste veze za dll biblioteke kako biste zaštitili svoj program od slučajnog brisanja potreban fajl. Ostale moguće upotrebe tvrdih veza najbolje se mogu naći u literaturi o UNIX-u. I, naravno, korištenje tvrdih veza može se kombinirati s višestrukim tokovima podataka opisanim gore.
CIO-ovi troše mnogo vremena i resursa na sistemske projekte analitička obrada informacije o prodaji i druge standardne poslovne podatke. Istovremeno se kreiraju kontrolne table za menadžere kako bi prikazali indikatore učinka kompanije i pomogli im da naprave prognoze za budućnost. Takvi sistemi donose značajne poslovne koristi, ali u stvari, mogućnosti koje otvaraju samo su mali dio onoga što se može učiniti s podacima dostupnim organizaciji, kaže Krishna Nathan, CIO kompanije S&P Global (ranije McGraw Hill Financial), koja bavi se kreditnim rejtingom, kao i pružanjem konsultantskih i analitičkih usluga za berzu. Pod Nathanovim vodstvom, dizajniran je i implementiran novi sistem za obradu podataka u cijelom preduzeću, implementirajući strategiju koja ima za cilj ubrzanje rasta poslovanja i kreiranje novih ponuda za klijente.
Neke kompanije počinju prikupljati dodatne podatke - nazivaju ih alternativnim, netradicionalnim ili ortogonalnim. Ovo je još uvijek novi smjer, ali CIO bi se trebali upoznati sa relevantnim tehnologijama danas. Uostalom, vrlo brzo će alternativni podaci postati obavezan alat za mnoge kompanije.
Međutim, nemojte žuriti da zaposlite još jednog skupog stručnjaka. Hajde da shvatimo o čemu zapravo pričamo.
Šta su "alternativni podaci"
Nathanova definicija alternativnih podataka je da su to podaci koji dolaze iz netradicionalnih izvora i mogu se analizirati kako bi se pružili korisni uvidi izvan onoga što inače dobijate.
Recimo da imate trgovački lanac i namjeravate otvoriti novu radnju u drugom gradu. Obično se takva odluka temelji na performansama vaših trgovina u određenom gradu i drugim gradovima.
Alternativni izvor podataka ovdje bi mogle biti fotografije parkirališta supermarketa snimljene tokom nekoliko mjeseci – nivoi popunjenosti parkinga mogu se povezati sa obimom prodaje. Kao i informacije o pješačkom saobraćaju u zoni gdje se planira otvaranje radnje. Kombinacijom informacija koje dobijete možete naučiti nešto novo što će vam pomoći u vašem poslovanju.
S&P Global također pruža analitičke usluge robnim berzama, a CIO mora stalno razmišljati o tome kako kupcima ponuditi alternativne izvore podataka. dodatne informacije, kako kombinirati različite informacije kako bi kupcima dali informacije koje ne mogu dobiti nigdje drugdje.
Recimo, S&P Global ima informaciju da rafinerija nafte u Roterdamu može proizvesti 100 hiljada barela naftnih derivata dnevno. Ali zbog nestašice zaliha preradi se oko 70 hiljada barela, odnosno slobodan kapacitet za još 30 hiljada šta se dešava nakon što u luku uđe tanker sa 30 hiljada barela? „Ako je izvještaj o raspoloživim kapacitetima tvornice od prije tjedan dana, nećemo znati da je nafta upravo istovarena“, objašnjava Nathan. – Odnosno, tradicionalni podaci su zastarjeli. Ovdje je koristan izvor alternativnih podataka kao što su satelitski snimci. Ako analiziramo satelitske snimke zajedno s drugim izvorima, dobićemo precizniju sliku o rezervama i proizvodnji u gotovo realnom vremenu.”
Alternativni podaci i CIO
Čak i ako nemate gotove skripte aplikacijama, upoznaju se sa novim tehnologijama. Planirajte sisteme koji vam omogućavaju da kombinujete više izvora podataka za analizu. Naučite upravljati lancem isporuke podataka, zaštititi ga i uzeti u obzir prava korištenja. I zaposlite potrebno osoblje - potrebni su vam iskusni naučnici podataka koji mogu analizirati podatke i izvući korisne informacije.
Za brzo lansiranje projekta u oblasti alternativnih podataka, možete koristiti gotova rješenja. To je ono što je S&P Global uradio kada je Platts, podružnica kompanije, kupio cFlow, alat za tumačenje satelitskih snimaka. CFlow nudi alate za vizualizaciju koji vam omogućavaju praćenje promjena u trgovinskim tokovima duž ruta brodova i pruža informacije o količini i prirodi tankerskog tereta.
Uvjerite menadžment kompanije da je došlo vrijeme za ulaganje u alternativne podatke - kupovinu postojećih rješenja ili stvaranje vlastitih. Neki od vaših alternativnih projekata podataka će raditi, ali mnogi će propasti. Pa, ako alternativni podaci donose zaista vrijedne informacije, iskoristite ih za primanje sredstava za nove projekte.
– Martha Heller Šta su „alternativni podaci“ i kako ih možete koristiti? CIO. 3. JANUAR 2017
Windows operativni sistemi su opremljeni sa dvije malo poznate funkcije skrivanja podataka: nitima NTFS podaci(takođe poznat kao alternativni tokovi podataka) i pristup listi resursa zasnovanih na nabrajanju zasnovanom na pristupu (ABE). Alternativni tokovi podataka pružaju mogućnost dodavanja skrivenih informacija u datoteku, kao što su informacije o datoteci. Vjerovatno nećete morati koristiti skrivene tokove podataka, ali napadači bi mogli koristiti ovu tehnologiju protiv vas, tako da biste trebali biti svjesni toga i kako bi mogla funkcionirati.
Što se tiče ABE metode, ona može dodati vašem arsenalu. Ova metoda vam omogućava da to učinite nevidljivi folderi i dijeljene datoteke resursa za one korisnike koji nemaju dozvolu da im pristupe.
Evo šta trebate znati o ovim fondovima.
Rijeke koje napajaju more podataka
Alternativni tokovi podataka su karakteristika NTFS sistema datoteka. Nekada su bili uključeni u Windows NT 3.1 kako bi se omogućilo korisnicima NT-a i Macintosha da dijele datoteke.
NTFS datoteka se sastoji od tokova podataka. Ovo je standardni tok podataka $DATA i moguće jedan ili više alternativnih tokova podataka. Svaki korisnik sa potrebnim dozvolama za datoteku može vidjeti postojeći $DATA tok podataka, može ga otvoriti i čitati i pisati podatke u tok.
Alternativni tok podataka je dodatne informacije ili datoteke koje korisnik ili aplikacija mogu dodati NTFS datoteci. Samo korisnik koji ga je kreirao zna za postojanje alternativnog toka podataka. Korisnici obično ne znaju da li je alternativni tok podataka priložen datoteci; Poenta je da ni sadržaj ovog streama ni njegov naziv nisu vidljivi. Osim toga, ne postoji način da vidite promjenu veličine datoteke.
Postoji mnogo načina za korištenje alternativnih tokova podataka. IN Windows sistem ovi tokovi se koriste za pohranjivanje sažetih podataka dokumenata kreiranih od strane aplikacija koje nisu uključene u paket Microsoft Office, kao što su jednostavne tekstualne datoteke (.txt). Možete unijeti sažete informacije, kao što su naslov, predmet i informacije o autoru, na kartici Sažetak dijaloškog okvira Svojstva datoteke. Ovi zbirni podaci se pohranjuju u alternativni tok podataka, SummaryInformation.
Windows aplikacije kao što je šifriranje Sistem datoteka(EFS) i Windows Explorer, koristite alternativne tokove podataka da priložite podatke koji se odnose na određene datoteke datotekama koje su pohranjene na diskovima formatiranim pod NTFS sistemom. EFS dodaje informacije o kodiranju i dekodiranju šifriranim datotekama koristeći alternativne tokove podataka, omogućavajući decentralizirano šifriranje i dešifriranje od strane EFS-a.
U Windows XP servisnom paketu 2 (SP2), Microsoft Internet Explorer (IE) koristi alternativni tok podataka Security.Zone da obezbedi klasifikaciju bezbednosnih zona za datoteke uskladištene na NTFS volumenu. Kao rezultat toga, IE ima mogućnost da blokira napade eskalacije korisnika koji se mogu dogoditi u situacijama kada korisnik preuzima zlonamjerni kod sa nezaštićenog područja interneta i pohranjuje kod na lokalni tvrdi disk. IE klasifikuje lokalno pohranjeni sadržaj u sigurnosnu zonu lokalnog računara, koja pruža više prava od Internet sigurnosne zone. XP SP2 uvijek provjerava tok podataka Security.Zone prije nego što dozvoli učitanom kodu da preduzme bilo kakvu radnju na lokalnom sistemu.
Kanal za uvođenje zlonamjernog koda
Ono što čini alternativne tokove podataka vrijednim pažnje i opasnošću je to što se njihova imena i sadržaj ne prikazuju u Windows Exploreru. Stoga organizatori raznih vrsta napada takve tokove smatraju pogodnim sredstvom za skrivanje podataka ili zlonamjernog koda koji je ušao u sistem. Primer upotrebe ovih niti je crv VBS.Potok@mm. Hakeri su koristili alternativni tok podataka da prikače više Visual Basic (VB) skripti na postojeću ODBC .ini datoteku.
Kada se aktivira, crv stvara račun sa administrativnim ovlastima i šalje se na adrese koje sam otkrije adresar Microsoft Outlook.
Još jedna opasnost je da se prostor na disku dodijeljen za alternativne tokove podataka ne odražava u veličini (datoteke) Windows Explorera i nedodijeljenim podacima o prostoru na disku. Haker može koristiti alternativne tokove podataka da popuni prostor na disku servera datoteka, ostavljajući administratora da se češe po glavi pokušavajući doći do dna problema. Dodatno, treba napomenuti da uslužni program Dir komandne linije ne uzima u obzir alternativne tokove podataka prilikom izračunavanja podataka o veličini (datoteke i fascikle). Trenutno postoji samo jedan Microsoftov alat koji može uzeti u obzir alternativne tokove podataka prilikom izračunavanja veličina: uslužni program Chkdsk.
Dodavanje nove teme
Svako ko ima dozvolu za pisanje u NTFS datoteku može koristiti redovne komande operativni sistem da priloži alternativni tok podataka datoteci. Na primjer, sljedeća naredba kreira alternativni tok podataka mystream, dodaje mystream datoteci pod nazivom file.txt i pohranjuje frazu "strogo povjerljivo" u mystream.
echo top secret > file.txt: mystream
Možete pogledati sadržaj mystreama koristeći naredbu
Kao što je gore navedeno, možete dodati alternativnim tokovima podataka izvršne datoteke. Stoga je moguće dodati skrivenu kopiju Windows kalkulatora (calc.exe) u datoteku file.txt. Da biste to uradili, potrebno je samo da unesete komandu
otkucajte calc.exe > file.txt: calc.exe
Da biste pokrenuli skriveni kalkulator, unesite naredbu
start .file.txt: calc.exe
Možete sami provjeriti da se alternativni tokovi podataka i njihov sadržaj ne prikazuju u alata ah Microsoft. Otvori Windows program Explorer i pogledajte svojstva datoteke file.txt. Stvarna veličina datoteke je 112 KB (toliko prostora zauzima ugrađena calc.exe datoteka) - ali program će prikazati veličinu datoteke kao 0 KB: nema informacija o ugrađenoj datoteci u toku podataka $DATA, i Windows aplikacija Explorer nema mogućnost čitanja informacija iz alternativnog toka podataka.
Jasno je da postoje mnoge prijetnje povezane sa alternativnim tokovima podataka, posebno u mrežama u kojima se ne pridaje dužna pažnja poslovima izdavanja dozvola za pristup NTFS resursima i nije uspostavljena stroga kontrola pristupa. Windows serveri. Postoji jednostavan sigurnosni mehanizam koji može spriječiti hakere da pokušaju da iskoriste prednosti alternativnih tokova podataka - NTFS sistem kontrole pristupa. Ako napadači nemaju dozvolu za pisanje podataka u datoteku, neće moći kreirati alternativne tokove podataka i dodati ih u datoteku.
Detecting Changes
Ako smatrate da su hakeri zaobišli vaše dozvole, koristite jedan od alternativnih alata za otkrivanje sadržaja tokova podataka koji su do sada razvijeni. Provjerači integriteta sistema, kao što su Tripwire Enterprise i Tripwire za servere, mogu otkriti sve promjene u sistemu datoteka. NTFS sistem koji se dogodio na Windows sistemu, uključujući dodavanje ili promjenu sadržaja toka podataka.
Sysinternalov program Streams je besplatni uslužni program sa komandne linije koji određuje imena alternativnih tokova podataka priloženih datotekama. Slika 1 pokazuje kako koristiti uslužni program Streams za pregled imena toka podataka calc.exe koji smo prethodno dodali datoteci file.txt. Ovaj uslužni program se može preuzeti sa http://www.sysinternals.com/utilities/streams.html.
Još jedan jednostavan način za otkrivanje alternativnog toka podataka je sa koristeći Windows Explorer će kopirati sumnjivu datoteku na disk sa sistemom datoteka koji nije NTFS (recimo, FAT disk). Drugi sistemi datoteka nisu opremljeni za rukovanje alternativnim tokovima podataka. Dakle, ako pokušate da kopirate NTFS datoteku s priloženim alternativnim tokovima podataka kako biste je smjestili na drugi sistem datoteka, NTFS će izdati upozorenje slično onom prikazanom na slici 2. Ali imajte na umu da ako kopirate ovu datoteku u komandnoj liniji prozor koristeći komandu Kopiraj, Windows će ga kopirati u sistem datoteka koji nije NTFS i izbrisati tok podataka bez upozorenja.
Skrivanje zajedničkih resursa korištenjem ABE
ABE je opcija sloja za dijeljenje datoteka koju je Microsoft prvi implementirao u paket Windows Server 2003 SP1. Može se koristiti u bilo kojem Windows dijeljenom direktoriju, bez obzira na sistem datoteka na kojem su pohranjeni zajednički podaci. ABE dozvoljava administratorima da sakriju fascikle i datoteke pohranjene na zajedničkim resursima od korisnika koji nemaju odgovarajuća dopuštenja da im pristupe na NTFS nivou. Drugim riječima, govorimo o obezbjeđivanju sigurnosti na nivou foldera.
U slučajevima kada se ABE ne koristi, korisnici koji se povezuju na zajednički direktorij vidjet će sve datoteke i mape koje se nalaze na dijeljenju, uključujući one za koje nemaju dozvole za čitanje i one kojima je blokiran pristup. Kada korisnik pokuša da otvori datoteku ili fasciklu kojoj nije dozvoljen pristup, sistem prikazuje poruku o grešci koja objašnjava da je pristup odbijen. Ove poruke o grešci mogu biti zbunjujuće za korisnike, tako da omogućavanje ABE može pomoći u smanjenju radnog opterećenja podrške.
Međutim, korištenje ABE također ima svoje nedostatke. Prije vraćanja liste objekata u folderu klijentu koji je povezan na dionicu, poslužitelj mora provjeriti sve ACL-ove na tim objektima kako bi mogao odrediti koje podatke vratiti. Kao rezultat toga, možete doživjeti značajno smanjenje performansi sistema, posebno kada pristupate zajedničkim resursima koji sadrže mnogo objekata.
Preporučljivo je koristiti ABE alate, na primjer, za konfiguriranje javnih resursa u korisničkim kućnim direktorijima. Umjesto kreiranja skrivenog dijeljenja za kućni direktorij svakog korisnika, možete kreirati jedan dio koji sadrži kućne direktorije svih korisnika u korijenskom folderu kućnog direktorija. Korisnici će se povezati na ovaj korijenski direktorij, a možete i sa ABE NTFS dozvole kontrolirati vidljivost kućnih direktorija svih korisnika.
Aktiviranje funkcije ABE
Ova funkcija koristi novu oznaku nivoa javnog resursa SHI1005_FLAGS_ENFORCE_NAMESPACE_ ACCESS; u trenutku kada su ovi redovi napisani, implementiran je samo u Windows paketi 2003 SP1 i izdanje 2 (R2). Ova zastavica znači da primjenjujete funkciju ABE na jednu od mapa.
Možete koristiti ekstenzije svojstava da postavite zastavu Windows folderi Explorer ili alat za komandnu liniju abecmd.exe. Microsoft distribuira ekstenziju ABE Explorer i abecmd.exe u ABE instalacionom paketu, koji je dodatni modul za Windows Server 2003 SP1 platformu. Instalacioni paket se može preuzeti od Microsofta na adresi http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D 9-78D9-4342-A485-B030AC442084. Budući da je ABE proširenje na strani servera, može se koristiti bez obzira koja je verzija Windows-a instalirana na klijentu.
Nakon instaliranja ABE alata na server, možete postaviti ovu zastavicu za određeni folder. Kliknite desnim tasterom miša na fasciklu, izaberite Svojstva, idite na karticu Nabrajanje zasnovano na pristupu i postavite oznaku Omogući nabrajanje zasnovano na pristupu na ovoj deljenoj fascikli, kao što je prikazano na slici 3. Da biste primenili funkciju ABE na sve deljene resurse u sistemu, postavite postavku Primijeni zastavicu ovog foldera na sve postojeće dijeljene foldere na ovom računaru.
Druga metoda je korištenje alata komandne linije abecmd.exe. Da biste primijenili funkciju ABE na javni resurs shareddocs, unesite sljedeću naredbu:
abecmd /enable shareddocs
Možete koristiti opciju /all da omogućite ABE na svim dostupnim resursima ili koristiti opciju /disable da onemogućite ABE.
Kontrola pristupa
ABE je jednostavan alat koji vam omogućava da ograničite korisničke dozvole za pristup samo onim datotekama koje su im potrebne za obavljanje posla. Korisnici mogu lako pronaći potrebne datoteke, jer ne moraju prolaziti kroz nepovezane fascikle i ne gnjaviti tim za podršku pitanjima zašto se datoteke za koje nemaju dozvolu za otvaranje ne otvaraju.
Da bi se zaštitili od hakera alternativnih tokova podataka, administratori bi trebali nadgledati svoje postavke kontrole javnog pristupa i koristiti jedan od uslužnih programa koje sam opisao za otkrivanje skrivenih alternativnih tokova podataka, kao i promjena u NTFS sistemu.
Jean De Clercq(declercq @hp.com) - zaposlenik Službe za sigurnost kompanije Hewlett-Packard. Odgovoran je za upravljanje identitetom i sigurnošću Microsoft proizvoda. Autor Windows Server 2003 sigurnosnih infrastruktura (Digital Press).Jeste li čuli nešto o tome NTFS tokovi? Vrlo zanimljiva funkcionalnost sistema datoteka koja se može pronaći praktična primjena. Danas ćemo razgovarati o tome šta je to i kako ga možete koristiti.
Prvo, malo teorije.
Dodata je podrška za alternativne tokove podataka NTFS za kompatibilnost sa Macintosh sistemom datoteka HFS, koji je koristio tok resursa za pohranjivanje ikona i drugih informacija o datotekama. Prisutni su u NTFS od samog ranije verzije Windows NT. Suština tehnologije je da se datoteka na NTFS može postojati više niti koje sadrže podatke. Dirigent a većina popularnih fajl menadžera ograničena je na rad samo sa njima main stream(neimenovani) koji predstavlja glavni sadržaj datoteke. Streamovi se mogu koristiti za pohranjivanje metapodataka datoteka, tako da su korišteni u Windows 2000, koliko ja znam.
IN Windows 7 alternativa NTFS tokovi, prisutan u fajlu, redovnim sredstvima ne vidjeti. I uzalud: pakleno lukavi virusi, na primjer, mogu se upisati u tokove neke potpuno bezopasne datoteke. Brisanjem datoteke s tokovima koji sadrže obimne podatke, možete otkriti da je oslobođeno mnogo više prostora nego što je datoteka trebala zauzeti. Dirigent.
Za pregled dostupnih streamova koristit ćemo konzolni uslužni program koji je kreirao poznati Mark Russinovich.
Kako kreirati alternativni NTFS stream
Neke komande konzole vam omogućavaju da kreirate i prikažete sadržaj protok NTFS, na primjer naredba echo može vam omogućiti da kreirate alternativni tok za tekstualnu datoteku. Da bi bilo jasno kako ovo funkcionira, pogledajmo primjer. Unesite sljedeće u komandnu liniju:
echo Zdravo Happy Buldožer > hello.txt
echo Hello World> hello.txt:test
Sada otvorite datoteku hello.txt u Notepad-u: 
Tekst Hello World ostao "iza kulisa", nalazeći se u potoku sa imenom test. Ako navedete naziv datoteke za otvaranje i naziv toka, nećete moći otvoriti datoteku u toku: dvotočka je nevažeći znak za ime datoteke. Međutim, možete koristiti komandna linija, koji je nešto lojalniji i omogućit će vam da izvršite sljedeću naredbu:
više< hello.txt:test
Pogled NTFS tokovi, kao što sam gore napisao, može se uraditi preko uslužnog programa streams.exe
streams.exe hello.txt 
Mislim da je tu sve jasno.
Alternativni NTFS i Notepad tokovi
Čini se da napredni programi to rješavaju bez mnogo truda i prikazuju vam sadržaj streama: 
Standardni Notepad će priložiti txt ekstenziju imenu toka. Ako ga želite koristiti, trebate imenovati tokove na sljedeći način:
echo Hello World > hello.txt:test.txt
Tada će naredba izvršena iz cmd.exe dati pozitivan rezultat:
notepad hello.txt:test.txt
Alternativni NTFS tokovi i razne vrste datoteka
Možda ćete imati utisak da se opseg alternativnih NTFS tokova ne proteže dalje tekstualne datoteke. Ovo nije u redu. U sljedećem primjeru dodao sam stream koji sadrži 7z arhivske podatke u datoteku hello.txt: 
Napominjem da se tokovi mogu kreirati ne samo za datoteke, već i za mape, pa čak i za tvrdih sekcija disk.
Sve je ograničeno vašom ličnom maštom i potrebama. Koristeći opisane tehnike, lako možete sakriti lične podatke od nepripremljenog korisnika, na primjer. Neka vrsta dokaza za budale, ako želite.
Izbor
