Creación de AltDS
Crear un AltDS es muy fácil. Para hacer esto, usaremos la línea de comando. Primero, creemos un archivo base al que adjuntaremos nuestras transmisiones.C:\>echo Sólo un archivo de texto del plan>sample.txtC:\>escriba muestra.txt
Solo un archivo de texto del plan
A continuación, usaremos dos puntos como operador para indicar que usaremos AltDS:
C:\\>echo No puedes verme>sample.txt:secret.txt
Puede utilizar los siguientes comandos para ver el contenido:
C:\más< sample.txt:secret.txt
o
C:\notepad sample.txt:secret.txt
Si todo funciona bien, verá el texto: No puede verme, pero cuando se abre desde el Explorador, este texto no será visible. También puede adjuntar AltDS no solo a un archivo, sino también a una carpeta. esto, crea una carpeta y adjunta algún tipo de texto:
C:\>cosas md
C:\>cosas del cd
C:\stuff>echo Ocultar cosas en cosas>:hide.txt
C:\cosas>dir
El volumen en la unidad C no tiene etiqueta.
El número de serie del volumen es 40CC-B506Directorio de C:\stuff
28/09/2004 10:19.
28/09/2004 10:19…
0 Archivo(s) 0 bytes2 Directorio(s) 12.253.208.576 bytes libres
C:\cosas>bloc de notas:ocultar.txt
Ahora ya sabe cómo ver y editar un AltDS adjunto usando el Bloc de notas, así como también cómo adjuntarlo a archivos y carpetas.
Ocultar y ejecutar aplicaciones
Ocultar aplicaciones usando AltDS es tan fácil como ocultar archivos de prueba. Primero, creemos nuevamente el archivo base:A continuación, coloquemos nuestra aplicación en una secuencia; por ejemplo, usé notepad.exe:
C:\WINDOWS>escriba notepad.exe>test.txt:note.exe
Ahora asegurémonos de que nuestro archivo contenga el mismo texto:
C:\WINDOWS>escriba prueba.txt
Prueba
Y ahora la parte divertida, iniciemos nuestra aplicación oculta:
C:\WINDOWS>iniciar .\test.txt:note.exe
C:\VENTANAS>
Dado que este artículo no es una traducción completa del artículo publicado, tiene el formato de un tema simple. Se pueden encontrar técnicas adicionales en el enlace proporcionado.
ACTUALIZACIÓN:
Utilidades para trabajar con AltDS (lista extraída del artículo vinculado anteriormente):
LADS - Lista de flujos de datos alternativos por Frank Heyne
www.heysoft.de/Frames/f_sw_la_en.htm
Streams.exe de SysInternals.
Se introdujeron en Windows NT 4.0 y estuvieron presentes en todos los descendientes (excluidos los descendientes de win-95: 98, Me). En XP, Vista y Win 7 todavía existen. Adiós Versiones de Windows admiten NTFS, admitirán secuencias de archivos. Soportarán NTFS durante mucho tiempo.
El error que proporcionó se describe en la página que ve en su pregunta. El comando de tipo no entiende los hilos. Uso:
Más< 1013.pdf:Zone.Identifier
Trabajar con hilos
Microsoft sólo tiene unos pocos comandos que funcionan con subprocesos; de hecho, sólo< , >funcionan con secuencias y, por lo tanto, solo se pueden utilizar comandos que puedan funcionar con estos operadores de redirección. Escribí sobre cómo aún puedes controlar los hilos con solo estos comandos.
Las transmisiones solo funcionarán con programas que estén diseñados para funcionar con ellas, simplemente porque necesitan ser manejadas de manera especial (compare también los puntos de unión función NTFS, pero el controlador oculta los detalles y los programas no tienen que hacer nada especial: simplemente tratan el punto de unión como un archivo real).
Cuando intentas abrir una secuencia de archivos usando start filename:streamname y el programa dice algo como "nombre de archivo ilegal" o "archivo no encontrado" y estás seguro de que el nombre de la secuencia es correcto, lo más probable es que el programa no admita secuencias. Noté que el Bloc de notas, Wordpad y Word/Excel funcionan correctamente con las secuencias, aunque Word y Excel consideran que los archivos son peligrosos. A continuación se muestran algunos experimentos.
NOTA: Le parece que los flujos de datos alternativos son impares. Son extraños porque están muy ocultos, pero muchos sistemas de archivos importantes (HFS, NSS) tienen esto, y el concepto se remonta a principios de los años 80. De hecho, las transmisiones se agregaron originalmente a NTFS para interactuar con otros sistemas de archivos.
La mayoría de los usuarios de sistemas operativos modernos de la familia Windows se han encontrado con una situación en la que un archivo de ayuda en formato CHM (Módulo de ayuda compilado) se abre solo parcialmente; solo puede ver la tabla de contenido sin el contenido de sus elementos:
Además, si intenta abrir un archivo CHM contenido en un archivo compartido carpeta de red, utilizando una ruta UNC (Convención de nomenclatura universal) como \\server\h\help.chm, sus secciones no se muestran. En otras palabras, normalmente puede ver archivos .chm sólo si no se recibieron a través de la red.
Se observa una imagen similar cuando intentas abrir. archivo ejecutable, que fue descargado de la red. Verá una advertencia de seguridad:
Además, el mismo archivo, extraído de un archivo que también fue descargado de Internet, en esta computadora Se puede abrir sin problemas. De hecho, la única diferencia es que el archivo que se abre se creó localmente, durante el proceso de descompresión, y no se descargó a través de la red. En otras palabras, Windows tiene la capacidad de determinar el origen de red de un archivo y responder a él utilizando ciertas configuraciones de seguridad.
Un mecanismo para determinar el origen de los archivos en la red.
En el sistema de archivos NTFS, cada archivo (o directorio) se representa como una colección de elementos individuales llamados atributos. Elementos como el nombre del archivo, la configuración de seguridad e incluso los datos son atributos del archivo. Cada atributo se identifica mediante un código de tipo de atributo y, opcionalmente, un nombre de atributo. Entonces, por ejemplo, el nombre del archivo está contenido en el atributo Nombre del archivo, contenido - en el atributo DATOS, la información sobre el propietario y los derechos de acceso se encuentra en el atributo Descriptor de seguridad etc. El contenido de cada archivo ($atributo DATA) es un conjunto corrientes, en el que se almacenan los datos. Para cada archivo o directorio en NTFS, hay al menos un hilo principal en el que realmente se almacenan los datos. Sin embargo, además del hilo principal, también se puede asociar un archivo o directorio con alternativa (A alternar D ata S stream - ADS), que también puede contener algunos datos que no están relacionados de ninguna manera con los datos del stream principal. La secuencia principal del archivo no tiene nombre y está designada como $DATOS:"". Las transmisiones alternativas deben tener un nombre, por ejemplo: $DATOS:"Datos de transmisión"- flujo alternativo con nombre Datos de transmisiónCuando se realizan las funciones de escribir datos en un archivo, se colocan en el flujo de datos principal. Cuando abrimos, por ejemplo, con el bloc de notas archivo de texto, luego obtenemos acceso específicamente a los datos del hilo principal. Los datos de flujos alternativos, cuando se utiliza el acceso estándar, no se muestran y, de hecho, ni siquiera hay señales de su presencia. Sin embargo, se puede acceder a datos de flujo alternativos asociados con un archivo o directorio específico usando programas especiales o cuando se utiliza una sintaxis especial en línea de comando Ventanas.
Por ejemplo, escribir texto en el archivo test.txt con el comando eco:
echo Datos de transmisión principal > test.txt- escriba el texto "Datos de transmisión principal" en un archivo prueba.txt, lo que significa escribir en la secuencia principal sin nombre.
Pero puedes cambiar el comando:
echo Datos de flujo alternativo > test.txt:stream1- escriba el texto "Datos de flujo alternativo" en un flujo alternativo con el nombre corriente1 archivo prueba.txt
Ahora puedes abrir, por ejemplo, cada uno de los streams con el Bloc de notas:
prueba del bloc de notas.txt- el contenido de la transmisión principal se abrirá con el texto "Datos de la transmisión principal"
prueba del bloc de notas.txt:stream1- el contenido de la transmisión alternativa se abrirá con el texto "Datos de transmisión alternativa"
Los flujos alternativos, al ser invisibles para medios estándar Sin embargo, trabajar con objetos del sistema de archivos se utiliza muy a menudo para almacenar información adicional sobre archivos y otra información de servicio. Entonces, por ejemplo, al descargar archivos de Internet, los navegadores agregan una secuencia alternativa llamada Identificador.de.zona, que se puede abrir con el bloc de notas, como en el ejemplo anterior
bloc de notas %PERFIL DE USUARIO%\Descargas\ChromeSetup.exe:Zone.Identifier- abre una secuencia alternativa con el nombre en el bloc de notas Identificador.de.zona ChromeSetup.exe No es necesario especificar la ruta al archivo ejecutando primero el comando para ir al directorio de archivos descargados. usuario actual(con ubicación estándar de las carpetas de usuarios del servicio):
cd %PERFIL DE USUARIO%\Descargas- vaya al directorio de archivos descargados.
bloc de notas ChromeSetup.exe:Zone.Identifier- abre una secuencia alternativa con el nombre Identificador.de.zona para el archivo de instalación del navegador Google Chrome con nombre ChromeSetup.exe en el directorio actual.
Como puede ver, el contenido de la secuencia alternativa contiene las líneas:
- cartel de sección con una descripción del área de transmisión de datos
ID de zona=3- identificador de zona.
Esta información permite determinar el origen del fichero mediante el número de identificador. ID de zona:
0
- computadora local(Local).
1
- local red local(Intranet)
2
- Sitios confiables
3
-Internet
4
- sitios peligrosos (sitios restringidos)
Esta definición de zonas, por ejemplo, corresponde a la configuración de seguridad de Internet Explorer:
En este caso, puede determinar que el archivo ChromeSetup.exe se obtuvo de Internet (ID de zona = 3). Al ejecutar dicho archivo, se emitirá una advertencia de seguridad sobre una fuente que no es de confianza. La seguridad de las aplicaciones funciona de manera similar. oficina de microsoft, cuando advierten sobre los peligros de abrir archivos descargados de Internet. Por la misma razón, el contenido de los archivos de ayuda en formato CHM no se abre: el contenido del flujo alternativo permite clasificarlos como peligrosos, independientemente del peligro real o inexistente.
Intente cambiar el mismo bloc de notas, el valor ZoneId a 0 , que corresponderá al origen local del archivo, y la advertencia de seguridad desaparecerá, al igual que los problemas al abrir documentos de Office o temas de ayuda en archivos .chm.
Un comportamiento similar de los sistemas de seguridad ocurrirá en los casos en que se elimine el contenido de la secuencia alternativa (deje que se vacíe), o la secuencia alternativa en sí se elimine por completo.
A partir de Windows 7, puede usar el comando para obtener una lista de secuencias de archivos alternativas dirección con parámetro /R:
dir /r %UserpRofile%\Descargas- mostrar una lista de archivos y secuencias alternativas en un directorio Descargas usuario actual.
Para trabajar con transmisiones alternativas en cualquier versión del sistema operativo Windows, puede utilizar la utilidad transmisiones.exe del paquete de software Microsoft Sysinternals Suite. El paquete contiene muchos pequeños programas de diagnóstico, optimización y administración, incluida una utilidad que le permite compensar las deficiencias al trabajar con flujos alternativos.
Formato de línea de comando:
streams.exe [-s] [-d]archivo o directorio
Opciones de línea de comando:
-s- subdirectorios de procesos.
-d- eliminar transmisiones alternativas.
-nobanner- no mostrar el banner de inicio ni la información de derechos de autor.
Ejemplos de uso:
transmisiones.exe /?- mostrar ayuda sobre el uso del programa.
transmite miarchivo.txt- mostrar información sobre secuencias de archivos miarchivo.txt
secuencias –d miarchivo.txt- eliminar flujos de archivos alternativos miarchivo.txt
secuencias -d -s D:\Descargas\*.*- eliminar secuencias alternativas de todos los archivos y subdirectorios en un directorio D:\Descargas\
EN sistemas operativos En Windows 8 y versiones posteriores, PowerShell también le permite trabajar con subprocesos alternativos:
Obtener-Item -Path -Path C:\FirefoxSetup.exe -Stream *- mostrar información sobre subprocesos en el archivo C:\FirefoxSetup.exe.
Obtener contenido -Ruta C:\FirefoxSetup.exe -Stream Zone.Identifier- mostrar el contenido de una secuencia alternativa Identificador.de.zona archivo C:\FirefoxSetup.exe
Eliminar elemento -Ruta C:\FirefoxSetup.exe -Stream *- eliminar todas las secuencias alternativas asociadas con el archivo C:\FirefoxSetup.exe
Eliminar elemento -Ruta C:\FirefoxSetup.exe -Stream Zone.Identifier- eliminar flujo alternativo Identificador de zona de transmisión asociado con el archivo C:\FirefoxSetup.exe.
La información de la zona de seguridad se utiliza ampliamente en las políticas de grupo y, en particular, en el Administrador de archivos adjuntos de Windows, que sirve como protección contra el malware que puede estar contenido en archivos adjuntos de correo electrónico o archivos descargados de Internet. El sitio web de Microsoft contiene un artículo detallado sobre cómo configurar el Administrador de archivos adjuntos y resolver los problemas asociados con él:
Descripción del funcionamiento del administrador de archivos adjuntos, que está incluido en el sistema Microsoft Windows.
En conclusión, agregaré que los flujos alternativos son propiedad del sistema de archivos NTFS y, por ejemplo, no son compatibles con FAT32. En consecuencia, al copiar archivos de NTFS a cualquier otro sistema de archivos, se descartan corrientes alternativas.
DIR /B C:\WINDOWS\System32\*.SCR
DIR /B C:\WINDOWS\System32\*.* |BUSCAR /i ".SCR"
Describe detalladamente el propósito de los parámetros de cada comando (recuerda que para cada comando puedes llamar a ayuda con la tecla /?). Tenga en cuenta que las mismas teclas pueden tener diferentes efectos para diferentes comandos.
4.1.8. Secuencias de archivos NTFS*
Archivo sistema NTFS admite flujos de archivos: flujos de datos alternativos. De hecho, las secuencias de archivos son una combinación de varios archivos en un grupo con un nombre de archivo común (cada secuencia tiene su propio nombre adicional). Dentro de un grupo hay un flujo de datos principal, con el que la mayoría de los programas trabajan como un archivo, y flujos adicionales con nombre que no se muestran por medios normales. Durante las operaciones de archivos de copiar, mover, eliminar, etc., en NTFS la operación se realiza en todo el grupo. Al utilizar algunos archivadores y copiar archivos que contienen secuencias alternativas a una partición FAT, estas secuencias pueden perderse. Técnicamente, los flujos alternativos se utilizan para complementar un archivo con información sin cambiar el contenido del flujo principal y sin crear archivos adicionales, que puede perderse.
Los antivirus utilizan secuencias alternativas para guardar información sobre un archivo ("huella digital", suma de comprobación) para detectar cambios en el archivo a lo largo del tiempo. Los clientes de intercambio de archivos de Direct Connect (DC++) pueden almacenar resultados de hash (cálculos de suma de comprobación) para archivos grandes que se utilizan cuando un archivo se mueve y se vuelve a aplicar hash, lo que acelera enormemente la actualización de la lista.
En el futuro, los programas de biblioteca, filmotecas y audiotecas podrán utilizar flujos alternativos para almacenar, junto con documentos, flujos de portadas, pistas de audio, descripciones y en diferentes idiomas. Las transmisiones alternativas permiten adjuntar datos “secretos”, lo cual es un peligro potencial.
Puede ver información sobre las transmisiones usando el comando STREAMS25, el programa NTFS Stream Explorer26, usando las extensiones del administrador de archivos27 en Windows 7, el comando dir /r muestra una lista de todas las transmisiones para los objetos especificados (también puede usar claves adicionales con el; comando dir).
Al guardar archivos de Internet, de forma predeterminada se agrega una secuencia Zone.Identifier 28 al archivo en NTFS, que tiene un formato de archivo ini y generalmente contiene el texto:
El parámetro ZoneId con un número significa la zona desde la cual llegó el archivo a la computadora; el número de zona se toma de la configuración de la zona de seguridad (; Panel de control/Opciones de Internet(Propiedades de red e Internet/navegador -
Zera )/pestaña Seguridad). Se permiten los siguientes valores29: 0 – computadora local
1 – intranet (red local, dominio)
2 – fuente confiable
3-Internet
4 – fuente no confiable
Si el valor es 3, el sistema emitirá una advertencia “ no puedo comprobar
rasgar al editor. ¿Realmente quieres ejecutar este programa?"
En la parte inferior del mensaje hay una casilla de verificación " Preguntar siempre al abrir este archivo", eliminando lo cual elimina la secuencia Zone.Identifier. Si ZoneId contiene un valor de 4, aparecerá una advertencia " Estos archivos no se pueden abrir. La configuración de seguridad de Internet le impidió abrir
25 transmisiones (http://technet.microsoft.com/ru-ru/sysinternals/bb897440)
26 NTFS Stream Explorer, un programa para trabajar con transmisiones NTFS (http://hex.pp.ua/ntfs-stream-explorer.php)
27 Información del archivo NTFS
(http://forum.farmanager.com/viewtopic.php?t=2050)
28 Puede desactivar la creación de un hilo de bloqueo para archivos en el editor local política de grupo(gpedit.msc):Configuración de usuario
vatela/Plantillas Administrativas/ Componentes de Windows/ Administrador de archivos adjuntos / Eliminación de información sobre la zona de origen de los archivos adjuntos.
29 Flujo Zone.Identifier (http://hex.pp.ua/Zone.Identifier.php)
uno o más archivos" y la apertura de archivos está bloqueada. Cuando abre la ventana Propiedades en el Explorador de un archivo recibido de Internet, el botón Desbloquear aparece en la parte inferior de la pestaña General y
"Precaución: este archivo proviene de otra computadora y es posible que haya sido bloqueado para proteger su computadora" ", presionando un botón Desbloquear elimina la secuencia Zone.Identifier.
Usando un navegador de Internet, descargue el archivo STREAMS.zip (puede descargar cualquier archivo pequeño especificando su nombre en el comando a continuación), guárdelo en la carpeta raíz de la unidad F:, vea el contenido de la secuencia Zone.Identifier con el comando:
MÁS< F:\Streams.zip:Zone.Identifier
Abra la ventana Propiedades en el Explorador (Alt+Enter o el comando Propiedades del menú contextual) para el archivo descargado, en la pestaña General, haga clic en el botón Desbloquear y repita el comando anterior en la consola.
Cree un archivo de prueba con un comando que redirige el texto del operador de salida de texto, agregue una secuencia alternativa y vea el resultado:
ECHO Texto principal > F:\M.TXT
ECHO Texto oculto > F:\M.TXT:Secret.TXT
TIPO F:\M.TXT
MÁS< F:\M.TXT:Secret.TXT
Se puede cargar una secuencia de texto alternativa en el bloc de notas:
BLOQUE DE NOTAS F:\M.TXT:Secret.TXT
También se pueden crear secuencias alternativas para carpetas y archivos del sistema30.
Los flujos también se utilizan para almacenar atributos extendidos31.
30 Almacenamiento oculto de datos en secuencias del archivo $Repair en el directorio del sistema $RmMetadata (http://hex.pp.ua/RmMetadata.php)
31 Atributos extendidos de NTFS y FAT16
(http://hex.pp.ua/extended-attributes.php) 53
Los CIO dedican mucho tiempo y recursos a proyectos relacionados con sistemas procesamiento analítico información de ventas y otros datos comerciales estándar. Esto crea paneles para que los gerentes muestren las métricas de desempeño de la empresa y les ayuden a realizar pronósticos futuros. Estos sistemas aportan importantes beneficios empresariales, pero, de hecho, las oportunidades que abren son sólo una pequeña parte de lo que se puede hacer con los datos disponibles para la organización, afirma Krishna Nathan, CIO de S&P Global (anteriormente McGraw Hill Financial), que se ocupa de la gestión de créditos, además de prestar servicios de consultoría y análisis para el mercado de valores. Bajo el liderazgo de Nathan, se diseñó e implementó un nuevo sistema de procesamiento de datos para toda la empresa, implementando una estrategia destinada a acelerar el crecimiento empresarial y crear nuevas ofertas para los clientes.
Algunas empresas están empezando a recopilar datos adicionales: los llaman alternativos, no tradicionales u ortogonales. Ésta sigue siendo una dirección nueva, pero los CIO deberían familiarizarse con las tecnologías relevantes en la actualidad. Después de todo, muy pronto los datos alternativos se convertirán en una herramienta obligatoria para muchas empresas.
Sin embargo, no se apresure a contratar a otro especialista costoso. Averigüemos de qué estamos hablando realmente.
¿Qué son los “datos alternativos”?
La definición de Nathan de datos alternativos es que son datos que provienen de fuentes no tradicionales y pueden analizarse para proporcionar información útil más allá de lo que normalmente se obtiene.
Digamos que tienes una cadena minorista y pretendes abrir una nueva tienda en otra ciudad. Normalmente, esta decisión se basa en el rendimiento de sus tiendas en una ciudad en particular y en otras ciudades.
Una fuente alternativa de datos aquí podrían ser fotografías de estacionamientos de supermercados tomadas durante varios meses; los niveles de ocupación de los estacionamientos pueden correlacionarse con los volúmenes de ventas. Así como información sobre el tránsito peatonal en la zona donde se prevé la apertura de la tienda. Al combinar la información que recibe, puede aprender algo nuevo que le ayudará en su negocio.
S&P Global también proporciona servicios de análisis a las bolsas de productos básicos, y el CIO tiene que pensar constantemente en cómo ofrecer a los clientes fuentes de datos alternativas. información adicional, cómo combinar información diferente para brindar a los clientes información que no podrían obtener en ningún otro lugar.
Digamos que S&P Global tiene información de que una refinería de petróleo en Rotterdam puede producir 100 mil barriles de productos petrolíferos por día. Pero debido a la escasez de suministro, se procesan aproximadamente 70 mil barriles, es decir, se dispone de capacidad libre para otros 30 mil. ¿Qué pasa después de que un petrolero con 30 mil barriles ingresa al puerto? "Si el informe de capacidad disponible de la planta es de hace una semana, no sabremos que el petróleo acaba de descargarse", explica Nathan. – Es decir, los datos tradicionales están desactualizados. Aquí es donde resulta útil una fuente de datos alternativos, como las imágenes de satélite. Si analizamos las imágenes de satélite junto con otras fuentes, obtendremos una imagen más precisa de las reservas y la producción casi en tiempo real”.
Datos alternativos y el CIO
Incluso si no tienes guiones listos para usar aplicaciones, familiarizarse con las nuevas tecnologías. Planifique sistemas que le permitan combinar múltiples fuentes de datos para su análisis. Aprenda a gestionar la cadena de entrega de datos, protegerla y tener en cuenta los derechos de uso. Y contrate al personal necesario: necesita científicos de datos experimentados que puedan analizar datos y extraer información útil.
Para lanzamiento rápido proyecto en el campo de datos alternativos, puede utilizar una solución ya preparada. Eso es lo que hizo S&P Global cuando Platts, una filial de la empresa, adquirió cFlow, una herramienta para interpretar imágenes de satélite. CFlow ofrece herramientas de visualización que le permiten monitorear los cambios en los flujos comerciales a lo largo de las rutas de los buques y proporciona información sobre el volumen y la naturaleza de la carga de los buques cisterna.
Convenza a la dirección de la empresa de que ha llegado el momento de invertir en datos alternativos: comprar soluciones existentes o crear las suyas propias. Algunos de sus proyectos de datos alternativos funcionarán, pero muchos fracasarán. Bueno, si los datos alternativos aportan información realmente valiosa, utilícelos para recibir fondos para nuevos proyectos.
-Marta Heller ¿Qué son los “datos alternativos” y cómo se pueden utilizar? CIO. 3 DE ENERO DE 2017
Elección
