Otthon
Kapcsolat
Rejtett adatfolyam létrehozása ntfs-ben. Az ABE funkció aktiválása. Alternatív adatok és a CIO

Rejtett adatfolyam létrehozása ntfs-ben. Az ABE funkció aktiválása. Alternatív adatok és a CIO

A cikk a Hacker magazin számára készült 2004-ben. A 09/04 (69) számban jelent meg „Pusztító áramlatok” címmel.

Amikor átvesz egy másik NT rendszert, és saját házi készítésű kémprogramját telepíti bele, meg kell oldania az összegyűjtött információnak az áldozat számítógépén való tárolásának problémáját. Általában a naplót egy egyszerű fájlba írják egy nagy számú fájlt tartalmazó könyvtárban, például a system32-ben.

NTFS funkciók

Ez gyakori, de messze nem legjobb módja információk elrejtése a helyi számítógépen. Lehetséges, hogy a felhasználó észrevesz egy extra, folyamatosan frissülő fájlt, amely hirtelen megjelent a rendszerkönyvtárában. Hozzáfűz egy naplót egy már létező fájlhoz? Először meg kell találnia egy fájlt, amelyhez információ hozzáadása nem rontja el a tartalmát. Mit szólna ahhoz, hogy az információkat olyan helyre mentse, amely nem lesz látható sem az Intézőből, sem a parancssorból, sem bármelyikből fájlkezelő? Ezt a lehetőséget a fájl biztosítja számunkra NTFS rendszer. Ritkán látni ezt egy normál otthoni számítógépen, mivel a legtöbb felhasználó továbbra is a FAT32-t részesíti előnyben, még azok is, akik XP-t futtatnak. De egy Win2k/XP-t futtató cég helyi hálózatán szinte biztosan használják az NTFS-t, mert ez a fájlrendszer olyan lehetőségeket biztosít, mint a felhasználók hozzáférési jogainak kiosztása, titkosítás és fájltömörítés. Ezenkívül az NTFS sokkal biztonságosabb, mint a FAT32. Tehát az adatrejtő módszer, amelyet leírok, ideális az ipari kémkedéshez. A Longhorn megjelenésével az NTFS-nek esélye van otthonra találni az otthoni számítógép-meghajtókon, ahogy azt a hamarosan megjelenő, NTFS-re épülő WinFS fájlrendszer ígéri. további funkciók olyan információk rendszerezéséről és visszakereséséről, amelyek vonzzák a hétköznapi felhasználókat.

Csatoljon bármilyen adatot a fájlhoz

A módszer az, hogy az adatokat nem fájlba mentjük, mint általában, hanem egy NTFS fájlfolyamba. A stream csatolható egy másik fájlhoz (ebben az esetben a mérete nem változik, és az adatok érintetlenek maradnak, ami azt jelenti, hogy a fájlok ellenőrző összegeit ellenőrző segédprogramok nem veszik észre a változásokat), egy könyvtárhoz vagy egy lemezhez. Az NTFS Alternate File Streams az NTFS egyik olyan funkciója, amely a legkorábbi napjai óta jelen van benne. korábbi verziók Windows NT. Ez abban rejlik, hogy egy fájlnak több adatot tartalmazó szála is lehet, és csak az a fő szál érhető el a felhasználó számára, amelyben a fájl tartalma tárolódik. Valami hasonló van a Macintoshes HFS fájlrendszerben. Ott a patakokat villáknak hívják. Egészen a közelmúltig fájlerőforrás-tárolóként használták őket, vagy információkat tartalmaztak a fájltípusról. A MacOS X megjelenésével az Apple azt javasolta, hogy helyezzen el erőforrásokat külön fájlokat, és a fájltípusokat a kiterjesztések határozzák meg. De az elágazási támogatás továbbra is megmarad. Windows rendszeren a streameket általában valamilyen tárolásra használják további információk a fájlról. Például egy adatfolyam tartalmazhat egy dokumentum összefoglalását. Ha a rendszer NTFS-lemezen van, akkor az explorer.exe fájl valószínűleg tartalmaz egy összefoglalót. Az összefoglaló tartalmától függően a SummaryInformation, DocumentSummaryInformation és számos más nevű adatfolyam csatolható a fájlhoz. A számítógépemen találtam egy $MountMgrRemoteDatabase nevű szálat a C meghajtóhoz csatolva.

A felhasználó csak bizonyos esetekben értesülhet a fájlhoz csatolt adatfolyamokról, például amikor egy csatolt adatfolyamot tartalmazó fájlt FAT/FAT32-vel rendelkező lemezre másol. Ezek a fájlrendszerek nem támogatják őket, ezért a rendszer felszólítja Önt, hogy erősítse meg az adatfolyamokban lévő információvesztést, feltüntetve a nevüket. Természetesen ez a helyzet soha nem fordul elő, ha az adatfolyam lemezhez vagy rendszermappához van csatolva. Nem szükséges szálakat kémkedésre használni. Ha Ön shareware programok fejlesztője, akkor a streamek segítségével egyszerűen tárolhatja a regisztrációval kapcsolatos információkat, a lejáratig hátralévő napok számát, egyszóval mindent, amit el kell rejteni a program felhasználója elől.

Munka szálakkal

A fájlokkal és adatfolyamokkal végzett munka során hasonlóságok és különbségek is vannak. Nem sok van hozzá. Mindkét fájlt és adatfolyamaikat ugyanazok a WinAPI CreateFile és DeleteFile függvények hozzák létre és törlik. Az olvasást és az írást a ReadFile és a WriteFile függvények valósítják meg. Itt a hasonlóságok véget érnek, csak a különbségek következnek. Az adatfolyamnevek speciális karaktereket tartalmazhatnak, amelyek nem lehetnek a normál fájlnév részei: például „*”, „?”, „<”, “>" ,"|" és egy idézet karakter. Általában minden adatfolyamnév Unicode formátumban kerül mentésre. A 0x01 – 0x20 tartomány szolgáltatási karakterei is használhatók. Nincs szabványos funkció egy adatfolyam másolására és mozgatására: a MoveFile és a CopyFile nem működik adatfolyamokkal. De senki sem zavarja, hogy saját függvényeket írjon. Az adatfolyamoknak nincs saját attribútuma, létrehozási vagy hozzáférési dátuma. Abból a fájlból öröklik, amelyhez csatolták őket. Ha maga a fájl tartalmaz bármilyen adatot, akkor azt adatfolyamként is lehet ábrázolni. Az adatfolyamok nevei "fájlnév:folyamnév:attribútum" formában jelennek meg. Az adatfolyam standard attribútuma $Data. Sok más attribútum is létezik, amelyek neve szintén „$” jellel kezdődik. A fájl tartalma egy névtelen adatfolyamban van (fájlnév::$DATA). A fájlrendszernek ez a tulajdonsága, hogy egy fájl tartalmát adatfolyamként jelenítse meg, a Microsoft IIS régebbi verzióinak hibájához kapcsolódott, amikor egy hacker, aki egy sérülékeny kiszolgálón lévő szkript szövegét akarta megtudni, egyszerűen hozzátette: „:: $DATA” a nevéhez, és a szerver ehelyett a szkript végrehajtása érdekében kiadta a forráskódját. Az adatfolyamokkal végzett munka hasonló a fájlokkal való munkához. Vessen egy pillantást az 1. listára. Ez egy egyszerű példa egy olyan programra, amely folyamfájlt hoz létre és információkat ír bele. A program futtatása után egy üres „testfile” fájl jelenik meg a könyvtárában. A csatolt adatfolyam tartalmát beírva tekintheti meg parancssor"több< testfile:stream». Как видишь, имя потока указывается после имени файла, отделенное от него знаком двоеточия. Самое трудное при работе с потоками – это получить их список для конкретного файла. Стандартной функции нет, и поэтому придется писать ее самому. Напишем небольшую консольную программу, которая бы возвращала список потоков по имени файла. Такая прога есть у ребят из Sysinternals, с открытым кодом, и она работает, но мне не понравился их способ. Они используют вызовы Native API, и поэтому их код большой и трудный для понимания. Мы же напишем свою прогу, которая будет работать из командной строки, с алгоритмом попроще и со стандартными API функциями.

A szálak listájának beszerzése

Az algoritmus a BackupRead függvény használatán alapul. Arra szánják biztonsági mentés fájlokat. Amikor megteszed biztonsági másolat fájlt, fontos, hogy a lehető legtöbb adatot mentse, beleértve a fájlfolyamokat is. Az információ a WIN32_STREAM_ID struktúrából származik. Innen megtudhatja a stream nevét, típusát és méretét. Csak a BACKUP_ALTERNATE_DATA típusú adatfolyamokra lesz szükségünk. Minden függvény és struktúra leírása a winnt.h fejlécfájlban található. Először meg kell nyitnia a fájlt olvasáshoz a CreateFile segítségével. A dwFlagsAndAttributes paraméterben meg kell adni a FILE_FLAG_BACKUP_SEMANTICS jelzőt, amellyel nem csak fájlokat, hanem könyvtárakat is megnyithat. Ezután futtatunk egy while ciklust, amely beolvassa a fájlról szóló információkat a sid struktúrába, amelyből információkat kapunk az egyes szálakról. A ciklus következő lépése előtt töröljük a szerkezetet, és a BackupSeek funkció segítségével a fájlmutatót a következő adatfolyamra mozgatjuk. Miután minden szálat megtaláltunk, töröljük a szolgáltatási információkat tartalmazó lpContextet, és bezárjuk a fájlt. A program forráskódja a 2. listában látható. A már lefordított programot a lemezünkről vehetjük át. A streamekkel való munkához nem szükséges írni speciális programok. Vannak olyan dolgok, amelyeket közvetlenül a parancssorból is megtehet. Néhány példa látható a dobozban.

Érzékelés

Ha egyszer egy információáramot csatolunk valamihez, a tartalmához nehéz hozzáférni a nevének ismerete nélkül. Ha egy adatfolyam logikai kötethez van csatolva, akkor a Windowsban nincs szabvány azt jelenti felfedezni azt. Mivel az adatfolyam neve tartalmazhat olyan karaktereket, amelyek nem megengedettek a normál fájlnevekben, ez további nehézségeket okoz, amikor a parancssor használatával próbálja kideríteni az adatfolyam tartalmát. A dokumentum-összefoglaló tartalmat általában egy adatfolyamban tárolják, amelynek neve tartalmazza a 0x05 karakterkódot. Ez a karakter beírható a konzolba (Ctrl+E), de ha ez a 0x10 vagy 0x13 karakter lenne (kocsivissza és soremelés), akkor lehetetlen lenne begépelni őket. Elméletileg véletlenül tájékozódhat a csatolt szálakról, valamilyen szoftver segítségével, amely valószínűleg a számítógépén található. A WinRAR-nak van egy opciója, és ha ez be van kapcsolva, akkor észreveheti, hogy az archívumban elhelyezett kis fájl mérete nemhogy nem csökken, hanem még nő is (annak köszönhetően, hogy a streamekben lévő adatok is az archívum). Ez gyanút kelthet. A fájlrendszerhez való hozzáférést figyelő program - ugyanazon Sysinternals FileMonitor - nem tesz különbséget a fájlokhoz vagy adatfolyamokhoz való hozzáférés között. Ennek megfelelően a lemezelérési napló alapos tanulmányozása gyanús program(a keylogger) megjeleníti annak az adatfolyamnak a nevét, amelyre a napló íródott, és annak a fájlnak a nevét, amelyhez csatolva van.

Vírusok

2000 szeptemberében jelent meg az első vírus, amely alternatív fájlfolyamokat használt a terjedéshez. A W2k.Stream volt az első képviselője egy új típusú vírusnak - folyamtársnak. Megkeresi az .exe fájlokat a könyvtárában, és ha megtalálja, elindítja a fertőzési folyamatot. A fájlhoz egy további adatfolyam is kapcsolódik, amelybe a vírus átviszi az eredeti fájl tartalmát, majd a vírus törzsét a fájl fő adatfolyamába másolja. A fertőzött fájl futtatása után a vírus ismét megpróbálja megfertőzni a könyvtárában lévő fájlokat, majd elindítja a programot egy további szálból. Valójában a CreateProcess függvénnyel elindíthat egy folyamatot egy szálból. Ezenkívül az adatfolyamot tartalmazó fájl biztonságosan törölhető, de a folyamat megmarad. Csak egy tündérmese a trójaiaknak! Annak ellenére, hogy közel négy év telt el a W2K.Stream megjelenése óta, még nem minden vírusirtó képes észlelni rosszindulatú kód fájlfolyamokban. Ezért az új férgek és az azokat használó vírusok megjelenése komoly veszélyt jelenthet.

Egyéb adatfolyamokat használó vírusok

A W2K.Stream mellett a streamek más vírusokban és férgekben is alkalmazásra találtak. Az első fájlfolyamokat használó féreg az I-Worm.Potok volt. Ez a kis vadállat több szálat csatol az odbc.ini fájlhoz a Windows könyvtárban, és ott tárolja a szkripteket, hogy elküldje magát postai úton. Egy másik vírus a W2k.Team. Ezeknek és más hasonló vírusoknak a leírása a http://www.viruslist.com/ weboldalon található.

Streamek használata a konzolról

Fájl létrehozása adatfolyammal:
írja be a nul > somefile.txt:Stream

Írj a streambe:
echo "Valami" >> somefile.txt:Stream

Olvasás egy adatfolyamból:
több< somefile:Stream

Meglévő fájl tartalmának másolása adatfolyamba:
írja be a fájl1.txt >> valami fájl.txt:Stream

Egy adatfolyam tartalmának fájlba másolása:
több< somefile.txt:Stream >> fájl2.txt

A szálak eltávolítása

Van egy vélemény, hogy egy adatfolyamot csak azzal a fájllal együtt lehet törölni, amelyhez csatolva van. Ez rossz. Ha ismeri az adatfolyam nevét, bármikor törölheti standard funkció Fájl törlése.

Felsorolás 1. Példa szál létrehozására.

#beleértve int main() ( DWORD dwRet; HANDLE hStream = CreateFile("tesztfájl:folyam", GENERIC_WRITE, FILE_SHARE_WRITE, NULL, OPEN_ALWAYS, NULL, NULL); WriteFile(hFile, "Ez egy adatfolyam", 17, &NULLRet); CloseHandle(hStream) return 0;

Listing 2. X-Stream: Az adatfolyamok listáját mutató program

#beleértve #beleértve #beleértve #beleértve int _tmain(int argc, _TCHAR *argv) ( WIN32_STREAM_ID sid; ZeroMemory(&sid, sizeof(WIN32_STREAM_ID)); DWORD dw1,dw2,dwRead; INT adatfolyamok száma = 0; //Buffer a WVOCHARszmei adatfolyam formátumának wLPNaszsztri kódja nevéhez lpContext = NULL. ,FILE_FLAG_BACKUP_SEMANTICS,NULL ); if (hFile == INVALID_HANDLE_VALUE) (printf("\nHiba: Nem sikerült megnyitni a fájlt, a könyvtárat vagy a lemezt: %s\n",argv); exit(0); ) DWORD dwStreamHeaderSize) = (LPBY) &sid.cStreamName - (LPBYTE)&sid + sid.dwStreamNameSize )) ( / /Ha az adatfolyam típusa nem megfelelő, akkor megszakítjuk a ciklust if (sid.dwStreamId == BACKUP_INVALID) break; ZeroMemory(&wszStreamName,sizeof(wszStreamName));

//A folyam nevének lekérése if (!BackupRead(hFile, (LPBYTE) wszStreamName, sid.dwStreamNameSize, &dwRead, FALSE, TRUE, &lpContext)) break;

  • if (sid.dwStreamId == BACKUP_DATA || sid.dwStreamId == BACKUP_ALTERNATE_DATA) ( numofstreams++; printf("\n\nStream\t\t#%u",numofstreams); switch (sid.dwStreamId) ( case: printf_DATA ("\nNév:\t\t::$ADATOK" n",sid.Size); ) //Ugrás a következő adatfolyamra BackupSeek(hFile, sid.Size.LowPart, sid.Size.HighPart, &dw1, &dw2, &lpContext);

//A struktúra törlése a ciklus következő lépése előtt ZeroMemory(&sid,sizeof(sid)); ) //Törölje a szolgáltatási információkat tartalmazó lpContextet //a BackupRead függvény működéséhez BackupRead(hFile, NULL, NULL, &dwRead, TRUE, FALSE, &lpContext);//Fájl bezárása CloseHandle(hFile);

visszatérés 0; )

A fájlfolyamok témájában a következők is vannak:< 1013.pdf:Zone.Identifier

Munka szálakkal

A Microsoftnak csak néhány olyan parancsa van, amely szálakkal működik, valójában csak< , >adatfolyamokkal működik, ezért csak olyan parancsok használhatók, amelyek működnek ezekkel az átirányítási operátorokkal. Arról írtam, hogyan lehet továbbra is vezérelni a szálakat csak ezekkel a parancsokkal.

A streamek csak azokkal a programokkal működnek, amelyeket úgy terveztek, hogy működjenek velük, egyszerűen azért, mert speciálisan kell őket kezelni (hasonlítsa össze a csomópontokat és az NTFS funkciót, de az illesztőprogram elrejti a részleteket, és a programoknak nem kell semmi különöset tenniük): csak a csomópont valós fájlját számolják).

Ha megpróbál megnyitni egy fájladatfolyamot a start filename:streamname használatával, és a program valami olyasmit mond, hogy "illegális fájlnév" vagy "fájl nem található", és biztos vagy benne, hogy a folyamnév helyes, akkor a program valószínűleg nem támogatja az adatfolyamokat. Észrevettem, hogy a Jegyzettömb, a Wordpad és a Word/Excel megfelelően működik a streamekkel, bár a Word és az Excel veszélyesnek tartja a fájlokat. Az alábbiakban néhány kísérletet mutatunk be.

MEGJEGYZÉS: Önnek úgy tűnik, hogy az alternatív adatfolyamok páratlanok. Furcsák, mert annyira rejtettek, de sok nagyobb fájlrendszerben (HFS, NSS) van ilyen, és a koncepció a 80-as évek elejére nyúlik vissza. Valójában a streameket eredetileg az NTFS-hez adták hozzá, hogy más fájlrendszerekkel kölcsönhatásba lépjenek.

Ebben a témában négyféle metaadatot fogok megvizsgálni, amelyek a fájlrendszer segítségével csatolhatók egy fájlhoz vagy könyvtárhoz. NTFS. Leírom, hogy az adott típusú metaadatok milyen célokra használhatók, és példát adok egyes Microsoft technológiában vagy harmadik féltől származó szoftverekben való felhasználásukra.

Szó lesz az újraelemzési pontokról, az objektumazonosítókról és más típusú adatokról, amelyeket a fájl a fő tartalma mellett tartalmazhat.

Objektumazonosító ez 64 bájt, amely fájlhoz vagy könyvtárhoz csatolható. Ebből az első 16 bájt lehetővé teszi a köteten belüli fájl egyedi azonosítását, és nem név, hanem azonosító szerinti elérését. A fennmaradó 48 bájt tetszőleges adatot tartalmazhat.

Az objektumazonosítók a Windows 2000 óta léteznek az NTFS-ben. Magában a rendszerben a parancsikon (.lnk) által hivatkozott fájl helyének nyomon követésére szolgál. Tegyük fel, hogy a parancsikon által hivatkozott fájl át lett helyezve a köteten belül. Amikor elindítja a parancsikont, az továbbra is megnyílik. Különleges Windows szolgáltatás ha a fájl nem található, akkor nem a nevével, hanem egy korábban létrehozott és elmentett azonosítóval kísérli meg megnyitni a fájlt. Ha a fájlt nem törölték, és nem hagyta el a kötetet, megnyílik, és a parancsikon ismét a fájlra mutat.

Az objektumazonosítókat a Kaspersky Anti-Virus 7-es verziójának iSwift technológiája használta. A technológia leírása a következő: A technológiát NTFS fájlrendszerhez fejlesztették ki. Ebben a rendszerben minden objektumhoz NTFS azonosító tartozik. Ezt az azonosítót egy speciális iSwift adatbázisban lévő értékekkel hasonlítják össze. Ha az NTFS-azonosítójú adatbázis-értékek nem egyeznek, akkor az objektumot ellenőrzi, vagy újraellenőrzi, ha megváltozott.

A létrehozott azonosítók túlzott száma azonban problémákat okozott a lemez átvizsgálása során a szabványos chkdsk vizsgálati segédprogrammal, ami túl sokáig tartott. A Kaspersky Anti-Virus következő verzióiban az NTFS Object Id használatát felhagyták.

Reparse Point

A fájlrendszeren NTFS fájl vagy a könyvtár tartalmazhat egy újraértelmezési pontot, amelyet oroszra fordítanak le "újrafeldolgozási pont". A fájlhoz vagy könyvtárhoz speciális adatok kerülnek, a fájl megszűnik normál fájl lenni, és csak egy speciális fájlrendszer-szűrő-illesztőprogram tudja feldolgozni.

A Windows olyan újraelemzési ponttípusokat tartalmaz, amelyeket maga a rendszer tud feldolgozni. Például a Windows újraelemzési pontjai szimbolikus hivatkozásokat (szimbólumhivatkozásokat) és kapcsolódási pontokat (csatlakozási pontokat), valamint beillesztési pontokat valósítanak meg a könyvtárban lévő kötetekhez.
A fájlokhoz csatolt újraelemző puffer egy legfeljebb 16 kilobájt méretű puffer. Jellemzője egy címke jelenléte, amely megmondja a rendszernek, hogy az újraelemzési pont milyen típushoz tartozik. Ha saját típusú újraelemzési puffert használ, akkor is be kell állítania a GUID-t egy speciális mezőben, és előfordulhat, hogy a Microsoft újraelemzési puffereiben nincs jelen.

Milyen típusú újrafeldolgozási pontok léteznek? Felsorolom az újraelemzési pontokat használó technológiákat. Ezek az egypéldányos tárolás (SIS) és a fürt megosztott kötetei a Windows Storage Server 2008 R2 rendszerben, a hierarchikus tároláskezelés, az elosztott. Fájlrendszer(DFS), Windows Home Server Drive Extender. Ezek a Microsoft-technológiák, amelyek újrafeldolgozási pontokat használnak, itt nem szerepelnek, bár ezek is léteznek.

Kiterjesztett attribútumok

Bővített fájlattribútumok. Róluk volt szó. Itt érdemes csak megemlíteni, hogy ezt a technológiát gyakorlatilag nem használják Windows alatt. Abból, amit tudok szoftver csak a Cygwin használ kiterjesztett attribútumokat a POSIX engedélyek tárolására. Az NTFS-en lévő egyetlen fájl kiterjesztett attribútumokkal vagy újraelemzési pont pufferrel rendelkezhet. A kettő egyidejű telepítése lehetetlen. Az összes kiterjesztett attribútum maximális mérete egy fájlban 64 KB.

Alternatív adatfolyamok

További fájlfolyamok. Valószínűleg már mindenki tud róluk. Felsorolom az ilyen típusú metaadatok főbb jellemzőit: elnevezés (vagyis egy fájlnak több adatfolyama is lehet, és mindegyiknek saját neve van), közvetlen hozzáférés a fájlrendszerből (a fájlnév formátumban nyithatók meg, kettőspont, folyam neve”), korlátlan méret , a folyamat közvetlenül egy szálból való futtatásának képessége (és azon keresztül való megvalósítás lehetősége).

A Kaspersky Anti-Virus iStream technológiájában használatos. Magában a Windowsban használatosak, például amikor letölt egy fájlt az internetről, egy Zone.Identifier adatfolyamot csatolnak hozzá, amely információkat tartalmaz a vétel helyéről. ezt a fájlt. Indítás után futtatható fájl a felhasználó láthatja az üzenetet „Nem sikerült ellenőrizni a kiadót. Valóban futtatni szeretné ezt a programot?.

Tehát a felhasználó adott kiegészítő védelem az internetről beszerzett programok meggondolatlan elindításától. Ez csak az adatfolyamok egyik felhasználási módja, és sokféle adatot tárolhatnak. Az említett Kaspersky Anti-Virus minden fájl ellenőrző összegét tárolta ott, de később ezt a technológiát is valamiért felhagyták.

Még valami?

Több is van biztonsági azonosító, valamint a szabványos fájlattribútumok, amelyek nem érhetők el közvetlenül, annak ellenére, hogy szintén fájlfolyamként vannak megvalósítva. És ők, és a kiterjesztett attribútumok, valamint az újraelemzés és az objektumazonosító - a rendszer szempontjából ezek mind fájlfolyamok. Nincs értelme közvetlenül megváltoztatni a biztonsági azonosítót, amely a következő képen látható: $SECURITY_DESCRIPTOR, hagyja, hogy a rendszer foglalkozzon a módosítással. Maga a rendszer nem biztosít közvetlen hozzáférést más típusú adatfolyamokhoz. Szóval ennyi.

A program segítségével megtekintheti az objektumazonosító tartalmát, az újraértelmezési pontokat, valamint dolgozhat kiterjesztett attribútumokkal és alternatív fájlfolyamokkal

Láthatóan-láthatatlanul

Victor blogolvasó nem tudta futtatni az internetről letöltött PowerShell-szkriptet. Az utasításaim gondos elolvasása elkerülte a problémát, de a gyökere nem a PowerShell szigorú biztonsági szabályzata volt.

Victor letöltött egy archívumot a PSWindowsUpdate.zip szkripttel a TechNet galériából a következőhöz: Windows kezelés Frissítés, amiről beszéltem. A kicsomagolt szkript azonban nem volt hajlandó működni. Amikor azt javasoltam az olvasónak, hogy az utasításaim első pontja az archívum feloldásának szükségességéről szól, minden úgy ment, mint a karikacsapás.

Victor magyarázatot kért, miért blokkolta a rendszer a szkriptet, és honnan tudta, hogy az archívumot egy másik számítógépről töltötték le.

Hogy őszinte legyek, a mai téma nem új keletű, de több okból is úgy döntöttem, hogy foglalkozom vele a blogomon:

  • Sok cikket írtak vissza Windows idők XP vagy Windows 7, és nem veszik figyelembe az újabb Microsoft operációs rendszerek beépített képességeit.
  • A közeljövőre tervezett cikkek egyike ezt a témát érinti, és könnyebben tudok hivatkozni olyan anyagokra, amelyek relevanciájáért és helyességéért magam is felelős vagyok.
  • A blognak nagy a közönsége, és sok olvasó számára ez a téma még mindig új lesz :)

Ma a programon

NTFS adatfolyamok

A Windows az NTFS fájlrendszer alternatív adatfolyamából (ADS) szerez információkat a fájl forrásáról. A fájl tulajdonságai között szerényen azt írja, hogy egy másik számítógépről van, de a valóságban egy kicsit többet tud, mint később látni fogja.

NTFS szempontból a fájl a gyűjtemény. A fájl tartalma egy $DATA nevű adatattribútum. Például, szöveges fájl a „Hello, World!” sorral. a „Hello, World!” adatattribútummal rendelkezik.

Az NTFS-ben a $DATA attribútum egy adatfolyam, és elsődlegesnek vagy névtelennek nevezik, mert... nincs neve. Formálisan így néz ki:

$DATA:""

  • $DATA- Név tulajdonság
  • : – elválasztó
  • "" - Név folyik(ebben az esetben nincs név - az idézetek között nincs semmi)

Az alternatív adatfolyamok érdekes tulajdonságai

A fenti példákkal összefüggésben szeretnék néhány érdekes dolgot kiemelni.

Láthatatlan változások

Miután az első paranccsal létrehozott egy szöveges fájlt, megnyithatja azt szövegszerkesztőés ügyeljen arra, hogy a további manipulációk semmilyen módon ne befolyásolják a fájl tartalmát.

Érdekes lesz, ha a fájlt megnyitjuk, mondjuk a Notepad++-ban. Ez a szerkesztő figyelmeztetheti a fájlváltozásokra. És ezt teszi, ha alternatív adatfolyamot ír a fájlba, de a tartalom ugyanaz marad!

Rögzítse és tekintse meg a CMD hirdetéseket

A hirdetések a parancssorból hozhatók létre és jeleníthetők meg. A következő parancsok rejtett szöveget írnak a MyStream2 nevű második ADS-be, majd megjelenítik azt.

Rejtett szöveg visszhangja > C:\temp\test.txt:MyStream2 továbbiak< C:\temp\test.txt:MyStream2

ADS megtekintése szövegszerkesztőben

Ugyanez a Notepad++ megmutatja az ADS tartalmát, ha a parancssorban megadja a folyam nevét

"C:\Program Files (x86)\Notepad++\notepad++.exe" C:\temp\test.txt:MyStream1

Eredmény:

Jegyzettömbnél ez a trükk csak akkor működik, ha van a .txt. Az alábbi parancsok hozzáadnak egy harmadik ADS-t, és nyissa meg a Jegyzettömbben.

Rejtett szöveg visszhangja > C:\temp\teszt.txt:MyStream3.txt jegyzettömb C:\temp\teszt.txt:MyStream3.txt

Eredmény:

Letöltött fájlok blokkolása

Térjünk vissza az olvasó által feltett kérdéshez. Az, hogy egy fájl blokkolva lesz-e, elsősorban attól a programtól függ, amelyben letöltötték, másodsorban pedig az operációs rendszer beállításaitól. Tehát minden modern böngésző támogatja a blokkolást, és a Windows tartalmazza.

Ne feledje, hogy ha egy archívum zárolva van, minden kicsomagolt fájl „öröklött” lesz zárolva. Ne feledje azt is, hogy az ADS az NTFS egyik jellemzője, pl. Az archívum FAT32-re mentésekor vagy kicsomagolásakor nem történik blokkolás.

Információk megtekintése a blokkolt fájl forrásáról

A PowerShellben lépjen a letöltött fájlt tartalmazó mappába, és tekintse meg az összes szálra vonatkozó információkat.

Get-Item .\PSWindowsUpdate.zip -Stream * Fájlnév: C:\Users\Vadim\Downloads\PSWindowsUpdate.zip Adatfolyam hossza ------ ------ :$DATA 45730 Zone.Identifier 26

Amint azt már tudod, a $Data a fájl tartalma, de az ADS is megjelenik a listában Zóna.Azonosító. Ez egyértelmű utalás arra, hogy a fájl valamelyik zónából érkezett. Tudod honnan van ez a kép?

A zóna megismeréséhez el kell olvasnia az ADS tartalmát.

Get-Content .\PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId=3

Nyilvánvalóan a kötegelt feloldást célozza (például amikor az archívum már ki van csomagolva). Az alábbi parancs feloldja a Letöltések mappában található összes fájl zárolását, amely a nevet tartalmazza PS:

Dir C:\Downloads\*PS* | Blokkolás feloldása-Fájl

Természetesen van mindenféle grafikus felületű segédprogram, még olyan is, amibe integrálható helyi menü. De véleményem szerint a PowerShell vagy a legrosszabb esetben a streamek elég.

Hogyan lehet megakadályozni a fájlok blokkolását

A blokkolást a csoportházirend szabályozza. Ne tároljon információt a csatolt fájlok származási zónájáról. Ahogy a neve is sugallja, a blokkolás a Windows szabványos viselkedése, és a házirend lehetővé teszi ennek megváltoztatását.

A névből azonban nem derül ki, hogy a házirend nemcsak az e-mail mellékletekre vonatkozik, hanem az internetről letöltött fájlokra is. További információ a mellékletkezelőről: KB883260.

Az otthoni kiadásokban nincs csoportházirend-szerkesztő, de senki sem törölte a beállításjegyzéket: SaveZoneInformation.zip.

További példák az ADS gyakorlati alkalmazására

Az ADS hatóköre nem korlátozódik egy letöltött fájlzóna hozzáadására, és nem szükséges csak szöveget tárolni az ADS-ben. Bármely program használhatja ezt az NTFS funkciót bármilyen adat tárolására, ezért csak néhány példát mutatok be különböző területekről.

Fájlosztályozási infrastruktúra

A szerzőről

Érdekes anyag, köszönöm. Valami újat tanultam a PowerShellről, ami még egy kicsit ismerős számomra :)

Gyakran használom a WhatsApp-ot a családommal való kommunikációra – eddig ezzel a szolgáltatással volt a legkevesebb probléma, még a szüleim is megszokták. A Kontaktik is főként a családnak szól, bár az üzenetváltás főként a publikált fotókat és videókat tartalmazó albumok körül zajlik. Egyes rokonok hűségesek maradnak a Viberhez – ez nekem nem jött be, csak megtartom nekik, anélkül, hogy feladtam volna, hogy a WhatsApp-ba hurcoljam őket.

Munkára, főleg Slackre, ha valami sürgős - WhatsApp, nagyon sürgős - SMS. VKontakte a külvilággal való együttműködéshez.

A Skype-ot csak videohívásokhoz használom, főleg a családommal. Szívesen lecserélném WhatsApp-ra, ha lennének videohívások.

urix

A Viber már videohívásokat is kínál, sőt az asztali verzióhoz videohívásokat is. Szóval lehet, hogy a Viber lesz a következő Skype... jó értelemben

Andrej Kuznyecov

Érdekes anyag, köszönöm. Tudtam a szálak létezéséről, de nem tudtam, hogy ilyen egyszerű a PowerShell-en keresztül dolgozni velük.
Ami az IM-et illeti: csak a Skype-ra van panaszom az indulási idővel kapcsolatban Windows Phone. iPaden és Windowson nincs ilyen probléma. arra használom hangkommunikáció, amikor valamilyen oknál fogva kényelmetlen a GSM használata.
És levelezés Whatsappon keresztül. Az, hogy csak telefonon van, inkább plusz adatvédelmi szempontból.

  • Andrej Kuznyecov: És levelezés Whatsappon keresztül. Az, hogy csak telefonon van, inkább plusz adatvédelmi szempontból.

    Andrey, magyarázd el, mi a plusz itt?

Pavlovszkij római

1. Leggyakrabban a következőket használom: Skype és Hangouts - számítógépen végzett munkához, egyéb levelezéshez a VKontakte-on bármilyen eszközről, mivel a munkahelyi ügyfelek általában a Skype-ot, a barátok és ismerősök pedig a közösségi hálózatokon használják.

2. Ideális esetben szeretném használni: Jabber - levelezéshez és hívásokhoz bármilyen eszközről. Ami engem illet, a kliens bármilyen eszközre telepíthető és levelezhet egymással bárhol is van a felhasználó, még gyenge internetkapcsolaton is + ezen felül telepítheti a saját jabber szerverét és minden levelezést a szerveren tárolhat, hogy később gyorsan megtalálhatja a szükséges levelezést, ha az ügyfél nem tudja, hogyan kell tárolni az előzményeket, és megtalálhatók a Jabber-en keresztüli hívások bővítményei (például ugyanazon a SIP Asterisk 1.8+-on keresztül)

Andrej Bajatakov

Leggyakrabban WhatsApp-ot használok (főleg munkára), hívásokhoz (audio/videó/nemzetközi hívások) Skype-ot. Bár az asztali Skype borzasztóan dühítő (transzformátorom van és itthon főleg tabletnek használom)... A Viber nem fogott meg. A WhatsApp-on keresztüli hívásokhoz csak acél idegekre van szüksége. Mondasz valamit a beszélgetőpartnerednek, és vársz egy-két percet, amíg meghallja (50 Mbit kapcsolat)…
Ha lehetőség adódna, teljesen áttérnék Skype-ra. Windows 10 Mobile rendszeren a legutóbbi frissítés után a Skype üzenetei közvetlenül a beépített Messages alkalmazásba érkeznek (például SMS), ami nagyon kényelmes.

Alapelv

1. Nem szívesen használok ICQ-t (retrográd ügyfeleknek) és Slacket (modernebbeknek).
2. A Jabbert szeretném használni - ugyanazon okok miatt, mint a fenti Roman Pavlovsky.

Vlagyimir Kirjusin

Szia Vadim!
A cikk előtt elolvastam a cikkedet arról, hogyan kell elolvasni mindenre vonatkozó ellenőrzési jelentést rendszerlemez a chkdsk paranccsal. Remek cikk! Neki köszönhetően ma, miután ellenőriztem a rendszerlemezt a chkdsk paranccsal, megkaptam a jelentés szöveges fájlját. És ez a cikk is sok mindent megvilágít PowerShell program. Nyugdíjasként számomra érthetetlen néhány dolog, de igyekszem nem pánikolni, és szorgalmasan a végéig olvasni. Köszönjük a velünk végzett tanulmányokat! Minden jót neked!

Lecron

Milyen böngészők és letöltők hozzák létre ezt az adatfolyamot?

Milyen egyéb lehetőségek állnak rendelkezésre a felhasználó számára a szálak használatára? És különösen egy forgatókönyvíró felhasználó? Mert bár régóta tudtam róluk, sosem használtam. at igazi munka számítógéppel egyszerűen nem emlékszik rájuk, és emiatt mankókat használhat helyette kényelmes eszköz, és e nélkül a munka nélkül, emlékezetből, lehetetlen bármit is kitalálni.
Csak egy lehetőségre gondoltam. Megjegyzés a fájlhoz, ha nincs lehetőség vagy kívánság hosszú szöveget írni a fájlnévben. Ehhez azonban a fájlkezelő támogatása szükséges, amely korábban és most is a descript.ion vagy a files.bbs fájlba írja.

Sebességguru

Egy másik szeméttechnológia, mint az USN magazin. Mennyi haszna lesz a ZoneIdentifiernek vagy egy fájlhoz vagy mappához csatolt vírusnak? Természetesen nem. Sőt, ez zsúfoltja a rendszert szükségtelen „alfájlokkal”, amelyekre egy normál felhasználónak semmiképpen nincs szüksége. Az MFT-könyvtár minden extra olvasása és az alternatív szálak karbantartásával és karbantartásával kapcsolatos egyéb műveletek többletkihasznált processzorciklusok, RAM, és ami a legfontosabb, extra terhelés a merevlemezen.
Elmondhatja nekem, hogy ez a technológia nagyon szükséges a rendszerhez. De ez nonszensz – a rendszer tökéletesen működne szálak nélkül. De senki sem kérdezi a felhasználót - eladták (mint egy USN magazint), és nem adtak lehetőséget ezeknek az áramlásoknak a karbantartásának teljes letiltására. De mint felhasználó, nekem egyáltalán nincs szükségem rájuk, úgy gondolom, mint te…
Csak annyit tehetünk, hogy „streams -s -d %systemdrive%”. Ez azonban nem teszi lehetővé a szálak törlését a rendszerpartíción.

Alexiz Kadev

Az elnevezett adatfolyamok nagyszerű dolgok, és amennyire én emlékszem, az NTFS első kiadásától kezdve léteztek. Elég kényelmes például a dokumentumverziókat elnevezett folyamokban tárolni, amit ha nem tévedek, számos alkalmazás megtett. De továbbra is lesben áll a másolás másra fájlrendszer- az elnevezett patakokat egyszerűen levágják.

Kár, hogy nem lehetett több hírvivőt kiválasztani a szavazásban: én is többet használok, mivel néhány ismerősöm bizonyosakat preferál. Szóval WhatsUp-ot, ICQ-t (bár persze nem natív kliens), Skype-ot, SkypeforBusiness-t (csendes horror, nem kliens, de amikor Lync-nek hívták még rosszabb volt) és Vibert (itt több a spam) használok. mint másoknál 5-ből legalább egyszer).
És ideális esetben csak egyet használjunk, mint például a Mirandát a bővítményekkel, mivel ebben az egészben egyszerűen irreális megtalálni, ha szükséges, hogy ki mondott/írt valamit. De sajnos számos gyártó lezárja protokollját, és úgy védi őket, ahogyan Kascsej védi a tűjét.

  • VSh

    Vadim Sterkin: Roman, Jabbert nem vettem bele a felmérésbe. Úgy döntöttem, hogy kevesen használják, és nincs kilátás.

    Hiába
    Például az OpenFire-t (ingyenes xmpp) használom irodai kommunikátorként több tartományban.

    Ezért a fő üzenetem az XMPP (Pidgin.exe, Spark.exe), de ezen üzenetek 99,8%-a domainen belüli.
    Skype - külső IM-hez
    A WhatsApp és a Viber a "véletlenszerű kapcsolatokra" való, az elmúlt n hónapban nem volt más, mint SPAM, arra gondolok - töröljem?

  • Artem

    Valamiért minden a Viberen van. A kommunikáció minősége pedig elég kielégítő. Különben lenne egy távirat. Ott üres.

    köd

    1. Skype (PC-n) és Viber (mobilon). Az okok alapvetően ugyanazok, mint a legtöbb esetében – a rendelkezésre álló kapcsolatok száma, és természetesen ugyanezen kapcsolattartók vonakodása attól, hogy másik üzenetküldőre váltsanak.
    2.uTox. Miniatűr, semmi felesleges, kliens Win, Linux, Mac és Android számára. Védettként elhelyezve.
    P.S. Elkezdem szorosabban ráhúzni a névjegyeimet :-)

    Jevgenyij Karelov

    Köszönjük a munkáját!

    A felméréssel kapcsolatban a QIP 2012-t használom a PC-m levelezéshez, amelyhez ICQ, VKontakte és egyéb kapcsolatok csatlakoznak. Személy szerint számomra kényelmes, ha egy programot használok több protokollon keresztüli kommunikációhoz. A közösségi média hírfolyamainak egy helyről való megtekintésének lehetősége pedig nagyon kellemes. Ideális esetben már csak a Skype támogatása hiányzik, amit hangkommunikációra használok, de nyilván nem fog megjelenni.
    Bár ez a program „elhagyottnak” tűnik, mivel hosszú ideje nem történt frissítés, a hozzárendelt funkciókat tökéletesen ellátja.

    strafer

    Érdekes keveréke a bejegyzés témájának az adatáramlásokról és az IM felmérésről.

    A felmérés szerint: Jabber/Jabber, amit nem kellett volna felvenni a listára, bár van XMPP alapú WhatsApp, sőt, a siker felé tartó Asechka is.

    A Jabber általában megoldja ezeket a problémákat a protokoll nyitottsága, a kliensek elérhetősége számos platformon, valamint a függetlenül beállítható szerverek elérhetősége miatt. De a kaktuszok rágása hagyományosabb, igen.

    • A lista az ügyfeleket tartalmazza, nem a protokollokat.
      ICQ... nos, nem tettem oda hangulatjeleket, mert egyértelműnek kell lennie.
      A Jabber biztosan nem old meg egyetlen problémát sem – nincs ott senki.

      • strafer

        Vadim Sterkin: A kliensek listája, nem a protokollok.

        Tekintettel arra, hogy a jegyzőkönyv ill forráskódok hivatalos ügyfél zárva van, természetes azonosság jön létre az egyetlen kliens és a protokoll között.

        Vadim Sterkin: ICQ... hát nem tettem oda hangulatjeleket, mert egyértelműnek kell lennie.

        A rothadt levelezőlánynak nem elég, hogy az asechka természetes halállal hal meg – további erőfeszítéseket tesznek, hogy gyorsabban meghaljon.

        Vadim Sterkin: A Jabber biztosan nem old meg egy problémát – nincs ott senki.

        Ennek ellenére maga írt a Telegramnak

        jól néz ki, de üres (ez javítható)

        A Jabbernek minden esélye megvolt arra, hogy azzá váljon, ami a mai e-mail ökoszisztéma (a protokoll teljes nyitottsága, a szerverek bárki számára történő beállítása és a szerverek közötti interakció biztosítása stb.), de a vállalatoknak nincs erre szükségük, ami egyértelműen az. a Google vagy a saját tulajdonú WhatsApp eltávozásának példáján látható.

        • Telegram esetében - javítható, Jabbernél - nagyon valószínűtlen. Ezért az első szerepel a listán, de a második nem.

          • strafer

            Természetesen a Telegram stílusos, divatos, fiatalos, de Jabbert nem használja olyan menő, mint Durov pasa. Milyen kilátások vannak itt?

            Hm... gyere ki az „az egész világ a szabad szoftverek ellen” összeesküvés-elméletek tankjából. Minden sokkal könnyebb

            Ha nem egyértelmű, akkor így néz ki az ember első tapasztalata a hivatalosan ajánlott Jabber-klienssel a leggyakoribb mobilplatformon.

            strafer

          • Kicsit nem értettem, hol van az összeesküvéssel kapcsolatos megjegyzésem.

            Igen, mindenhol :) A divattalanságnak és a fiatalság hiányának próbálod betudni a jabba kudarcait, miközben ügyfelei az első képernyőtől nem alkalmazkodnak a modern valósághoz.

            Mit kell látnom a képernyőképen?

            Telefonszám megadása ~~~O~

            • strafer

            strafer: A jabler kudarcait a divattalanságnak és nem fiatalosnak próbálod betudni

            Nos, ha ez a helyzet.

            strafer: miközben ügyfelei az első képernyőtől nem alkalmazkodnak a modern valósághoz.

            Azok. a jelenlegi divatnak megfelelően, például mindenkinek meg kell adnia telefonszámát. Mert nem értem, miért kell bevezetni, ha nincs rá szükség a rendszer működéséhez, hiszen számomra teljesen csodálatos, hogy itt nem kérik.

            Valójában a fiókot a néhány megmaradt kapcsolat ellenére elhagytam, pontosan emiatt - Meirushechka ultimátum formájában azt követelte, hogy kapcsolják össze a telefonszámot a fiókkal, aminek eredményeként ismert koordinátákra küldték.

            Igen, nem érted, képekkel való magyarázatok után sem... Ez nem divat, csak így lehet egyszerűsíteni a regisztrációt mobil eszközök, amelyek a modern hírnökök közönségének alapját képezik és növekedésének egyetlen forrását.

            strafer

            A képernyőképen egy név, jelszó és opcionális becenév kérése látható. Hol kellene jobban egyszerűsítenünk? Vagy a speciális iskolák diákjain kívül már nem marad tartalék a közönségnövekedésre, és kell egy gomb „csináld a kedvéért”?
            Miért van egyáltalán telefonszám és mit csináljon a messenger a telefonszámmal?

    • DIR /B C:\WINDOWS\System32\*.SCR

    DIR /B C:\WINDOWS\System32\*.* |KERESÉS /i ".SCR"

    Írja le részletesen az egyes parancsok paramétereinek célját (ne feledje, hogy minden parancshoz a /? billentyűvel hívhat segítséget). Kérjük, vegye figyelembe, hogy ugyanazok a billentyűk eltérő hatással lehetnek a különböző parancsokra.

    4.1.8. NTFS* fájlfolyamok

    Az NTFS fájlrendszer támogatja a fájlfolyamokat – alternatív adatfolyamokat. Valójában a fájlfolyamok több fájl egy csoportba való kombinációja, egyetlen közös fájlnévvel (minden adatfolyamnak megvan a saját további neve). Egy csoporton belül van egy fő adatfolyam, amellyel a legtöbb program fájlként működik, és további elnevezett folyamok, amelyek normál módon nem jelennek meg. A másolás, áthelyezés, törlés stb. fájlműveletei során NTFS-ben a művelet a teljes csoporton történik. Ha egyes archiválókat használ, és alternatív adatfolyamokat tartalmazó fájlokat másol egy FAT-partícióra, ezek az adatfolyamok elveszhetnek. Technikailag az alternatív adatfolyamokat arra használják, hogy a fájlokat információval egészítsék ki anélkül, hogy megváltoztatnák a fő adatfolyam tartalmát vagy további fájlokat hoznának létre, amelyek elveszhetnek.

    Alternatív folyamok a víruskeresők használják a fájlokkal kapcsolatos információk mentésére („ujjlenyomat”, ellenőrző összeg), hogy észleljék a fájl időbeli változásait. A Direct Connect (DC++) fájlmegosztó kliensek eltárolhatják a kivonatolási eredményeket (ellenőrzőösszeg-számításokat) a nagy fájlokhoz, amelyeket a fájl áthelyezése és újrakivonatolása során használnak fel, ami jelentősen felgyorsítja a lista frissítését.

    A jövőben a könyvtári programok, filmtárak és hangkönyvtárak alternatív adatfolyamokat használhatnak arra, hogy dokumentumokkal együtt borítófolyamokat, hangsávokat, leírásokat és különböző nyelveken tároljanak. Az alternatív adatfolyamok lehetővé teszik „titkos” adatok csatolását, ami potenciális veszélyt jelent.

    Az adatfolyamokkal kapcsolatos információkat a STREAMS paranccsal25, az NTFS Stream Explorer26 programmal tekintheti meg, a fájlkezelő kiterjesztések használatával27 a Windows 7 rendszerben, a dir /r parancs megjeleníti a megadott objektumok összes adatfolyamának listáját (további kulcsokat is használhat a dir parancs).

    Fájlok internetről való mentésekor alapértelmezés szerint egy Zone.Identifier 28 adatfolyamot adnak a fájlhoz NTFS-ben, amely ini fájlformátumú és általában a következő szöveget tartalmazza:

    A ZoneId paraméter egy számmal azt a zónát jelenti, ahonnan a fájl a számítógépre érkezett a biztonsági zóna beállításaiból (; Vezérlőpult/Internetbeállítások(Hálózat és internet/böngésző tulajdonságai -

    Zera )/Biztonság lap). A következő értékek megengedettek29: 0 – helyi számítógép

    1 - intranet ( helyi hálózat, domain)

    2 – megbízható forrás

    3 – Internet

    4 – nem megbízható forrás

    Ha az érték 3, a rendszer figyelmeztetést ad ki " Nem lehet ellenőrizni

    letépni a kiadót. Tényleg futtatni akarja ezt a programot?"

    Az üzenet alján van egy jelölőnégyzet " Mindig kérdezzen rá a fájl megnyitásakor", amelynek eltávolítása eltávolítja a Zone.Identifier adatfolyamot. Ha a ZoneId értéke 4, akkor egy figyelmeztetés jelenik meg " Ezeket a fájlokat nem lehet megnyitni. Az internetes biztonsági beállítások megakadályozták a megnyitást

    25 adatfolyam (http://technet.microsoft.com/ru-ru/sysinternals/bb897440)

    26 NTFS Stream Explorer, egy program az NTFS adatfolyamokkal való munkavégzéshez (http://hex.pp.ua/ntfs-stream-explorer.php)

    27 NTFS fájl információ

    (http://forum.farmanager.com/viewtopic.php?t=2050)

    28 A helyi szerkesztőben letilthatja a fájlok blokkolószálának létrehozását csoportszabályzat(gpedit.msc):Felhasználói konfiguráció

    vatela/Adminisztrációs sablonok/ Windows összetevők/ Mellékletkezelő / A mellékletek származási zónájával kapcsolatos információk törlése.

    29 Zone.Identifier adatfolyam (http://hex.pp.ua/Zone.Identifier.php)

    egy vagy több fájl", és a fájlok megnyitása le van tiltva. Amikor megnyitja az Internetről kapott fájl Tulajdonságok ablakát az Explorerben, a Blokkolás feloldása gomb megjelenik az Általános lap alján, és

    "Vigyázat: Ez a fájl egy másik számítógépről érkezett, és előfordulhat, hogy az Ön számítógépe védelme érdekében letiltották" ", egy gomb megnyomásával A blokkolás feloldása eltávolítja a Zone.Identifier adatfolyamot.

    Internetböngészővel töltse le a STREAMS.zip fájlt (a lenti parancsban a nevének megadásával bármilyen kis fájl letölthető), mentse el az F: meghajtó gyökérmappájába, tekintse meg a Zone.Identifier stream tartalmát a parancs:

    TÖBB< F:\Streams.zip:Zone.Identifier

    Nyissa meg a Tulajdonságok ablakot az Intézőben (Alt+Enter vagy a helyi menü Tulajdonságok parancsa) a letöltött fájlhoz, az Általános lapon kattintson a Blokkolás feloldása gombra, és ismételje meg az előző parancsot a konzolon.

    Hozzon létre egy tesztfájlt egy paranccsal, amely átirányítja a szövegkimeneti operátor szövegét, adjon hozzá egy alternatív adatfolyamot, nézze meg az eredményt:

    ECHO Főszöveg > F:\M.TXT

    ECHO Rejtett szöveg > F:\M.TXT:Secret.TXT

    F TÍPUS:\M.TXT

    TÖBB< F:\M.TXT:Secret.TXT

    Alternatív szövegfolyam tölthető be a jegyzettömbbe:

    JEGYZET F:\M.TXT:Titkos.TXT

    Alternatív adatfolyamok is létrehozhatók mappákhoz és rendszerfájlokhoz30.

    Az adatfolyamokat kiterjesztett attribútumok tárolására is használják31.

    30 Adatok rejtett tárolása a $Repair fájl adatfolyamaiban a $RmMetadata rendszerkönyvtárban (http://hex.pp.ua/RmMetadata.php)

    31 Kibővített NTFS és FAT16 attribútumok

    (http://hex.pp.ua/extended-attributes.php) 53

    Kapcsolat

    Ön is kedvelheti