Үй
Байланыс
NTFS ішінде жасырын ағын жасау. ABE функциясын іске қосу. Балама деректер және CIO

NTFS ішінде жасырын ағын жасау. ABE функциясын іске қосу. Балама деректер және CIO

Мақала 2004 жылы Hacker журналы үшін жазылған. 09/04 (69) санында «Дструктивті ағымдар» деген атпен жарияланған.

Басқа NT жүйесін қабылдап, оған өз қолыңызбен жасалған шпиондық бағдарламаны орнатқанда, жиналған ақпаратты жәбірленушінің компьютерінде сақтау мәселесін шешу керек. Әдетте журнал файлдардың көп саны бар каталогтағы қарапайым файлға жазылады, мысалы, system32.

NTFS мүмкіндіктері

Бұл кең таралған, бірақ алыс ең жақсы жолжергілікті компьютердегі ақпаратты жасырыңыз. Пайдаланушы оның жүйелік каталогында кенеттен пайда болған қосымша, үнемі жаңартылып тұратын файлды байқап қалуы мүмкін. Бұрыннан бар файлға журнал қосу керек пе? Алдымен сіз ақпаратты қосу оның мазмұнын бұзбайтын файлды табуыңыз керек. Ақпаратты Explorer-ден, пәрмен жолынан немесе кез келген жерден көрінбейтін жерде сақтау туралы не айтуға болады? файл менеджері? Бұл мүмкіндік бізге файл арқылы беріледі NTFS жүйесі. Сіз оны кәдімгі үйдегі компьютерде сирек көресіз, өйткені көптеген пайдаланушылар әлі де FAT32-ні, тіпті XP-мен жұмыс істейтіндерді де жақсы көреді. Бірақ Win2k/XP жұмыс істейтін компанияның жергілікті желісінде NTFS дерлік пайдаланылады, өйткені бұл файлдық жүйе пайдаланушыларға кіру құқықтарын тағайындау, шифрлау және файлдарды қысу сияқты мүмкіндіктерді қамтамасыз етеді. Сонымен қатар, NTFS FAT32-ге қарағанда әлдеқайда қауіпсіз. Сондықтан мен сипаттайтын деректерді жасыру әдісі өнеркәсіптік тыңшылық үшін өте қолайлы. Longhorn-ның пайда болуымен NTFS-де үй компьютерлерінің дискілерінен үй табуға мүмкіндігі бар, өйткені NTFS негізіндегі алдағы WinFS файлдық жүйесі уәде етеді. қосымша мүмкіндіктерқарапайым қолданушыларды тартуға тиіс ақпаратты ұйымдастыру және алу туралы.

Файлға кез келген деректерді тіркеңіз

Бұл әдіс деректерді әдеттегідей файлға емес, NTFS файл ағынына сақтау болып табылады. Ағынды басқа файлға (бұл жағдайда оның өлшемі өзгермейді, ал деректер қозғалмай қалады, яғни файлдардың бақылау сомасын тексеретін утилиталар өзгерістерді байқамайды), каталогқа немесе дискіге тіркелуі мүмкін. NTFS балама файл ағындары - NTFS бағдарламасының ең алғашқы күндерінен бері бар мүмкіндіктерінің бірі. бұрынғы нұсқалар Windows NT. Бұл бір файлда деректері бар бірнеше ағындар болуы мүмкін және пайдаланушыға файлдың мазмұны сақталған негізгі ағын ғана қол жетімді болатынында жатыр. Macintoshes жүйесіндегі HFS файлдық жүйесінде ұқсас нәрсе бар. Онда ағындар айыр деп аталады. Соңғы уақытқа дейін олар файлдық ресурстар қоймасы ретінде пайдаланылды немесе файл түрі туралы ақпаратты қамтыды. MacOS X пайда болған кезде Apple ресурстарды орналастыруды ұсынды бөлек файлдар, және файл түрлері кеңейтімдер арқылы анықталады. Бірақ тармақталған қолдау әлі де сақталады. Windows жүйесінде ағындар әдетте қандай да бір түрді сақтау үшін пайдаланылады қосымша ақпаратфайл туралы. Мысалы, ағында құжаттың қысқаша мазмұны болуы мүмкін. Жүйе NTFS дискісінде болса, explorer.exe файлында қорытынды болуы мүмкін. Жиынтық мазмұнына қарай SummaryInformation, DocumentSummaryInformation және басқа бірнеше ағындар файлға тіркелуі мүмкін. Менің компьютерімде C дискісіне тіркелген $MountMgrRemoteDatabase атты ағынды таптым.

Пайдаланушы файлға тіркелген ағындар туралы кейбір жағдайларда ғана біле алады, мысалы, тіркелген ағыны бар файлды FAT/FAT32 бар дискіге көшіру кезінде. Бұл файлдық жүйелер оларды қолдамайды, сондықтан жүйе олардың атауларын көрсете отырып, ағындардағы ақпараттың жоғалуын растауды ұсынады. Әрине, егер ағын дискіге немесе жүйелік қалтаға тіркелген болса, мұндай жағдай ешқашан пайда болмайды. Шпиондық мақсаттар үшін жіптерді пайдалану қажет емес. Егер сіз ортақ бағдарламалық жасақтаманың әзірлеушісі болсаңыз, онда тіркелу, жарамдылық мерзімі аяқталғанға дейінгі күндер саны, бір сөзбен айтқанда, сіздің бағдарламаңыздың пайдаланушысынан жасырылуы керек барлық ақпаратты сақтау үшін ағындарды оңай пайдалана аласыз.

Жіптермен жұмыс

Файлдармен және ағындармен жұмыс істеудің ұқсастықтары да, айырмашылықтары да бар. Ұқсастары көп емес. Файлдар мен олардың ағындары бірдей WinAPI функцияларымен CreateFile және DeleteFile арқылы жасалады және жойылады. Оқу және жазу сәйкесінше ReadFile және WriteFile функциялары арқылы жүзеге асырылады. Ұқсастықтар осы жерде аяқталады, тек айырмашылықтар жалғасады. Ағын атауларында қалыпты файл атауының бөлігі бола алмайтын арнайы таңбалар болуы мүмкін: «*», «?», «<”, “>" ,"|" және дәйексөз сипаты. Жалпы, кез келген ағын атауы Юникод пішімінде сақталады. 0x01 – 0x20 ауқымындағы қызметтік таңбаларды да пайдалануға болады. Ағынды көшіру және жылжыту үшін стандартты функция жоқ: MoveFile және CopyFile ағындармен жұмыс істемейді. Бірақ өзіңіздің функцияларыңызды жазу үшін сізді ешкім алаңдатпайды. Ағындардың өз атрибуттары, жасау немесе кіру күндері жоқ. Олар тіркелген файлдан мұраға алынады. Егер файлдың өзінде қандай да бір деректер болса, оны ағын ретінде де көрсетуге болады. Ағын атаулары "файл аты: ағын аты: атрибут" ретінде көрсетіледі. Деректер орналасқан ағынның стандартты атрибуты $Data деп аталады. Аттары да «$» белгісінен басталатын көптеген басқа атрибуттар бар. Файлдың мазмұны атаусыз ағында (файл аты::$DATA). Файлдың мазмұнын ағын ретінде көрсету үшін файлдық жүйенің бұл қасиеті Microsoft IIS ескі нұсқаларындағы қатемен байланысты болды, осал сервердегі сценарий мәтінін білгісі келген хакер жай ғана «: $DATA» атауына және сервер орнына сценарийді орындау үшін өзінің бастапқы кодын берді. Ағындармен жұмыс істеу файлдармен жұмыс істеуге ұқсас. Листинг 1-ді қараңыз. Бұл ағындық файлды жасайтын және оған ақпаратты жазатын бағдарламаның қарапайым мысалы. Бағдарламаны іске қосқаннан кейін оның каталогында бос «testfile» файлы пайда болады. Тіркелген ағынның мазмұнын теру арқылы көре аласыз пәрмен жолы"артық< testfile:stream». Как видишь, имя потока указывается после имени файла, отделенное от него знаком двоеточия. Самое трудное при работе с потоками – это получить их список для конкретного файла. Стандартной функции нет, и поэтому придется писать ее самому. Напишем небольшую консольную программу, которая бы возвращала список потоков по имени файла. Такая прога есть у ребят из Sysinternals, с открытым кодом, и она работает, но мне не понравился их способ. Они используют вызовы Native API, и поэтому их код большой и трудный для понимания. Мы же напишем свою прогу, которая будет работать из командной строки, с алгоритмом попроще и со стандартными API функциями.

Тақырыптар тізімін алу

Алгоритм BackupRead функциясын пайдалануға негізделген. Ол үшін арналған сақтық көшірмефайлдар. Сіз жасаған кезде сақтық көшірмефайл үшін мүмкіндігінше көп деректерді, соның ішінде файл ағындарын сақтау маңызды. Ақпарат WIN32_STREAM_ID құрылымынан алынған. Ол жерден ағын атауын, оның түрін және өлшемін алуға болады. Бізге тек BACKUP_ALTERNATE_DATA түріндегі ағындар қажет болады. Барлық функциялар мен құрылымдар winnt.h тақырып файлында сипатталған. Алдымен CreateFile арқылы оқу үшін файлды ашу керек. dwFlagsAndAttributes параметрінде тек файлдарды ғана емес, сонымен қатар каталогтарды да ашуға мүмкіндік беретін FILE_FLAG_BACKUP_SEMANTICS жалауын көрсету керек. Содан кейін біз файл туралы ақпаратты sid құрылымына оқитын while циклін іске қосамыз, одан біз әрбір ағын туралы ақпарат аламыз. Циклдің келесі өтуіне дейін біз құрылымды тазалаймыз және BackupSeek функциясының көмегімен файл көрсеткішін келесі ағынға жылжытамыз. Барлық ағындар табылғаннан кейін біз қызмет ақпаратын қамтитын lpContext файлын тазалап, файлды жабамыз. Бағдарламаның бастапқы коды 2-тізімде көрсетілген. Сіз қазірдің өзінде құрастырылған бағдарламаны біздің дискімізден ала аласыз. Ағындармен жұмыс істеу үшін жазу қажет емес арнайы бағдарламалар. Пәрмен жолынан тікелей жасауға болатын кейбір нәрселер бар. Кейбір мысалдар қорапта көрсетілген.

Анықтау

Ақпарат ағыны бір нәрсеге қосылғаннан кейін оның мазмұнына оның атын білмей қол жеткізу қиын. Егер ағын логикалық томға қосылса, Windows жүйесінде жоқ стандартты құралдароны ашу. Ағын атауында кәдімгі файл атауларында рұқсат етілмеген таңбалар болуы мүмкін болғандықтан, бұл пәрмен жолын пайдаланып ағынның мазмұнын анықтау әрекеті кезінде қосымша қиындықтар тудырады. Құжаттың жиынтық мазмұны әдетте 0x05 таңба кодын қамтитын атаумен ағында сақталады. Бұл таңбаны консольде теруге болады (Ctrl+E), бірақ егер ол 0x10 немесе 0x13 таңбасы болса (каретканы қайтару және жолды беру), онда оларды теру мүмкін емес еді. Теориялық тұрғыдан, сіз компьютерде болуы мүмкін кейбір бағдарламалық жасақтаманы пайдаланып, тіркелген ағындар туралы кездейсоқ біле аласыз. WinRAR-да опция бар және егер ол қосылса, мұрағатқа орналастырылған шағын файлдың өлшемі азайып қана қоймай, тіпті ұлғаятынын байқай аласыз (ағындардағы деректер де орналастырылғандықтан мұрағат). Бұл күдік тудыруы мүмкін. Файлдық жүйеге кіруді бақылауға арналған бағдарлама - бірдей Sysinternals-тен FileMonitor - файлдарға немесе ағындарға қол жеткізуді ажыратпайды. Тиісінше, дискіге кіру журналын мұқият зерттеу күдікті бағдарлама(сіздің keylogger) журнал жазылған ағынның атын да, ол тіркелген файлдың атын да көрсетеді.

Вирустар

2000 жылдың қыркүйегінде таралу үшін альтернативті файл ағындарын пайдаланатын бірінші вирус пайда болды. W2k.Stream вирустың жаңа түрінің бірінші өкілі – ағындық серіктес болды. Ол өз каталогында .exe файлдарын іздейді және оны тапса, ол инфекция процесін бастайды. Файлға қосымша ағын қосылады, оған вирус бастапқы файлдың мазмұнын тасымалдайды, содан кейін вирустың денесі файлдың негізгі ағынына көшіріледі. Вирус жұққан файлды іске қосқаннан кейін, вирус өз каталогындағы файлдарды қайтадан жұқтыруға тырысады, содан кейін бағдарламаны қосымша ағыннан іске қосады. Шынында да, CreateProcess функциясын пайдаланып процесті ағыннан бастауға болады. Сонымен қатар, ағыны бар файлды қауіпсіз жоюға болады, бірақ процесс сақталады. Трояндар үшін жай ғана ертегі! W2K.Stream пайда болғаннан бері төрт жылға жуық уақыт өткеніне қарамастан, барлық антивирустар әлі анықтай алмайды. зиянды кодфайл ағындарында. Сондықтан оларды пайдаланатын жаңа құрттар мен вирустардың пайда болуы үлкен қауіп төндіруі мүмкін.

Ағындарды пайдаланатын басқа вирустар

W2K.Stream-тен басқа, ағындар басқа вирустар мен құрттарда қолданбасын тапты. Файлдық ағындарды қолданатын бірінші құрт I-Worm.Potok болды. Бұл кішкентай аң Windows каталогындағы odbc.ini файлына бірнеше ағындарды тіркейді және өзін пошта арқылы жіберу үшін сол жерде сценарийлерді сақтайды. Тағы бір вирус - W2k.Team. Осы және басқа ұқсас вирустардың сипаттамасын http://www.viruslist.com/ веб-сайтынан табуға болады.

Консольдегі ағындармен жұмыс істеу

Ағынмен файл құру:
nul > somefile.txt теріңіз: Stream

Ағынға жазыңыз:
echo "Бірдеңе" >> somefile.txt:Stream

Ағыннан оқу:
көбірек< somefile:Stream

Бар файлдың мазмұнын ағынға көшіру:
file1.txt >> somefile.txt: Stream деп теріңіз

Ағынның мазмұнын файлға көшіру:
көбірек< somefile.txt:Stream >> file2.txt

Жіптерді жою

Ағынды тек ол тіркелген файлмен бірге жоюға болады деген пікір бар. Бұл дұрыс емес. Егер сіз ағынның атын білсеңіз, оны әрқашан жоюға болады стандартты функцияФайлды жою.

Листинг 1. Жіпті құру мысалы.

#қосу int main() ( DWORD dwRet; HANDLE hStream = CreateFile("testfile:stream", GENERIC_WRITE, FILE_SHARE_WRITE, NULL, OPEN_ALWAYS, NULL, NULL); WriteFile(hFile, "Бұл ағын", 17 &Ret,); CloseHandle(hStream) 0 қайтарады;

Листинг 2. X-Stream: ағындар тізімін көрсететін бағдарлама

#қосу #қосу #қосу #қосу int _tmain(int argc, _TCHAR *argv) ( WIN32_STREAM_ID sid; ZeroMemory(&sid, sizeof(WIN32_STREAM_ID)); DWORD dw1,dw2,dwRead; INT numofstreams = 0; //WARCore форматындағы ағынды ағыны; //LPVIDreammeS форматындағы буфер; LPVIDammeS форматында. lpContext = NULL /* * * FILE_FLAG_BACKUP_SEMANTICS параметрімен файлды ашыңыз, ол бізге * файлдарды ғана емес, сонымен қатар дискілері бар каталогтарды */ HANDLE = CreateFile(argv,GENERIC_READ,FILE_SHARE_READ_EX,) ашуға мүмкіндік береді. ,FILE_FLAG_BACKUP_SEMANTICS,NULL ); &sid.cStreamName - (LPBYTE)&sid + sid.dwStreamNameSize printf("\n%s үшін ағындар туралы ақпарат:\n",argv while (BackupRead(hFile, (LPBYTE) &sid, dwStreamHeaderSize, &ALSEl, &dwRead,)); )) ( / /Егер ағын түрі дұрыс болмаса, онда циклды үземіз if (sid.dwStreamId == BACKUP_INVALID) үзіліс; ZeroMemory(&wszStreamName,sizeof(wszStreamName));

//Ағын атауын алыңыз, егер (!BackupRead(hFile, (LPBYTE) wszStreamName, sid.dwStreamNameSize, &dwRead, FALSE, TRUE, &lpContext)) үзілсе;

  • егер (sid.dwStreamId == BACKUP_DATA || sid.dwStreamId == BACKUP_ALTERNATE_DATA) ( numofstreams++; printf("\n\nStream\t\t#%u",numofstreams); ауысу (sid.dwStreamId: BACKUP_DATA_DATA) ("\nName:\t\t::$DATA" үзіліс; case BACKUP_ALTERNATE_DATA: printf("\nName:\t\t%S",wszStreamName ) printf("\nӨлшем:\t\ t%u\); n",sid.Size); ) //Келесі BackupSeek ағынына өту(hFile, sid.Size.LowPart, sid.Size.HighPart, &dw1, &dw2, &lpContext);

// ZeroMemory(&sid,sizeof(sid)) циклінің келесі өтуіне дейінгі құрылымды тазалаңыз; ) //Қызмет туралы ақпаратты қамтитын lpContext файлын өшіріңіз // BackupRead функциясы жұмыс істеуі үшін BackupRead(hFile, NULL, NULL, &dwRead, TRUE, FALSE, &lpContext);//файлды жабу CloseHandle(hFile);

қайтару 0; )

Сондай-ақ, файл ағындары тақырыбы бойынша келесілер бар:< 1013.pdf:Zone.Identifier

Жіптермен жұмыс

Microsoft корпорациясында ағындармен жұмыс істейтін бірнеше пәрмендер ғана бар< , >ағындармен жұмыс істейді, сондықтан осы қайта бағыттау операторларымен жұмыс істей алатын командаларды ғана пайдалануға болады. Мен тек осы пәрмендер арқылы ағындарды қалай басқаруға болатыны туралы жаздым.

Ағындар тек олармен жұмыс істеуге арналған бағдарламалармен ғана жұмыс істейді, себебі оларды арнайы өңдеу қажет (байланыс нүктелерін, сондай-ақ NTFS функциясын салыстырыңыз, бірақ драйвер мәліметтерді жасырады және бағдарламалар арнайы ештеңе істеудің қажеті жоқ: олар тек түйісу нүктесінің нақты файлын санайды).

Start filename:streamname арқылы файл ағынын ашуға әрекеттенгенде және бағдарлама "заңсыз файл атауы" немесе "файл табылмады" сияқты бірдеңе айтқан кезде және ағын атауының дұрыс екеніне сенімді болсаңыз, бағдарлама ағындарға қолдау көрсетпейді. Блокнот, Wordpad және Word/Excel ағындармен дұрыс жұмыс істейтінін байқадым, дегенмен Word және Excel файлдарды қауіпті деп санайды. Төменде кейбір эксперименттер берілген.

ЕСКЕРТПЕ: Сізге баламалы деректер ағындары біртүрлі болып көрінеді. Олар біртүрлі, өйткені олар өте жасырын, бірақ көптеген негізгі файлдық жүйелерде (HFS, NSS) бұл бар және тұжырымдама 80-жылдардың басынан басталады. Шындығында, ағындар басқа файлдық жүйелермен әрекеттесу үшін бастапқыда NTFS жүйесіне қосылды.

Бұл тақырыпта мен файлдық жүйені пайдаланып файлға немесе каталогқа тіркеуге болатын метадеректердің төрт түрін қарастырамын. NTFS. Мен осы немесе басқа метадеректер түрін қандай мақсаттарда пайдалануға болатынын сипаттаймын және оны кейбір Microsoft технологиясында немесе үшінші тарап бағдарламалық құралында пайдаланудың мысалын келтіремін.

Қайта талдау нүктелері, нысан идентификаторлары және файлдың негізгі мазмұнына қосымша болуы мүмкін деректердің басқа түрлері туралы айтатын боламыз.

Нысан идентификаторыбұл файлға немесе каталогқа тіркелетін 64 байт. Оның ішінде алғашқы 16 байт файлды том көлемінде бірегей анықтауға және оған аты бойынша емес, идентификатор арқылы қол жеткізуге мүмкіндік береді. Қалған 48 байт ерікті деректерді қамтуы мүмкін.

Нысан идентификаторлары NTFS жүйесінде Windows 2000 жүйесінен бері бар. Жүйенің өзінде олар таңбаша (.lnk) сілтеме жасайтын файлдың орнын бақылау үшін пайдаланылады. Таңбаша арқылы сілтеме жасалған файл том ішінде жылжытылды делік. Таңбашаны іске қосқанда, ол әлі де ашылады. Арнайы Windows қызметіегер файл табылмаса, ол файлды аты бойынша емес, бұрын жасалған және сақталған идентификатор арқылы ашуға әрекет жасайды. Егер файл жойылмаса және дыбыс деңгейінен шықпаса, ол ашылады және таңбаша қайтадан файлды көрсетеді.

Нысан идентификаторлары Kaspersky Anti-Virus 7 нұсқасының iSwift технологиясында пайдаланылды. Бұл технология былай сипатталған: Технология NTFS файлдық жүйесі үшін әзірленген. Бұл жүйеде әрбір нысанға NTFS идентификаторы тағайындалады. Бұл идентификатор арнайы iSwift дерекқорындағы мәндермен салыстырылады. Егер NTFS идентификаторы бар дерекқор мәндері сәйкес келмесе, онда нысан тексеріледі немесе өзгертілген болса, қайта тексеріледі.

Дегенмен, жасалған идентификаторлардың шамадан тыс көп болуы дискіні стандартты chkdsk сканерлеу утилитасымен сканерлеуге тым ұзақ уақыт қажет болды; Kaspersky Anti-Virus бағдарламасының келесі нұсқаларында NTFS нысан идентификаторын пайдаланудан бас тартылды.

Қайта талдау нүктесі

Файлдық жүйеде NTFS файлынемесе каталогта орыс тіліне деп аударылатын қайталау нүктесі болуы мүмкін «қайта өңдеу нүктесі». Арнайы деректер файлға немесе каталогқа қосылады, файл кәдімгі файл болудан қалады және оны тек арнайы файлдық жүйе сүзгі драйвері өңдей алады.

Windows жүйесінде жүйенің өзі өңдей алатын қайта талдау нүктелерінің түрлері бар. Мысалы, Windows жүйесіндегі қайта талдау нүктелері символдық сілтемелерді (символы) және түйісу нүктелерін (қосылу нүктелері), сондай-ақ каталогтағы томдар үшін бекіту нүктелерін жүзеге асырады.
Файлға тіркелген қайта талдау буфері ең үлкен өлшемі 16 килобайт болатын буфер болып табылады. Ол жүйеге қайта талдау нүктесінің қай типке жататынын көрсететін тегтің болуымен сипатталады. Өз түріңіздің қайта талдау буферін пайдаланған кезде, GUID кодын әлі де арнайы өріске орнатуыңыз қажет және Microsoft репарсе буферінде ол болмауы мүмкін.

Қайта өңдеу пункттерінің қандай түрлері бар? Мен қайта талдау нүктелерін пайдаланатын технологияларды тізімдеймін, олар: Windows Storage Server 2008 R2, иерархиялық сақтауды басқару, таратылған бір даналық сақтау (SIS) және кластерлік ортақ томдар. Файлдық жүйе(DFS), Windows Home Server Drive Extender. Бұл қайта өңдеу нүктелерін пайдаланатын Microsoft технологиялары, бірақ олар да бар.

Кеңейтілген төлсипаттар

Кеңейтілген файл атрибуттары. Бұл олар туралы болды. Бұл жерде бұл технология Windows жүйесінде іс жүзінде қолданылмайтынын айта кеткен жөн. Менің білетінімнен бағдарламалық қамтамасыз етутек Cygwin POSIX рұқсаттарын сақтау үшін кеңейтілген атрибуттарды пайдаланады. NTFS жүйесіндегі бір файлдың кеңейтілген атрибуттары немесе қайта талдау нүктесі буфері болуы мүмкін. Екеуін бір уақытта орнату мүмкін емес. Бір файлдағы барлық кеңейтілген атрибуттардың ең үлкен өлшемі 64 КБ құрайды.

Баламалы деректер ағындары

Қосымша файл ағындары.Олар туралы бәрі бұрыннан білетін шығар. Мен метадеректердің осы түрінің негізгі мүмкіндіктерін тізімдеймін: атау (яғни, файлдың бірнеше ағыны болуы мүмкін және әрқайсысының өз атауы бар), файлдық жүйеден тікелей қол жеткізу (оларды «файл атауы, қос нүкте, ағын атауы»), шектеусіз өлшем , процесті ағыннан тікелей іске қосу мүмкіндігі (және оны ол арқылы жүзеге асыру мүмкіндігі).

Kaspersky Anti-Virus iStream технологиясында қолданылады. Олар Windows-тың өзінде пайдаланылады, мысалы, Интернеттен файлды жүктеп алу кезінде оған Zone.Identifier ағыны тіркеледі, онда ол алынған орын туралы ақпарат бар. бұл файл. Іске қосылғаннан кейін орындалатын файлпайдаланушы хабарламаны көре алады «Баспагерді растау мүмкін емес. Бұл бағдарламаны шынымен іске қосқыңыз келе ме?.

Сондықтан пайдаланушыға беріледі қосымша қорғанысИнтернеттен алынған бағдарламаларды ойланбастан іске қосудан. Бұл ағындардың бір ғана қолданылуы және олар әртүрлі деректерді сақтай алады. Аталған Kaspersky Anti-Virus сол жерде әрбір файлдың бақылау сомасын сақтайды, бірақ кейінірек бұл технология да қандай да бір себептермен бас тартылды.

Тағы бірдеме?

Тағы да бар қауіпсіздік идентификаторы, сонымен қатар олар файл ағындары ретінде іске асырылғанымен, тікелей қол жетімді емес стандартты файл атрибуттары. Және олар, кеңейтілген атрибуттар, қайта талдау және объект идентификаторы - мұның бәрі жүйе тұрғысынан файл ағындары. Келесі суретте көрсетілген қауіпсіздік идентификаторын тікелей өзгертудің қажеті жоқ:$SECURITY_DESCRIPTOR оны өзгертумен жүйеге айналысуға мүмкіндік береді. Жүйенің өзі басқа ағын түрлеріне тікелей қол жеткізуді қамтамасыз етпейді. Сонымен болды.

Бағдарламаның көмегімен нысан идентификаторының мазмұнын, қайта талдау нүктелерін қарау, сонымен қатар кеңейтілген атрибуттармен және балама файл ағындарымен жұмыс істеуге болады.

Көзге көрінбейтін түрде

Блог оқырманы Виктор Интернеттен жүктеп алған PowerShell сценарийін іске қоса алмады. Нұсқауларымды мұқият оқып шығу мәселені болдырмауға мүмкіндік берді, бірақ оның түбірі PowerShell компаниясының қатаң қауіпсіздік саясаты емес еді.

Виктор TechNet галереясынан PSWindowsUpdate.zip сценарийі бар мұрағатты жүктеп алды. Windows басқаруМен айтқан жаңарту. Алайда, қаптамадан шығарылған сценарий жұмыс істеуден бас тартты. Оқырманға нұсқауымның бірінші тармағы мұрағаттың құлпын ашу қажеттілігі туралы айтқанын айтқанымда, бәрі сағат механизмі сияқты болды.

Виктор жүйе сценарийді неліктен бұғаттағанын және мұрағаттың басқа компьютерден жүктелгенін қалай білгенін түсіндіруді сұрады.

Шынымды айтсам, бүгінгі тақырып жаңа емес, бірақ мен оны бірнеше себептерге байланысты блогымда жариялауды жөн көрдім:

  • Көптеген мақалалар қайта жазылды Windows уақыттары XP немесе Windows 7 және жаңа Microsoft операциялық жүйелерінің кірістірілген мүмкіндіктерін ескермейді.
  • Жақын арада жоспарланған мақалалардың бірі осы тақырыпты қозғайды және мен үшін өзектілігі мен дұрыстығына мен жауапты болатын материалға сілтеме жасау оңайырақ.
  • Блогтың үлкен аудиториясы бар және көптеген оқырмандар үшін бұл тақырып әлі де жаңа болады :)

Бүгін бағдарламада

NTFS деректер ағындары

Windows жүйесі файлдың көзі туралы ақпаратты NTFS файлдық жүйесінің баламалы деректер ағынынан (ADS) алады. Файл сипаттарында ол басқа компьютерден екенін қарапайым түрде жазады, бірақ іс жүзінде ол сәл көбірек біледі, оны кейінірек көресіз.

NTFS көзқарасы бойынша файл дегеніміз - . Файлдың мазмұны $DATA деп аталатын деректер төлсипаты болып табылады. Мысалы, мәтіндік файл«Сәлем, әлем!» жолымен деректер атрибуты бар «Сәлем, әлем!»

NTFS жүйесінде $DATA атрибуты деректер ағыны болып табылады және негізгі немесе атаусыз деп аталады, себебі... оның аты жоқ. Ресми түрде бұл келесідей көрінеді:

$DATA:""

  • $DATA- Аты атрибут
  • : – бөлгіш
  • "" - Аты ағын(бұл жағдайда атау жоқ - тырнақшалардың арасында ештеңе жоқ)

Баламалы деректер ағындарының қызықты мүмкіндіктері

Жоғарыда келтірілген мысалдардың контекстінде мен бірнеше қызықты ойларды айтқым келеді.

Көрінбейтін өзгерістер

Бірінші пәрменмен мәтіндік файлды жасағаннан кейін оны ашуға болады мәтіндік редакторжәне барлық кейінгі манипуляциялар файлдың мазмұнына ешқандай әсер етпейтініне көз жеткізіңіз.

Файлды, мысалы, Notepad++ бағдарламасында ашқанда, қызықты болады. Бұл өңдегіш файл өзгерістері туралы ескертеді. Бұл файлға балама ағын жазғанда мұны жасайды, бірақ мазмұны өзгеріссіз қалады!

CMD жүйесінен ADS жазыңыз және көріңіз

ADS пәрмен жолынан жасалуы және көрсетілуі мүмкін. Келесі пәрмендер MyStream2 деп аталатын екінші ADS-ке жасырын мәтінді жазып, содан кейін оны көрсетеді.

Жасырын мәтінді жаңғырық > C:\temp\test.txt:MyStream2 қосымша< C:\temp\test.txt:MyStream2

Мәтіндік редакторларда ADS қарау

Пәрмен жолында ағынның атын көрсетсеңіз, сол Notepad++ сізге ADS мазмұнын көрсетеді.

"C:\Program Files (x86)\Notepad++\notepad++.exe" C:\temp\test.txt:MyStream1

Нәтиже:

Блокнотпен бұл трюк тек бар болса ғана жұмыс істейді .жазу. Төмендегі пәрмендер үшінші ADS қосады және оны Блокнотта ашады.

Жасырын мәтінді жаңғырық > C:\temp\test.txt:MyStream3.txt блокнот C:\temp\test.txt:MyStream3.txt

Нәтиже:

Жүктелген файлдарды блоктау

Оқырманның маған қойған сұрағына оралайық. Файлдың бұғатталуы, ең алдымен, ол жүктелген бағдарламаға, екіншіден, ОЖ параметрлеріне байланысты. Сонымен, барлық заманауи браузерлер блоктауды қолдайды және ол Windows жүйесіне кіреді.

Есіңізде болсын, мұрағат құлыпталған кезде, қаптамадан шығарылған барлық файлдар «тұқым қуалайтын» құлыпталады. Сондай-ақ, ADS NTFS мүмкіндігі екенін есте сақтаңыз, яғни. FAT32 жүйесінде мұрағатты сақтау немесе орамнан шығару кезінде блоктау болмайды.

Блокталған файлдың көзі туралы ақпаратты қараңыз

PowerShell бағдарламасында жүктелген файлы бар қалтаға өтіп, барлық ағындар туралы ақпаратты қараңыз.

Get-Item .\PSWindowsUpdate.zip -Stream * Файл атауы: C:\Users\Vadim\Downloads\PSWindowsUpdate.zip ағынының ұзақтығы ------ ------ :$DATA 45730 Zone.Identifier 26

Өздеріңіз білетіндей, $Data файлдың мазмұны болып табылады, бірақ ADS тізімде де пайда болады Аймақ.Идентификатор. Бұл файлдың қандай да бір аймақтан алынғанының анық белгісі. Сіз бұл суреттің қайдан алынғанын білесіз бе?

Аймақты білу үшін сізге ADS мазмұнын оқу керек.

Get-Content .\PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId=3

Әлбетте, ол пакеттік құлыпты ашуға бағытталған (мысалы, мұрағат әлдеқашан ашылған кезде). Төмендегі пәрмен атаудағы Жүктеулер қалтасындағы барлық файлдардың құлпын ашады PS:

C:\Жүктеулер\*PS* | Блоктан шығару-Файл

Әрине, графикалық интерфейсі бар утилиталардың барлық түрлері бар, тіпті біріктіруге болатыны да бар контекстік мәзір. Бірақ, менің ойымша, PowerShell немесе, ең нашар, ағындар жеткілікті.

Файлдарды блоктауды қалай болдырмауға болады

Бұғаттауды топ саясаты басқарады Тіркелген файлдардың шығу аймағы туралы ақпаратты сақтамаңыз. Аты айтып тұрғандай, бұғаттау стандартты Windows әрекеті болып табылады және саясат оны өзгертуге мүмкіндік береді.

Дегенмен, бұл саясат тек электрондық пошта тіркемелеріне ғана емес, сонымен қатар Интернеттен жүктелген файлдарға да қатысты екені атаудан анық емес. KB883260 ішінде тіркеме менеджері туралы толығырақ оқыңыз.

Үй басылымдарында топтық саясат редакторы жоқ, бірақ ешкім тізілімнен бас тартқан жоқ: SaveZoneInformation.zip.

ADS практикалық қолданудың басқа мысалдары

ADS ауқымы жүктелген файл аймағын қосумен шектелмейді, сондай-ақ ADS-те тек мәтінді сақтау қажет емес. Кез келген бағдарлама бұл NTFS мүмкіндігін кез келген деректерді сақтау үшін пайдалана алады, сондықтан мен әртүрлі аймақтардан бірнеше мысал келтіремін.

Файл классификациясының инфрақұрылымы

Автор туралы

Қызықты материал, рахмет. Мен PowerShell туралы жаңа нәрсе білдім, ол маған әлі де таныс :)

Мен отбасыммен сөйлесу үшін WhatsApp-ты жиі қолданамын - осы уақытқа дейін бұл қызметте ең аз проблемалар болды, тіпті ата-анам да үйреніп қалды. Контактик негізінен отбасына арналған, дегенмен хабар алмасу негізінен фотосуреттер мен бейнелері бар жарияланған альбомдар төңірегінде болады. Кейбір туыстар Viber-ге адал болып қалады - бұл мен үшін нәтиже бермеді, мен оны WhatsApp-қа апаруға тырыспай-ақ, олар үшін сақтаймын.

Жұмыс үшін, негізінен Slack, бірдеңе шұғыл болған кезде - WhatsApp, өте шұғыл - SMS. ВКонтакте сыртқы әлеммен жұмыс істеу туралы байланыс үшін.

Мен Skype-ты тек бейне қоңыраулар үшін пайдаланамын, негізінен отбасыммен. Егер бейне қоңыраулар болса, мен оны WhatsApp-қа қуана ауыстырар едім.

урикс

Viber-де қазір бейне қоңыраулар, тіпті жұмыс үстелі нұсқасы үшін бейне қоңыраулар бар. Мүмкін Viber келесі Skype болуы мүмкін ... жақсы мағынада

Андрей Кузнецов

Қызықты материал, рахмет. Мен ағындардың бар екенін білдім, бірақ PowerShell арқылы олармен жұмыс істеу оңай екенін білмедім.
IM-ге келетін болсақ: Skype-қа тек іске қосу уақытына қатысты шағымдарым бар Windows Phone. iPad және Windows жүйесінде мұндай мәселе жоқ. үшін қолданамын дауыстық байланыс, қандай да бір себептермен GSM пайдалану ыңғайсыз болған кезде.
Және Whatsapp арқылы хат алмасу. Оның тек телефонда болуы құпиялылық тұрғысынан қарағанда плюс.

  • Андрей Кузнецов: Және Whatsapp арқылы хат алмасу. Оның тек телефонда болуы құпиялылық тұрғысынан қарағанда плюс.

    Андрей, түсіндіріңізші, мұнда қандай артықшылық бар?

Павловский Роман

1. Мен жиі қолданамын: Skype және Hangouts - компьютерде жұмыс істеу үшін, кез келген құрылғыдан ВКонтактедегі басқа хат алмасу үшін, өйткені жұмыс клиенттері әдетте Skype-ты, ал достары мен таныстарын әлеуметтік желілерде пайдаланады.

2. Мен мынаны пайдаланғым келеді: Jabber - кез келген құрылғыдан хат алмасу және қоңыраулар үшін. Маған келетін болсақ, клиент кез келген құрылғыға орнатылып, пайдаланушы қай жерде болса да, тіпті әлсіз интернет қосылымында да бір-бірімен хат алмасуға болады + бұдан басқа, сіз өзіңіздің jabber серверіңізді орналастыра аласыз және барлық хат-хабарларды серверде сақтай аласыз, осылайша кейінірек сіз қажетті хат-хабарларды тез таба аласыз, егер клиент тарихты сақтауды білмесе және Jabber арқылы қоңырауларға арналған плагиндерді табуға болады (мысалы, сол SIP Asterisk 1.8+ арқылы)

Андрей Баятаков

Көбінесе мен WhatsApp-ты (негізінен жұмыс үшін), қоңыраулар үшін (аудио/бейне/халықаралық қоңыраулар) Skype қолданамын. Жұмыс үстеліндегі Skype қатты ашуландырса да (менде трансформатор бар және оны үйде негізінен планшет ретінде қолданамын) ... Viber оны ұстай алмады. WhatsApp арқылы қоңырау шалу үшін нервтердің болат болуы керек. Сіз әңгімелесушіге бірдеңе айтасыз және ол сізді естігенше бір-екі минут күтесіз (50 Мбит қосылым)…
Мүмкіндік болса Skype-қа толығымен ауысар едім. Windows 10 Mobile жүйесінде соңғы жаңартудан кейін Skype хабарламалары тікелей кірістірілген Messages қолданбасына (SMS сияқты) келеді, бұл өте ыңғайлы.

Максим

1. Мен ICQ (ретроградтық тұтынушылар үшін) және Slack (қазіргі заманғы тұтынушылар үшін) қолданамын.
2. Мен Джабберді пайдаланғым келеді - жоғарыдағы Роман Павловский сияқты себептермен.

Владимир Кирюшин

Сәлем Вадим!
Осы мақаланың алдында мен сіздің барлық нәрсені тексеру есебін қалай оқу керектігі туралы мақалаңызды оқыдым жүйелік диск chkdsk пәрменімен. Тамаша мақала! Оның арқасында бүгін chkdsk пәрменімен жүйелік дискіні тексергеннен кейін мен есептің мәтіндік файлын алдым. Және бұл мақала да көп нәрсені түсіндіреді PowerShell бағдарламасы. Зейнеткер ретінде кейбір нәрселер маған түсініксіз, бірақ үрейленбеуге тырысамын және соңына дейін бар ынтамен оқимын. Бізбен бірге жүргізіп жатқан оқуыңыз үшін рахмет! Сізге барлық жақсылық!

Лекрон

Бұл ағынды қандай браузерлер мен жүктеп алушылар жасайды?

Пайдаланушы ағындарды пайдаланудың басқа қандай опциялары бар? Атап айтқанда, сценарийші қолданушысы? Өйткені, мен олар туралы бұрыннан білсем де, ешқашан қолданбадым. Сағат нақты жұмыскомпьютермен олар туралы жай ғана есіңізде жоқ, сондықтан оның орнына балдақтарды пайдалануыңыз мүмкін ыңғайлы құрал, және бұл жұмыссыз, жадтан ештеңе ойлап табу мүмкін емес.
Мен бір ғана нұсқаны ойладым. Файл атауында ұзақ мәтін жазу мүмкіндігі немесе қалауы болмаса, файлға түсініктеме. Бірақ бұл бұрын, тіпті қазір дескрипт.ion немесе files.bbs файлдарын жазатын файл менеджерінің қолдауын қажет етеді.

Жылдамдық гуру

USN журналы сияқты тағы бір қоқыс технологиясы. ZoneIdentifier бағдарламасын немесе файлға немесе қалтаға тіркелген вирусты қаншалықты пайдаланасыз? Әрине жоқ. Сонымен қатар, бұл жүйені қалыпты пайдаланушыға қажет емес қажетсіз «қосалқы файлдармен» толтырады. MFT каталогындағы әрбір қосымша оқылған және балама ағындарға техникалық қызмет көрсетумен және қызмет көрсетумен байланысты басқа операциялар қосымша жұмсалған процессор циклдері болып табылады, Жедел Жадтау Құрылғысы, және ең бастысы, қатты дискіге қосымша жүктеме.
Сіз маған бұл технологияның жүйеге өте қажет екенін айта аласыз. Бірақ бұл нонсенс - жүйе ағындарсыз тамаша жұмыс істейтін еді. Бірақ пайдаланушыдан ешкім сұрамайды - олар оны сатты (USN журналы сияқты) және бұл ағындарға техникалық қызмет көрсетуді толығымен өшіруге мүмкіндік бермеді. Бірақ пайдаланушы ретінде маған олар мүлдем керек емес, мен сіз сияқты ойлаймын ...
Біздің қолымыздан келгеннің бәрі "streams -s -d %systemdrive%" болып табылады. Бірақ бұл жүйе бөліміндегі ағындарды жоюға мүмкіндік бермейді.

Алексиз Кадев

Атаулы ағындар - бұл тамаша нәрсе және олар, менің есімде, NTFS бірінші шығарылымынан бастап болды. Мысалы, құжат нұсқаларын, егер қателеспесем, бірқатар қолданбалар жасаған аталған ағындарда сақтау өте ыңғайлы. Бірақ басқасына көшіру бар файлдық жүйе- аталған ағындар жай ғана кесілген.

Сауалнамада бірнеше мессенджерді таңдау мүмкін болмағаны өкінішті: мен бірнешеуін қолданамын, өйткені менің кейбір контактілерім кейбіреулерін ұнатады. Сонымен, мен WhatsUp, ICQ (әрине, жергілікті клиент емес), Skype, SkypeforBusiness (тыныш сұмдық, клиент емес, бірақ Lync деп аталатын кезде бұл одан да нашар болды) және Viber (мұнда спам көбірек) қолданамын. басқаларға қарағанда кем дегенде 5-те бір рет).
Ең дұрысы, плагиндері бар Миранда сияқты біреуін ғана пайдаланыңыз, өйткені қажет болса, осы топта бірдеңе айтқан/жазған адамды табу шындыққа жанаспайды. Өкінішке орай, бірқатар өндірушілер хаттамаларын жауып, оларды Кащей инесін қорғайтындай қорғайды.

  • ВШ

    Вадим Стеркин: Роман, мен Джабберді сауалнамаға қосқан жоқпын. Мен оны аз адамдар пайдаланады және перспективалары жоқ деп шештім.

    Бекер
    Мысалы, мен OpenFire (тегін xmpp) бағдарламасын бірнеше домендерде кеңсе коммуникаторы ретінде қолданамын.

    Сондықтан, менің негізгісі - XMPP (Pidgin.exe, Spark.exe), бірақ бұл хабарлардың 99,8% -ы интрадомен.
    Skype - сыртқы IM үшін
    WhatsApp және Viber «кездейсоқ қосылымдарға» арналған, соңғы n ай СПАМ-дан басқа ештеңе болмады, мен ойлаймын - оны жою керек пе?

  • Артем

    Қандай да бір себептермен бәрі Viber-де. Ал коммуникация сапасы да көңілге қонымды. Әйтпесе телеграмма болар еді. Ол жерде бос.

    хазет

    1. Skype (компьютерде) және Viber (ұялы телефонда). Себептер негізінен көпшілігімен бірдей - қол жетімді контактілердің саны және, әрине, сол контактілердің басқа хабаршыға ауысуды қаламауы.
    2.uTox. Миниатюралық, артық ештеңе жоқ, Win, Linux, Mac және Android үшін клиент. Қорғалған ретінде орналастырылған.
    P.S. Мен контактілерімді оған жақынырақ сүйре бастаймын :-)

    Евгений Карелов

    Жұмысыңыз үшін рахмет!

    Сауалнамаға келетін болсақ, мен ICQ, ВКонтакте және басқа контактілер қосылған хат алмасу үшін компьютерімде QIP 2012 қолданамын. Жеке өзіме бірнеше протоколдар арқылы байланысу үшін бір бағдарламаны пайдалану ыңғайлы. Ал әлеуметтік желілердегі арналарды бір жерден көру мүмкіндігі өте қуантады. Ең дұрысы, жетіспейтін жалғыз нәрсе - мен дауыстық байланыс үшін пайдаланатын Skype қолдауы, бірақ ол пайда болмайтыны анық.
    Бұл бағдарлама «тасталған» болып көрінсе де, ұзақ уақыт бойы жаңартулар болмағандықтан, ол өзіне жүктелген функцияларды тамаша орындайды.

    strafer

    Деректер ағыны мен IM сауалнамасы туралы мақала тақырыбының қызықты қоспасы.

    Сауалнамаға сәйкес: Jabber/Jabber, сіз тізімге енгізбеуіңіз керек еді, дегенмен XMPP негізіндегі WhatsApp, тіпті табысқа қарай бет алған Асечка бар.

    Jabber, тұтастай алғанда, хаттаманың ашықтығына, көптеген платформалар үшін клиенттердің қол жетімділігіне және дербес орнатуға болатын серверлердің болуына байланысты осы мәселелердің барлығын шешеді. Бірақ кактустарды шайнау дәстүрлі, иә.

    • Тізімге хаттамалар емес, клиенттер кіреді.
      ICQ... жақсы, мен смайликтерді қоймадым, өйткені ол түсінікті болуы керек.
      Джаббер бір мәселені шешпейді – ол жерде ешкім жоқ.

      • strafer

        Вадим Стеркин: Хаттамалар емес, клиенттер тізімде.

        Осыған байланысты хаттама және бастапқы кодтарресми клиент жабылады, жалғыз клиент пен хаттама арасында табиғи сәйкестік орнатылады.

        Вадим Стеркин: ICQ... жақсы, мен смайликтерді қоймадым, өйткені ол түсінікті болуы керек.

        Шіріген пошта қызына асечканың табиғи өліммен өлуі жеткіліксіз - олар оның тезірек өлуіне қосымша күш салады.

        Вадим Стеркин: Джаббер бір мәселені шешпейді - ол жерде ешкім жоқ.

        Соған қарамастан сіз Telegram үшін жазғансыз

        керемет көрінеді, бірақ ол бос (оны түзетуге болады)

        Jabber электрондық поштаның экожүйесінің бүгінгідей болу мүмкіндігіне ие болды (хаттаманың толық ашықтығы, серверлерді кез келген адам үшін орнату және серверлер арасындағы өзара әрекеттесуді қамтамасыз ету және т.б.), бірақ корпорацияларға бұл қажет емес, бұл анық. оның Google немесе меншікті WhatsApp кету мысалында көрінеді.

        • Telegram үшін – түзетілетін, Jabber үшін – екіталай. Сондықтан біріншісі тізімде бар, бірақ екіншісі жоқ.

          • strafer

            Әрине, Telegram стильді, сәнді, жас, бірақ Джабберді Паша Дуров сияқты салқын ешкім пайдаланбайды. Мұнда қандай перспективалар бар?

            Хм... «бүкіл әлем тегін бағдарламалық жасақтамаға қарсы» қастандық теорияларыңыздан шығыңыз. Барлығы әлдеқайда оңай

            Егер түсініксіз болса, адамның ең көп таралған мобильді платформада ресми ұсынылған Jabber клиентімен өзара әрекеттесудің алғашқы тәжірибесі осылай көрінеді.

            strafer

          • Мен қастандық туралы пікірімнің қай жерін түсінбедім.

            Иә, барлық жерде :) Сіз джаббердің сәтсіздіктерін сәнсіздік пен жастықтың жоқтығымен байланыстыруға тырысасыз, ал оның клиенттері бірінші экрандағы заманауи шындыққа бейімделмеген.

            Скриншотта нені көруім керек?

            ~~~O~ телефон нөмірін енгізуді сұраңыз

            • strafer

            strafer: Сіз джаббердің сәтсіздіктерін жастық емес, сәнді емес болумен байланыстыруға тырысасыз

            Жақсы, егер солай болса.

            strafer: бірінші экраннан оның клиенттері заманауи шындыққа бейімделмеген.

            Сол. телефон нөміріңізді барлығына ашу сияқты қазіргі сәнге. Өйткені жүйенің жұмыс істеуі үшін қажет болмаса, оны неліктен енгізу керектігін түсінбеймін, мен үшін бұл жерде сұралмағаны өте керемет.

            Шын мәнінде, мен аккаунттан бас тарттым, онда бірнеше контактілер қалғанына қарамастан, дәл осы себепті - Мейрушечка ультиматум түрінде телефон нөмірін аккаунтқа қосуды талап етті, нәтижесінде ол белгілі координаттарға жіберілді.

            Иә, сіз түсінбейсіз, тіпті суретпен түсіндіргенде де... Бұл сән емес, бұл тіркеуді жеңілдетудің жалғыз жолы. мобильді құрылғылар, қазіргі заманғы мессенджерлердің аудиториясының негізін құрайтын және оның өсуінің бірден-бір көзі.

            strafer

            Скриншот атауды, құпия сөзді және қосымша лақап атты сұрауды көрсетеді. Қай жерде көбірек жеңілдету керек? Әлде, арнаулы оқу орындарының студенттерінен басқа, аудиторияны көбейтуге резерв қалмай, «ол үшін істе» деген бір түйме болуы керек пе?
            Неліктен мұнда телефон нөмірі бар және мессенджер телефон нөмірін не істеуі керек?

    • DIR /B C:\WINDOWS\System32\*.SCR

    DIR /B C:\WINDOWS\System32\*.* |ТАБУ /i ".SCR"

    Әрбір команданың параметрлерінің мақсатын егжей-тегжейлі сипаттаңыз (әр команда үшін /? пернесі арқылы анықтамаға қоңырау шалуға болатынын есте сақтаңыз). Бір пернелердің әртүрлі пәрмендерге әртүрлі әсер етуі мүмкін екенін ескеріңіз.

    4.1.8. NTFS* файл ағындары

    NTFS файлдық жүйесі файл ағындарын – баламалы деректер ағындарын қолдайды. Шындығында, файл ағындары бір ортақ файл атауы бар бірнеше файлдардың бір топқа біріктірілуі (әрбір ағынның өзінің қосымша атауы бар). Топ ішінде көптеген бағдарламалар файл ретінде жұмыс істейтін негізгі деректер ағыны және қалыпты құралдармен көрсетілмейтін қосымша аталған ағындар бар. NTFS-те көшіру, жылжыту, жою және т.б. файл операциялары кезінде операция бүкіл топта орындалады. Кейбір архиваторларды пайдаланғанда және FAT бөліміне балама ағындары бар файлдарды көшіргенде, бұл ағындар жоғалуы мүмкін. Техникалық тұрғыдан балама ағындар негізгі ағынның мазмұнын өзгертпей немесе жоғалуы мүмкін қосымша файлдарды жасамай, файлды ақпаратпен толықтыру үшін пайдаланылады.

    Баламалы ағындарантивирустар файлдағы өзгерістерді уақыт бойынша анықтау үшін файл туралы ақпаратты сақтау үшін (саусақ ізі, бақылау сомасы) пайдаланады. Direct Connect (DC++) файлды ортақ пайдалану клиенттері файл жылжытылғанда және қайта хэштелгенде пайдаланылатын үлкен файлдар үшін хэш нәтижелерін (бақылау сомасын есептеулер) сақтай алады, бұл тізімді жаңартуды айтарлықтай жылдамдатады.

    Болашақта кітапхана бағдарламалары, фильм кітапханалары және аудио кітапханалары құжаттармен, мұқабалар ағындарымен, аудио тректермен, сипаттамалармен және әртүрлі тілдерде сақтау үшін балама ағындарды пайдалана алады. Балама ағындар «құпия» деректерді қосуға мүмкіндік береді, бұл ықтимал қауіп.

    Ағындар туралы ақпаратты Windows 7 жүйесінде файл менеджерінің кеңейтімдерін пайдаланып25, NTFS Stream Explorer26 бағдарламасы арқылы көруге болады, dir /r пәрмені көрсетілген нысандар үшін барлық ағындардың тізімін көрсетеді (сонымен бірге қосымша пернелерді пайдалануға болады; dir командасы).

    Интернеттен файлдарды сақтау кезінде, әдепкі бойынша NTFS файлына Zone.Identifier 28 ағыны қосылады, ол ini файл пішімі бар және әдетте мәтінді қамтиды:

    Нөмірі бар ZoneId параметрі қауіпсіздік аймағының параметрлерінен аймақ нөмірі алынған компьютерге файл келген аймақты білдіреді; Басқару тақтасы/Интернет опциялары(Желі және Интернет / Браузер сипаттары -

    Zera )/Қауіпсіздік қойындысы). Келесі мәндерге рұқсат етіледі29: 0 – жергілікті компьютер

    1 – интранет ( жергілікті желі, домен)

    2 – сенімді дереккөз

    3 – Интернет

    4 – сенімсіз дереккөз

    Егер мән 3 болса, жүйе ескерту береді « Тексеру мүмкін емес

    баспагерді жұлып алыңыз. Сіз шынымен осы бағдарламаны іске қосқыңыз келе ме?»

    Хабарламаның төменгі жағында құсбелгі бар « Бұл файлды ашқан кезде әрқашан сұраңыз", жою Zone.Identifier ағынын жояды. Егер ZoneId 4 мәнін қамтыса, ескерту пайда болады " Бұл файлдарды ашу мүмкін емес. Интернет қауіпсіздік параметрлері ашуға жол бермеді

    25 ағын (http://technet.microsoft.com/ru-ru/sysinternals/bb897440)

    26 NTFS Stream Explorer, NTFS ағындарымен жұмыс істеуге арналған бағдарлама (http://hex.pp.ua/ntfs-stream-explorer.php)

    27 NTFS файл ақпараты

    (http://forum.farmanager.com/viewtopic.php?t=2050)

    28 Жергілікті өңдегіште файлдар үшін блоктау ағынын жасауды өшіруге болады топтық саясат(gpedit.msc):Пайдаланушы конфигурациясы

    vatela/Әкімшілік үлгілер/ Windows компоненттері/ Тіркеме менеджері / Қосымшалардың шығу аймағы туралы ақпаратты жою.

    29 Аймақ.Идентификатор ағыны (http://hex.pp.ua/Zone.Identifier.php)

    бір немесе бірнеше файл" және файлдарды ашу блокталған. Интернеттен алынған файл үшін Explorer бағдарламасында «Сипаттар» терезесін ашқан кезде «Блоктан шығару» түймесі «Жалпы» қойындысының төменгі жағында пайда болады және

    «Абайлаңыз: бұл файл басқа компьютерден келді және компьютеріңізді қорғау үшін бұғатталған болуы мүмкін» ", түймені басуБлоктан шығару Zone.Identifier ағынын жояды.

    Интернет-шолғышты пайдаланып, STREAMS.zip файлын жүктеп алыңыз (төмендегі пәрменде оның атын көрсету арқылы кез келген шағын файлды жүктеп алуға болады), оны F: дискінің түбірлік қалтасына сақтаңыз, Zone.Identifier ағынының мазмұнын пәрмен:

    ТОЛЫҒЫРАҚ< F:\Streams.zip:Zone.Identifier

    Жүктеп алынған файл үшін Explorer бағдарламасында (Alt+Enter немесе мәтінмәндік мәзірдің Сипаттар пәрмені) сипаттар терезесін ашыңыз, Жалпы қойындысында «Блоктан шығару» түймесін басып, консольдегі алдыңғы пәрменді қайталаңыз.

    Мәтінді шығару операторының мәтінін қайта бағыттайтын пәрменмен сынақ файлын жасаңыз, балама ағын қосыңыз, нәтижені қараңыз:

    ECHO Негізгі мәтін > F:\M.TXT

    ECHO Жасырын мәтін > F:\M.TXT:Secret.TXT

    ТҮРІ F:\M.TXT

    ТОЛЫҒЫРАҚ< F:\M.TXT:Secret.TXT

    Баламалы мәтін ағынын блокнотқа жүктеуге болады:

    Блокнот F:\M.TXT:Secret.TXT

    Балама ағындарды қалталар мен жүйелік файлдар үшін де жасауға болады30.

    Ағындар кеңейтілген атрибуттарды сақтау үшін де пайдаланылады31.

    30 $RmMetadata жүйелік каталогындағы $Repair файлының ағындарында деректерді жасырын сақтау (http://hex.pp.ua/RmMetadata.php)

    31 Кеңейтілген NTFS және FAT16 атрибуттары

    (http://hex.pp.ua/extended-attributes.php) 53

    Байланыс

    Сізге де ұнауы мүмкін