Criação de AltDS
Criar um AltDS é muito fácil. Para fazer isso, usaremos a linha de comando. Primeiro, vamos criar um arquivo base ao qual anexaremos nossos streams.C:\>echo Apenas um arquivo de texto de plano>sample.txtC:\>digite sample.txt
Apenas um arquivo de texto do plano
A seguir, usaremos dois pontos como operador para indicar que usaremos AltDS:
C:\\>echo Você não pode me ver>sample.txt:secret.txt
Você pode usar os seguintes comandos para visualizar o conteúdo:
C:\mais< sample.txt:secret.txt
ou
C:\bloco de notas sample.txt:secret.txt
Se tudo funcionar bem, você verá o texto: Você não pode me ver, mas quando aberto no Explorer, este texto não ficará visível. Você também pode anexar AltDS não apenas a um arquivo, mas também a uma pasta de tarefas. isso, crie uma pasta e anexe algum tipo de texto:
C:\>coisas md
C:\>coisas de CD
C:\stuff>echo Ocultar coisas em coisas>:hide.txt
C:\coisas>dir
O volume na unidade C não tem rótulo.
O número de série do volume é 40CC-B506Diretório de C:\stuff
28/09/2004 10h19.
28/09/2004 10h19…
0 Arquivo(s) 0 bytes2 Dir(s) 12.253.208.576 bytes livres
C:\coisas>bloco de notas:hide.txt
Agora você sabe como visualizar e editar um AltDS anexado usando o Bloco de Notas, bem como anexá-lo a arquivos e pastas.
Ocultando e iniciando aplicativos
Ocultar aplicativos usando AltDS é tão fácil quanto ocultar arquivos de teste. Primeiro, vamos criar o arquivo base novamente:A seguir, vamos colocar nossa aplicação em um stream, por exemplo usei notepad.exe:
C:\WINDOWS>digite notepad.exe>test.txt:note.exe
Agora vamos ter certeza de que nosso arquivo contém o mesmo texto:
C:\WINDOWS>digite test.txt
Teste
E agora a parte divertida, vamos lançar nosso aplicativo oculto:
C:\WINDOWS>iniciar.\test.txt:note.exe
C:\WINDOWS>
Como este artigo não é uma tradução completa do artigo realizado, ele está formatado como um tópico simples. Técnicas adicionais podem ser encontradas no link fornecido.
Atualização:
Utilitários para trabalhar com AltDS (lista retirada do artigo com link acima):
LADS - Listar fluxos de dados alternativos por Frank Heyne
www.heysoft.de/Frames/f_sw_la_en.htm
Streams.exe da SysInternals.
Foram introduzidos no Windows NT 4.0 e abrangem todos os descendentes (excluindo descendentes do win-95: 98, Me). No XP, Vista e Win 7 eles ainda existem. Tchau Versões do Windows suportam NTFS, eles suportam fluxos de arquivos. Eles suportarão NTFS por muito tempo.
O erro que você forneceu está descrito na página que você vê na sua pergunta. O comando type não entende threads. Uso:
Mais< 1013.pdf:Zone.Identifier
Trabalhando com Threads
A Microsoft possui apenas alguns comandos que funcionam com threads, na verdade apenas< , >funcionam com fluxos e, portanto, somente comandos que podem funcionar com esses operadores de redirecionamento podem ser usados. Escrevi sobre como você ainda pode controlar threads apenas com esses comandos.
Os fluxos só funcionarão com programas que foram concebidos para funcionar com eles, simplesmente porque precisam de ser tratados de forma especial (compare também os pontos de junção Função NTFS, mas o driver oculta os detalhes e os programas não precisam fazer nada de especial: eles apenas tratam o ponto de junção como um arquivo real).
Quando você tenta abrir um fluxo de arquivo usando start filename:streamname e o programa diz algo como "nome de arquivo ilegal" ou "arquivo não encontrado" e você tem certeza de que o nome do fluxo está correto, provavelmente o programa não oferece suporte a fluxos. Percebi que o Notepad, o Wordpad e o Word/Excel funcionam corretamente com fluxos, embora o Word e o Excel considerem os arquivos perigosos. Abaixo estão alguns experimentos.
NOTA: Parece que os fluxos de dados alternativos são estranhos. Eles são estranhos porque estão muito ocultos, mas muitos dos principais sistemas de arquivos (HFS, NSS) têm isso, e o conceito remonta ao início dos anos 80. Na verdade, os fluxos foram originalmente adicionados ao NTFS para interagir com outros sistemas de arquivos.
A maioria dos usuários de sistemas operacionais modernos da família Windows se depara com uma situação em que um arquivo de ajuda no formato CHM (Módulo de Ajuda Compilado) abre apenas parcialmente - você só pode visualizar o índice sem o conteúdo de seus itens:
Além disso, se você tentar abrir um arquivo CHM contido em um arquivo compartilhado pasta de rede, usando um caminho UNC (Convenção de Nomenclatura Universal), como \\server\h\help.chm, suas seções não são exibidas. Em outras palavras, normalmente você só poderá visualizar arquivos .chm se eles não tiverem sido recebidos pela rede.
Uma imagem semelhante é observada quando você tenta abrir arquivo executável, que foi baixado da rede. Você verá um aviso de segurança:
Além disso, o mesmo arquivo, extraído de um arquivo que também foi baixado da Internet, em este computador pode abrir sem problemas. Na verdade, a única diferença é que o arquivo aberto foi criado localmente, durante o processo de descompactação, e não baixado pela rede. Em outras palavras, o Windows tem a capacidade de determinar a origem de um arquivo na rede e responder a ele usando determinadas configurações de segurança.
Um mecanismo para determinar a origem dos arquivos na rede.
No sistema de arquivos NTFS, cada arquivo (ou diretório) é representado como uma coleção de elementos individuais chamados atributos. Elementos como nome do arquivo, configurações de segurança e até dados são todos atributos de arquivo. Cada atributo é identificado por um código de tipo de atributo e, opcionalmente, por um nome de atributo. Assim, por exemplo, o nome do arquivo está contido no atributo Nome do arquivo, conteúdo - no atributo DADOS, as informações sobre o proprietário e os direitos de acesso estão no atributo Descritor de segurança etc. O conteúdo de cada arquivo (atributo $DATA) é um conjunto fluxos, no qual os dados são armazenados. Para cada arquivo ou diretório em NTFS, há pelo menos um thread principal no qual os dados são realmente armazenados. No entanto, além do thread principal, um arquivo ou diretório também pode ser associado alternativa (UM alternar D ata S stream - ADS), que também pode conter alguns dados que não estão de forma alguma relacionados aos dados do stream principal. O fluxo principal do arquivo não tem nome e é designado como $DADOS:"". Os fluxos alternativos devem ter um nome, por exemplo - $DATA:"StreamData"- fluxo alternativo com nome StreamDataQuando as funções de gravação de dados em um arquivo são executadas, elas são colocadas no fluxo de dados principal. Quando abrimos, por exemplo, com bloco de notas arquivo de texto, então teremos acesso específico aos dados do thread principal. Os dados dos fluxos alternativos, ao utilizar o acesso padrão, não são exibidos e, de fato, não há sequer qualquer sinal de sua presença. No entanto, dados de fluxo alternativos associados a um arquivo ou diretório específico podem ser acessados usando programas especiais ou ao usar sintaxe especial em linha de comando Windows.
Por exemplo, escrevendo texto no arquivo test.txt com o comando eco:
echo Dados do fluxo principal> test.txt- escreva o texto “Main stream Data” em um arquivo teste.txt, o que significa gravar no fluxo principal sem nome.
Mas você pode alterar o comando:
echo Dados de fluxo alternativo > test.txt:stream1- escreva o texto “Alternate stream Data” em um stream alternativo com o nome fluxo1 arquivo teste.txt
Agora você pode abrir, por exemplo, cada um dos streams com o Bloco de Notas:
teste de bloco de notas.txt- o conteúdo do stream principal será aberto com o texto “Main stream Data”
bloco de notas test.txt:stream1- o conteúdo do stream alternativo será aberto com o texto “Alternate stream Data”
Fluxos alternativos, sendo invisíveis para meios padrão trabalhar com objetos do sistema de arquivos, entretanto, é frequentemente usado para armazenar informações adicionais sobre arquivos e outras informações de serviço. Assim, por exemplo, ao baixar arquivos da Internet, os navegadores adicionam um fluxo alternativo chamado Zona.Identificador, que pode ser aberto com o bloco de notas, como no exemplo acima
bloco de notas %USERPROFILE%\Downloads\ChromeSetup.exe:Zone.Identifier- abra um stream alternativo com o nome no bloco de notas Zona.Identificador ChromeSetup.exe Você não precisa especificar o caminho para o arquivo executando primeiro o comando para ir para o diretório dos arquivos baixados usuário atual(com localização padrão das pastas do usuário do serviço):
cd %USERPROFILE%\Downloads- vá para o diretório dos arquivos baixados.
bloco de notas ChromeSetup.exe:Zone.Identifier- abra um fluxo alternativo com o nome Zona.Identificador para o arquivo de instalação do navegador Google Chrome com nome ChromeSetup.exe no diretório atual.
Como você pode ver, o conteúdo do fluxo alternativo contém as linhas:
- sinal de seção com descrição da área de transmissão de dados
ID da zona=3- identificador de zona.
Esta informação permite determinar a origem do arquivo pelo número identificador ID da zona:
0
- computador local(Local).
1
- locais rede local(Intranet)
2
- Sites confiáveis
3
-Internet
4
- sites perigosos (sites restritos)
Esta definição de zonas, por exemplo, corresponde às configurações de segurança do Internet Explorer:
Neste caso, você pode determinar que o arquivo ChromeSetup.exe foi obtido da Internet (ID da zona = 3). Ao executar tal arquivo, será emitido um aviso de segurança sobre uma fonte não confiável. A segurança do aplicativo funciona de maneira semelhante. Microsoft Office, quando alertam sobre os perigos de abrir arquivos baixados da Internet. Pela mesma razão, o conteúdo dos arquivos de ajuda no formato CHM não abre - o conteúdo do fluxo alternativo permite classificá-los como perigosos, independentemente do perigo real ou inexistente.
Tente alterar o mesmo bloco de notas, o valor ZoneId para 0 , que corresponderá à origem local do arquivo, e o aviso de segurança desaparecerá, assim como os problemas com a abertura de documentos do Office ou tópicos de ajuda em arquivos .chm.
Um comportamento semelhante dos sistemas de segurança ocorrerá nos casos em que o conteúdo do fluxo alternativo for excluído (torná-lo vazio) ou o próprio fluxo alternativo for totalmente excluído.
A partir do Windows 7, você pode usar o comando para obter uma lista de fluxos de arquivos alternativos DIR com parâmetro /R:
dir /r %UserpRofile%\Downloads- exibe uma lista de arquivos e fluxos alternativos em um diretório Transferências usuário atual.
Para trabalhar com fluxos alternativos em qualquer versão do sistema operacional Windows, você pode usar o utilitário streams.exe do pacote de software Microsoft Sysinternals Suite. O pacote contém muitos pequenos programas para diagnóstico, otimização e administração, incluindo um utilitário que permite compensar deficiências no trabalho com fluxos alternativos.
Formato da linha de comando:
streams.exe [-s] [-d]arquivo ou diretório
Opções de linha de comando:
-s- processar subdiretórios.
-d- excluir fluxos alternativos.
-sem banner- não exiba o banner inicial e as informações de direitos autorais.
Exemplos de uso:
streams.exe /?- exibir ajuda sobre como usar o programa.
transmite meuarquivo.txt- exibir informações sobre fluxos de arquivos meuarquivo.txt
streams –d meuarquivo.txt- remover fluxos de arquivos alternativos meuarquivo.txt
fluxos -d -s D:\Downloads\*.*- exclua fluxos alternativos de todos os arquivos e subdiretórios em um diretório D:\Downloads\
EM sistemas operacionais Windows 8 e posterior, o PowerShell também permite trabalhar com threads alternativos:
Get-Item -Path -Path C:\FirefoxSetup.exe -Stream *- exibe informações sobre threads no arquivo C:\FirefoxSetup.exe.
Get-Content -Path C:\FirefoxSetup.exe -Stream Zone.Identifier- exibir o conteúdo de um fluxo alternativo Zona.Identificador arquivo C:\FirefoxSetup.exe
Remove-Item -Path C:\FirefoxSetup.exe -Stream *- remova todos os fluxos alternativos associados ao arquivo C:\FirefoxSetup.exe
Remove-Item -Path C:\FirefoxSetup.exe -Stream Zone.Identifier- excluir fluxo alternativo Zona de fluxo.Identificador associado ao arquivo C:\FirefoxSetup.exe.
As informações da zona de segurança são amplamente utilizadas em políticas de grupo e, em particular, pelo Windows Attachment Manager, que executa funções de proteção contra malware que pode estar contido em anexos de e-mail ou arquivos baixados da Internet. O site da Microsoft contém um artigo detalhado sobre como configurar o Gerenciador de Anexos e resolver problemas associados a ele:
Descrição do funcionamento do gerenciador de anexos, incluído no sistema Microsoft Windows.
Concluindo, acrescentarei que os fluxos alternativos são propriedade do sistema de arquivos NTFS e, por exemplo, não são suportados no FAT32. Da mesma forma, ao copiar arquivos de NTFS para qualquer outro sistema de arquivos, fluxos alternativos são descartados.
DIR /B C:\WINDOWS\System32\*.SCR
DIR /B C:\WINDOWS\System32\*.* |FIND /i ".SCR"
Descreva detalhadamente a finalidade dos parâmetros de cada comando (lembre-se que para cada comando você pode chamar a ajuda com a tecla /?). Observe que as mesmas teclas podem ter efeitos diferentes para comandos diferentes.
4.1.8. Fluxos de arquivos NTFS*
Arquivo Sistema NTFS suporta fluxos de arquivos - fluxos de dados alternativos. Na verdade, os fluxos de arquivos são uma combinação de vários arquivos em um grupo com um nome de arquivo comum (cada fluxo tem seu próprio nome adicional). Dentro de um grupo há um fluxo de dados principal, com o qual a maioria dos programas trabalha como um arquivo, e fluxos nomeados adicionais que não são exibidos por meios normais. Durante as operações de cópia, movimentação, exclusão de arquivos, etc., no NTFS a operação é executada em todo o grupo. Ao usar alguns arquivadores e copiar arquivos contendo fluxos alternativos para uma partição FAT, esses fluxos podem ser perdidos. Tecnicamente, os fluxos alternativos são usados para complementar um arquivo com informações sem alterar o conteúdo do fluxo principal e sem criar arquivos adicionais, que pode ser perdido.
Fluxos alternativos são usados por antivírus para salvar informações sobre um arquivo (“impressão digital”, soma de verificação) para detectar alterações no arquivo ao longo do tempo. Os clientes de compartilhamento de arquivos Direct Connect (DC++) podem armazenar resultados de hash (cálculos de soma de verificação) para arquivos grandes que são usados quando um arquivo é movido e re-hashing, acelerando bastante a atualização da lista.
No futuro, programas de bibliotecas, cinematecas e audiotecas poderão utilizar fluxos alternativos para armazenar, juntamente com documentos, fluxos de capas, faixas de áudio, descrições e em diferentes idiomas. Fluxos alternativos permitem que dados “secretos” sejam anexados, o que é um perigo potencial.
Você pode visualizar informações sobre fluxos usando o comando STREAMS25, o programa NTFS Stream Explorer26, usando extensões de gerenciador de arquivos27, o comando dir /r exibe uma lista de todos os fluxos para os objetos especificados (você também pode usar chaves adicionais com o comando; comando dir).
Ao salvar arquivos da Internet, por padrão, um fluxo Zone.Identifier 28 é adicionado ao arquivo em NTFS, que possui um formato de arquivo ini e geralmente contém o texto:
O parâmetro ZoneId com um número significa a zona de onde o arquivo chegou ao computador. O número da zona é retirado das configurações da zona de segurança (; Painel de controle/Opções da Internet(Propriedades de rede e Internet/navegador -
Zera )/guia Segurança). São permitidos os seguintes valores29: 0 – computador local
1 – intranet (rede local, domínio)
2 – fonte confiável
3 – Internet
4 – fonte não confiável
Se o valor for 3, o sistema emitirá um aviso “ Não é possível verificar
rasgar o editor. Você realmente deseja executar este programa?"
Na parte inferior da mensagem há uma caixa de seleção " Sempre pergunte ao abrir este arquivo", removendo o que remove o fluxo Zone.Identifier. Se ZoneId contiver um valor 4, um aviso aparecerá " Esses arquivos não podem ser abertos. As configurações de segurança da Internet impediram que você abrisse
25 fluxos (http://technet.microsoft.com/ru-ru/sysinternals/bb897440)
26 NTFS Stream Explorer, um programa para trabalhar com fluxos NTFS (http://hex.pp.ua/ntfs-stream-explorer.php)
27 Informações do arquivo NTFS
(http://forum.farmanager.com/viewtopic.php?t=2050)
28 Você pode desabilitar a criação de um thread de bloqueio para arquivos no editor local política de grupo(gpedit.msc):Configuração do usuário
vatela/Modelos Administrativos/ Componentes do Windows/ Gerenciador de anexos / Excluindo informações sobre a zona de origem dos anexos.
29 Fluxo Zone.Identifier (http://hex.pp.ua/Zone.Identifier.php)
um ou mais arquivos" e a abertura de arquivos está bloqueada. Quando você abre a janela Propriedades no Explorer para um arquivo recebido da Internet, o botão Desbloquear aparece na parte inferior da guia Geral e
"Cuidado: Este arquivo veio de outro computador e pode ter sido bloqueado para proteger seu computador" ", apertando um botão Desbloquear remove o fluxo Zone.Identifier.
Usando um navegador da Internet, baixe o arquivo STREAMS.zip (você pode baixar qualquer arquivo pequeno especificando seu nome no comando abaixo), salve-o na pasta raiz da unidade F:, visualize o conteúdo do fluxo Zone.Identifier com o comando:
MAIS< F:\Streams.zip:Zone.Identifier
Abra a janela Propriedades no Explorer (Alt+Enter ou o comando Propriedades do menu de contexto) do arquivo baixado, na guia Geral, clique no botão Desbloquear e repita o comando anterior no console.
Crie um arquivo de teste com um comando que redirecione o texto do operador de saída de texto, adicione um fluxo alternativo e veja o resultado:
ECHO Texto principal > F:\M.TXT
ECHO Texto oculto > F:\M.TXT:Secret.TXT
TIPO F:\M.TXT
MAIS< F:\M.TXT:Secret.TXT
Um fluxo de texto alternativo pode ser carregado no bloco de notas:
BLOCO DE NOTAS F:\M.TXT:Secret.TXT
Fluxos alternativos também podem ser criados para pastas e arquivos de sistema30.
Streams também são usados para armazenar atributos estendidos31.
30 Armazenamento oculto de dados em fluxos do arquivo $Repair no diretório do sistema $RmMetadata (http://hex.pp.ua/RmMetadata.php)
31 Atributos NTFS e FAT16 estendidos
(http://hex.pp.ua/extended-attributes.php) 53
Os CIOs gastam muito tempo e recursos em projetos relacionados a sistemas processamento analítico informações de vendas e outros dados comerciais padrão. Isso cria painéis para os gerentes exibirem as métricas de desempenho da empresa e ajudá-los a fazer previsões futuras. Esses sistemas trazem benefícios significativos para os negócios, mas, na verdade, as oportunidades que eles abrem são apenas uma pequena parte do que pode ser feito com os dados disponíveis para a organização, diz Krishna Nathan, CIO da empresa de gestão de crédito S&P Global (anteriormente McGraw Hill). Ratings Financeiros, bem como prestação de serviços de consultoria e análise para o mercado de ações. Sob a liderança de Nathan, um novo sistema de processamento de dados para toda a empresa foi projetado e implementado, implementando uma estratégia destinada a acelerar o crescimento dos negócios e criar novas ofertas para os clientes.
Algumas empresas estão começando a coletar dados adicionais – eles os chamam de alternativos, não tradicionais ou ortogonais. Embora isto ainda seja novo, os CIOs devem familiarizar-se com a tecnologia hoje. Afinal, muito em breve os dados alternativos se tornarão uma ferramenta obrigatória para muitas empresas.
No entanto, não se apresse em contratar outro especialista caro. Vamos descobrir do que realmente estamos falando.
O que são “dados alternativos”
A definição de dados alternativos de Nathan é que são dados que vêm de fontes não tradicionais e podem ser analisados para fornecer insights úteis além do que você normalmente obtém.
Digamos que você tenha uma rede varejista e pretenda abrir uma nova loja em outra cidade. Normalmente, essa decisão é baseada no desempenho de suas lojas em uma determinada cidade e em outras cidades.
Uma fonte alternativa de dados aqui poderia ser fotografias de estacionamentos de supermercados tiradas ao longo de vários meses – os níveis de ocupação dos estacionamentos podem ser correlacionados com os volumes de vendas. Bem como informações sobre o trânsito de pedestres na área onde está prevista a inauguração da loja. Ao combinar as informações que você recebe, você pode aprender algo novo que o ajudará em seu negócio.
A S&P Global também fornece serviços de análise para bolsas de mercadorias, e o CIO tem de pensar constantemente em como oferecer aos clientes fontes de dados alternativas. Informações adicionais, como combinar diferentes informações para fornecer aos clientes informações que eles não conseguiriam em nenhum outro lugar.
Digamos que a S&P Global tenha informações de que uma refinaria de petróleo em Rotterdam pode produzir 100 mil barris de derivados de petróleo por dia. Mas por falta de oferta são processados cerca de 70 mil barris, ou seja, há capacidade livre para mais 30 mil. O que acontece depois que um petroleiro com 30 mil barris entra no porto? “Se o relatório de capacidade disponível da usina for de uma semana atrás, não saberemos que o petróleo acabou de ser descarregado”, explica Nathan. – Ou seja, os dados tradicionais estão desatualizados. É aqui que uma fonte de dados alternativos, como imagens de satélite, se torna útil. Se analisarmos imagens de satélite juntamente com outras fontes, obteremos uma imagem mais precisa das reservas e da produção quase em tempo real.”
Dados alternativos e o CIO
Mesmo que você não tenha roteiros prontos aplicações, familiarize-se com novas tecnologias. Planeje sistemas que permitam combinar diversas fontes de dados para análise. Aprenda a gerenciar a cadeia de entrega de dados, protegê-la e levar em consideração os direitos de uso. E contrate a equipe necessária – você precisa de cientistas de dados experientes que possam analisar dados e extrair informações úteis.
Para lançamento rápido projeto na área de dados alternativos, você pode usar uma solução pronta. Foi o que a S&P Global fez quando a Platts, subsidiária da empresa, adquiriu o cFlow, ferramenta de interpretação de imagens de satélite. CFlow oferece ferramentas de visualização que permitem monitorar mudanças nos fluxos comerciais ao longo das rotas dos navios e fornece informações sobre o volume e a natureza da carga dos navios-tanque.
Convença a administração da empresa de que chegou a hora de investir em dados alternativos – comprando soluções existentes ou criando as suas próprias. Alguns de seus projetos de dados alternativos funcionarão, mas muitos falharão. Pois bem, se dados alternativos trazem informações verdadeiramente valiosas, utilize-os para receber recursos para novos projetos.
–Marta Heller O que são “dados alternativos” e como você pode usá-los? CIO. 3 DE JANEIRO DE 2017
Escolha
