什么是替代数据流?

备用数据流(广告)是仅在其中找到的文件属性NTFS文件系统

在该系统中,文件是从几个属性构建的文件,其中一个是元数据,即data属性。查看文本文件的常规数据流没有什么神秘之处。它只包含文本文件中的文本。但这只是主要的数据流。

这个属性有时被称为未命名数据流,因为这个属性的名称字符串是空的(“”)。因此,任何有名称的数据流都被认为是可选的。

这些数据流遭受了糟糕的声誉,因为它们已被使用并滥用来编写隐藏数据。从关于文件来自于完整恶意软件文件的数据之间变化(例如,backdoor.rustock.a.

如果您准备做一个实验,我们可以轻松地创建和读取一个备用数据流。

您可以使用的第一个工具是由Sysinternals(Microsoft稍后购买)开发的工具,并被调用(名称Est Omen)

vooreneeld.

在上面的示例中,我们使用echo命令用来创建一个名为showme的备用数据流的名为示例的空文件。

通过使用Streams,我们可以检查哪些文件具有备用数据流。在上面的命令提示符中可见的结果,元数据是属性的名称(如前所述),8告诉我们大小。

但是因为我们正在看它,我们显然想看看备用数据流内部。不幸的是,Streams不提供该选项。

获取项目

如果您使用的是Windows 8(或更新),则存在读取广告的内置选项。您可以使用PowerShell命令来实现此目的。对于那些没有经验的人,可以通过在运行框(Windows key + R)中键入PowerShell并遵循此屏幕截图中的行来启动它。

电源外壳

设置项目

您可以使用PowerShell执行的另一件事是将Stream添加到文件中。powershell命令语法是:

Set-content - path{文件的路径}- stream{流的名称}

这样做将启动一个cmdlet,您可以在Value[i]下输入流的内容。

pssetContent.

搜索广告

如果您想搜索用于广告的目录或驱动器,您可以在目标的根目录中使用此命令:

gci -recurse |%{gi $ _。fullname -stream *} |流溪流 - 内:$数据'

PSsearch

请注意,如果您在搜索中包含Windows目录,您可能会收到一个巨大的列表。

移除广告

这里有一个警告。移除ADS并不总是可取的。其中一些是正确使用创建流的软件所必需的。所以在移除它们之前一定要做足功课。的语法是:

Remove-item -path{文件路径}-stream{流的名称}

必威平台APPMalwarebytes反恶意软件扫描并删除不需要的广告(作为rootkit.ads)

总结

备用数据流(广告)已经获得了糟糕的声誉,因为它们可以在我们自己的计算机上隐藏我们的数据的能力,过去已被恶意软件作家滥用。希望这篇文章清除了您对广告的一些问题和MyStique。

资源: