NTFS不利的一面.docVIP

NTFS不利的一面翻译+整理: By Bigworm 不当之处请指正这篇文章是根据H. Carvey的The Dark Side of NTFS (Microsoft’s Scarlet Letter)翻译的,可以自由转载,但请保持译者和来源以及文章的完整性.简介:微软的平台不断在增加.公司用的服务器和桌面操作系统运行的一般是winNT和win2000,而家庭用户和学生用的系统一般是winXP.这些平台是很受欢迎的并且被大范围的使用.可是使用这些操作系统的用户和管理员却对NTFS文件系统的某个特性知道的很少,那就是”交换数据流”(alternate data streams).NTFS因为它的稳定性 强大的功能 以及它所提供的安全性而成为一种更优越的文件系统,NTFS交换数据流(ADSs)是为了和Macintosh的HFS文件系统兼容而设计的,它使用资源派生(resource forks)来维持与文件相关的信息,比如说图标及其他的东西.而微软提供了一种方法通过Windows explorer来创建特殊的ADSs,检测这种特殊的ADSs的必要工具和功能相当缺乏.说来也奇怪,系统一直以来都有允许用户创建ADSs以及在这种流文件中执行隐藏代码的功能和工具.Microsoft KnowledgeBase 中Q101353号文章承认了基于API的win32不能很好的支持ADSs.????这篇文章的目的是详细的介绍ADSs是怎么被创建和利用的,以及隐藏在ADSs中的代码是怎么被执行的.基于不同的系统(NT 2K XP)处理ADSs也是很不同的.?? 创建ADSs创建ADSs的语法相对比较简单和直接.比如说创建和文件myfile.txt相关联的ADSs,只需简单的用冒号把文件名和ADSs名分开即可.D:\adsecho This is an ADS myfile.txt:hidden此外,ADSs还可用另外一个文件的内容来创建.D:\adsecho This is a test file test.txtD:\adstype test.txt myfile.txt:hidden然后你可以用记事本去检验一下看看,命令如下:d:\adsnotepad myfile.txt:hidden可是,用dir命令去看不出任何变化,Windows Explorer也没有任何可用的转换和设置来检测这种新建的ADSs的存在.此外,ADSs可以被创建以及与目录列表相关联,而不是与一个文件关联.这种特性在文章的后面将会显示出他的重要性,但现在我们介绍怎么创建ADSs以及足够了.D:\adsecho This ADS is tied to the directory listing :hidden这种类型的ADSs也可以通过type和notepad命令来创建.ADSs文件的内容并不只限于text(文本)数据,任何二进制信息的流都可以组成一个文件,而且ADS也就是一个文件而已.可执行的东西也能够相当容易的隐藏在ADSs中,看下面的例子:D:\adstype c:\winnt\notepad.exe myfile.txt:np.exeD:\adstype c:\winnt\system32\sol.exe myfile.txt:sol2.exe同样,像图片文件,声音文件或任何其他的数据流都可以隐藏在ADSs中.最后,Windows Explorer提供了一种方法来创建特殊的ADSs(RUSS00)看下图:我们在值那一栏可以填入很多东西/bbs/uploadImages/20021221731511210.gif图一如果某个用户没有写文件的权限,那么他就不能在该文件上添加ADS.此外,windows 文件保护功能可以防止系统文件被替换,但是他不能阻止有适当权限的用户在这些系统文件上添加ADSs,有个工具System File Checker(sfc.exe)可以检查受保护系统文件是否被覆盖,可是它不能检测ADSs.检测,查看,利用ADSs如前所述,微软并没有提供工具来检测ADSs的存在.现在检测ADSs最好的工具是由Frank Heyne写了Lads.exe.这个工具现在的版本是3.10,它是一个命令行工具看下图:/bbs/uploadImages/2002122174413189.jpg图二从上图我们可以看出lad.exe多有用了,不仅可以显示ADSs的存在,还可以显示ADSs的路径和大小.我们仔细注意和myfile.txt相关联的四个文件,其中三个是以很像扑克里黑桃形状的ASCII开头的,另外一个就是在花括号中有一大串数字和字母的那个文