关于数据流文件的一些信息.doc

关于数据流文件的一些信息 ? 又是一篇关于Windows，NTFS和cmd的帖子哈~貌似本板块可以改名为中国cmd联盟了~嘻嘻~废话不多说，进入正题你用过卡巴斯基么?是不是每次复制文件都会显示这个：screen.width*0.7){this.resized=true；this.width=screen.width*0.7；this.alt=Click here to open new window；}哈哈，这个就是今天我们要讨论的话题：NTFS数据流。NTFS分区的数据流是一个子文件系统允许额外的数据连接到一个特别的文件中，现在的FAT文件系统格式是不支持数据流格式的。简单点说就是给在NTFS分区格式的文件添加了一个标记。除了上面举的卡巴斯基的例子，在WinRAR添加压缩文件时，在高级选项中就有保存文件数据流的选项。再看看卡巴斯基对NTFS数据流干了些什么，Kaspersky把文件的验证指纹信息保存到NTFS数据流里面，如果病毒/木马修改了这个文件，Kaspersky就会很快发现文件校检有误，这就是为什么Kaspersky安装完毕要必须全盘检查一次，这样可以大幅度加快以后的病毒检查速度！那么，怎样添加NTFS数据流呢?这就和cmd有关了CODE：[Copy to clipboard]dir C：1.txt看看1.txt里的内容，记住哦~然后CODE：[Copy to clipboard]dir c：2.txt：stream.txt怎么样，糊涂了吧~先看看2.txt的属性：0 Bytes，打开2.txt看看有什么?什么都没了~然后在输入：CODE：[Copy to clipboard]notepad 2.txt：stream.txt看看，出来什么了?惊讶吧~其实每个文件都可以有多个流的，用这个NTFS的特性我们可以隐藏文件哦~而且，还可以，隐藏木马^_^实际上,流还可以不依赖于文件,下面的命令也是合法的(先不要试,否则可能会有点麻烦)：CODE：[Copy to clipboard]dir e：：stream.txt这是把流绑到了文件夹上，这种流就更隐蔽了，一般情况下要想删除流只有将其宿主删除，如果你执行了刚才的命令，并且是在根文件夹上执行的，如果你想删除它,那就恭喜你要格盘了：)，不过有现成的工具可以使用的，这个就是：Streams v1.53 Reveal NTFS alternate streams这么样，又是sysinternal的作品哦~我要说的就说完了，下面是网上收集的关于NTFS流的资料了Quote：NTFS上的交换数据流NTFS上的交换数据流转载：来源不详--目录--1、前言2、概念3、性质和应用-3.1创建-3.2删除-3.3检测与提取-3.4保存与传输-3.5文件隐藏-3.6运行-3.7与IIS相关4、附言5、参考文章--1、前言交换数据流(alternate data streams，以下简称ADS)也不是什么新东西，但用户和管理员对它的认识知之甚少，本文将结合前人的资料对ADS做一番探讨。如有错误，还望高手赐教。2、概念先来看看微软对多文件流的解释：在NTFS文件系统下，每个文件都可以有多个数据流。值得一提的是，流不是NTFS 2000的功能，但是从Windows NT 3.1开始流已存在。当在非NTFS卷(如Windows 98计算机的磁盘分区)下读取文件内容时，只能访问一个数据流。因此，您会觉得它是该文件真正的且唯一的内容。这样的主流没有名称，并且是非NTFS文件系统可以处理的唯一一个流。但是当在NTFS卷上创建文件时，事情可能不一样。参看图1了解此重要概念。ADS是NTFS文件系统特有的性质，也就是前面说的多数据流文件除了主流之外的流，但基于API的Win32却不能很好的支持ADS。例如我们可以把一个文件以流的形式附加到另一个文件(载体)中，但是对于Windows资源管理器来说载体文件没有发生任何变化(包括其大小、修改时间等)。由此将会产生一系列问题。下面就让我们来看看ADS的一些性质及应用吧。3、性质和应用3.1创建创建ADS很简单，语法是载体文件名：看个命令行下面的例子：echo This is lake2s stream a.txt：stream.txt通过上面的例子我们就很简单的创建了一个ADS，它在windows下并不可见，不信你可以用资源管理器或者dir命令看看a.txt文件的大小是不是0。打开a.txt，可是里面什么内容都没有。当然没有内容，这里ADS是a.txt：stream.txt，内容应该在这个文件里。注意，这里用type命令并不能显示文件a.txt：stream.txt，但是记事本却可以。还是在命令行下输入notepad a.txt：stream.txt，呵呵，看到This