// вы читаете...

Новости

NTFS Streams



Сокрытие процессов во всеми любимой Windows занятие довольно интересное, которое, можно сказать, иногда становиться хобби. :) В этой ОС очень много хороших, но к сожалению не доведённых до ума, вещей, которые при ближйшем рассмотрении дают интересные “недокументированные” возможности. Сейчас мы рассмотри тему существования процессов и модулей без наличия после загрузки исполняемых файлов. Эта тема вообще-то была незаслуженно забыта со времён MS-Dos, и у многих людей сложилось впечатление, что это невозможно (или очень сложно) сделать в Win2K/XP.

Способ нумбер уно.

Все знают, что Маленькие и Мягкие друзья во всю продвигают в массы свою “замечательную” (но далеко не завершённую) файловую систему – NTFS. Она, конечно, очень полезна на серверах и в научных центрах, где приходится шифровать файлы и квотировать место для ползователей/групп, но БГ рекомендует её и для домашнего использования. :) Хотя 99% вирусов, троянов и прочей нечести, живёт именно в домах юзеров (прямо домашние животные какие-то :)). Вот и мы сейчас подкинем эксперементаторам ещё один маленький трюк резидентности.
В NTFS реализована файловая многопоточность – каждый файл, помимо основного неиминованного потока, (содержащего, собственно, главную информацию) может иметь именованые потоки. Они никак не cказываются на размере файла (!!!) и призваны (по мнению создателей) хранить служебную информацию и авторские права. Но раз можно что-то записать, и это не будет видно в Explorer’e, то это уже интересно. ;) Доступ к потоку можно получить так:
x:\some_path\file_name:stream_name
Так что можно с помощью консоли записать в поток файл:
type some_file > some_file:some_stream
и прочесть:
more < some_file:some_stream

Страницы: 1 2 3 4 5

Обсуждене

Отзывов нет на «NTFS Streams»

Ваш отзыв

Рубрики