NTFS数据流简介[网络技术]

什么是NTFS数据流?
      在介绍NTFS数据流之前,我们先简单理解一下NTFS文件系统.NTFS是微软Windows NT内核的系列操作系统支持的、一个分外为网络和磁盘配额、文件加密等管理安全特点计划的磁盘格局.NTFS比FAT文件系统更安定,更安全,功效也更为强盛.假如要让FAT文件系统转换为NTFS文件系统,可以在"号令提醒符"中输入"convert 分区盘符: /fs:ntfs",便可将该分区的文件系统转换为NTFS.

      NTFS交换数据流（Alternate Data Streams,简称ADS）是NTFS磁盘格局的一个特点,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有很多非主文件流投止在主文件流中.它利用资源派生来保持与文件相关的信息,固然我们无法看到数据流文件,但是它倒是真实存在于我们的系统中的.
 

      那么为什么我们无法看到系统中的数据流文件呢,是Windows为了避免我们误删数据流文件而成心设置的障碍吗?答案能否定的,我们之所以无法在系统中看到NTFS数据流文件,是因为Windows中的很多工具对数据流文件的支持并非很好,就像"资源管理器",我们无法在"资源管理器"中看到有关数据流文件的改变.
 

NTFS数据流的成立实例
      相信不少看了上文介绍的读者朋友还是对NTFS数据流一头雾水,没有关系,下面我们通过实例来深化理解一下NTFS数据流.

      成立宿主文件宿主文件在这里指的就是普通文件,是在Windows中可以正常显示、运行、编辑的任何范例文件.我们先来成立一个txt格局的文本文档,把它作为宿主文件.运行"记事本",随便输入一些内容,比方"测试——宿主文件",然后将其保存为C:\test\suzhu.txt.接着我们在suzhu.txt上点右键,挑选"属性",可以发现其文件大小为16字节.
 

      关联数据流的宿主文件成立完成后,我们再来成立一个数据流文件,将其与宿主文件关联,看看宿主文件会发生什么改变.点击"开始"→"运行",输入cmd运行"号令提醒符",切换到C:\test\目录中,输入号令"echo "测试——数据流文件" > suzhu.txt:shujuliu.txt".这样我们就成立了一个名为shujuliu.txt,内容为"测试——数据流文件"的数据流文件,并与宿主文件suzhu.txt举行了关联.

 
      让我们回到C:\test\目录中,可以发目前该文件夹中只有一个suzhu.txt,而没有数据流文件shujuliu.txt,即便在"号令提醒符"中利用"dir"号令也找不到shujuliu.txt.既然宿主文件suzhu.txt和数据流文件shujuliu.txt举行了关联,那么是不是shujuliu.txt的内容归并到suzhu.txt中了呢?我们翻开suzhu.txt,此中的内容并没有改变,仍旧是"测试——宿主文件",而文件大小还是16字节.

      那么数据流文件shujuliu.txt哪去了呢?还是用"号令提醒符"让它现形吧,在"号令提醒符"中输入号令"notepad suzhu.txt:shujuliu.txt",在弹出的记事本程序中就会呈现数据流文件shujuliu.txt的内容.而我们在"号令提醒符"中利用type、edit等号令对数据流文件举行编辑时,将会呈现错误,这是因为"号令提醒符"还不能很好地支持数据流文件.记事本固然可以翻开数据流文件,但并不表示它能完好支持NTFS数据流,这一点我们在"另存为"数据流文件的时刻就会发现.

      成立数据流文件我们除了能将数据流文件和宿主文件举行绑定外,还可以成立单独的数据流文件.在"号令提醒符"中输入"echo "测试——数据流文件" > :shujuliu2.txt",这样就成立了一个名为shujuliu2.txt的数据流文件,而这个文件无论是在"资源管理器"还是在"号令提醒符"中利用"dir"号令,都是无法看到的.可以说,这个文件已经在系统中隐身了,我们只能通过输入号令"notepad :shujuliu2.txt"得知它的存在,而即便知道它的存在,我们也无法删除,因为号令提醒符中"del"号令已经失去了作用.唯一能将之删除的办法,就是删除其上一级目录,假如单独的数据流文件存在于磁盘根目录,那么删除它将是一件很痛楚的事.

      文中的数据流文件我们都是以文本文档举的例子,而数据流文件是不范围于文本文档的,任何文件都可以作为数据流文件,包含可履行程序,图片,声音等等.这种特点使得木马可以通过NTFS数据流将自己躲藏起来,从"资源管理器"中消逝.
 

      这就至少造成两个隐患:一是黑客入侵后大概将黑客工具通过数据流躲藏起来,当然也有病毒爆发后将病毒文件举行躲藏的;二是通过某些途径,让数据流文件可以自动履行,起到躲藏木马的效果.

      假若有木马将自己躲藏到系统文件或系统根目录中,要想发现或删除它们就会非常麻烦.好在我们有了现成的工具,斯托夫安全实行室专门推出了一款用于扫描和查杀NTFS数据流的绿色工具,任何个人用户都可免费且无任何限制地利用它.

官方网站:http://www.stovesoft.com
软件介绍:http://stovesoft.com/index.php?_m=mod_product&_a=view&p_id=153