În Windows 7 și Windows Vista, pe orice partiție NTFS există un set de fișiere de sistem care sunt ascunse și acces la care este interzis utilizatorilor. Numele acestor fișiere încep cu simbolul dolarului. Ele sunt legate de funcționarea sistemului NTFS în sine, pe partițiile cu alte sisteme de fișiere nu există nici unul. Scopul acestor fișiere este scris în textul "Fișiere NTFS speciale". În Windows Vista și Windows 7, printre fișierele de sistem ascunse au apărut fișierele aflate în directorul $ RmMetadata.
Aceste fișiere se referă la suportul tehnologiei de tranzacționare NTFS, după cum se poate observa din numele fișierelor, cum ar fi $ TxfLog (TxF înseamnă NTFS tranzacțional). Unele programe consideră că aceste fișiere sunt prezente pe computer ca semn de infecție de către rootkit. De fapt, sunt doar fișiere de sistem Windows. Ele pot fi prezente pe orice volum NTFS care a fost vreodată folosit de la sistemele de operare Windows Vista și Windows 7.
În Windows 7, lista de fișiere de sistem ascunse din rădăcina unității C: ar putea arăta astfel:
vulnerabilitate:
Lipsa protecției accesului la fișierul $ Repair în directorul de sistem $ Extend \ $ RmMetadata. Fișierul de sistem se referă la implementarea suportului de tranzacții NTFS.
Aplicație:
Stocarea ascunsă a informațiilor, care pot fi plasate în fluxurile de fișiere alternative ale fișierului $ Repair.
Sistem de operare:
Windows Vista, Windows 7.
Trebuie menționat faptul că în listă, în plus față de fișierele normale, există, de asemenea, fluxuri suplimentare de fișiere NTFS. Acesta este fluxul $ Bad din fișierul $ BadClus, fluxul SDS $ din fișierul $ Secure, cele două fire în $ UsnJrnl - $ J și $ Max. În plus, directorul $ RmMetadata, care este ascuns în interiorul directorul care conține fișierul Extend $ $ Repair cu un flux alternativ, și dosarul $ TxfLog este un fișier cu fluxul Tops $ $ T.
Interesul este reprezentat de fișierul \ $ Extend \ $ RmMetadata \ $ Repair. Spre deosebire de toate celelalte fișiere, acces la care este blocat la nivelul driverului ntfs.sys, acest fișier este lizibil. Asta înseamnă că sistemul nu va jura în încercarea de a citi acest fișier. Comparați, de exemplu, rezultatul executării comenzilor
Este adevărat că fișierul $ Repair este gol și nu există nimic de scris, deoarece apare eroarea "încălcarea partajării fișierelor". Fișierul $ Repair are un flux atașat de $ Config. Poate fi citit și, spre deosebire de un fișier, este disponibil pentru scriere.
În interiorul Config flux $ este o secvență de octeți 01 00 00 00 01 00 00 00. O puteți înregistra în loc de ceva datele dvs., dar cine stie cum va afecta funcționarea corectă TXF și integritatea unui volum NTFS? În loc să suprascrieți firul de sistem, puteți atașa fișierele alternative la fișierul $ Repair. De exemplu, faceți clic pe un manager de fișiere FAR tastele Shift + F4, introduceți calea C: \ Extend $ \ $ RmMetadata \ $ Repair: MyOwnStream și faceți clic pe "continua". În fluxul creat MyOwnStream este posibilă scrierea datelor. De asemenea, puteți copia conținutul unui fișier în flux folosind mai multe:
În general, tot conținutul directorului $ Extend ar trebui protejat de accesul din afară. Cu toate acestea, aici avem o situație în care putem stoca datele noastre într-un folder sistem protejat, chiar dacă nu sub formă de fișiere, ci sub formă de fluxuri NTFS. Se pare că un depozit de date ascuns și toate acestea din cauza unei erori care a provocat un anumit fișier să nu fie protejat de acces.
Programele pentru căutarea și afișarea listei fluxurilor NTFS nu pot face față enumerării firelor din fișierul $ Repair. De exemplu, programul streams.exe Mark Russinovich nu le afișează:
Din aceasta rezultă că este destul de greu să știm dacă există sau nu fluxuri fixe. Acest lucru va ajuta cu excepția cazului în detectorul de rootkit sau pentru căutarea fluxurilor din sistemul Linux.
Pe tema fluxurilor de fișiere există și următoarele:
Articole similare
Trimiteți-le prietenilor: