>> 欢迎您, 傲气雄鹰: 重登陆 | 退出 | 注册 | 资料 | 设置 | 排行 | 新贴 | 精华 | 管理 | 帮助 首页

  小榕软件实验室
  刀光雪影
  NTFS下一种隐藏颇深的文件存取格式
发表文章 发表涂鸦
  回复数:3  点击数:322 将此页发给您的朋友        
作者 主题: NTFS下一种隐藏颇深的文件存取格式 回复 | 收藏 | 打印 | 篇末
d0nNy帅哥哦
级别:老 站 友
威望:0
经验:0
货币:19
体力:0.8
来源:好像是三番市
总发帖数:381
注册日期:2002-04-12
查看 邮件 主页 QQ 消息 引用 复制 下载 

NTFS下一种隐藏颇深的文件存取格式


By Adam, joyadam@263.net
<http://www.nsfocus.com/>

在NT下使用NTFS存取当然是必要的,但是,在这个机制下的还有一种文件鲜为人知的存取格式你熟悉吗?

我叫他文件流(File streams),在微软的站点上几乎找不到相关的资料(也可能是我不会找而已)
我是怎么发现这个东西的呢,呵呵,很偶然的因素
你也可以根据我的方法找到文件流(注意:一定要是NTFS文件系统)

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.

C:\>cd test

C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30 18:15 <DIR> .
2000-03-30 18:15 <DIR> ..
2000-03-30 18:15 3 adam.txt
1 个文件 3 字节
2 个目录 788,922,368 可用字节

C:\test>notepad adam.txt:IloveAdam
[这个时候,会提示你创建一个新文件,click yes then 开始输入,然后存盘退出。]

C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30 18:15 <DIR> .
2000-03-30 18:15 <DIR> ..
2000-03-30 18:16 3 adam.txt
1 个文件 3 字节
2 个目录 788,922,368 可用字节
通过dir没有发现这个建立的adam.txt:IloveAdam,而且磁盘的空间大小也没有发生变化
你也许会认为刚才什么都没有作,但是请看下面:

C:\test>notepad adam.txt:IloveAdam
【是不是你刚才敲的东西啊?】
如果冒号前面的文件不存在,我直接创建一个文件流呢?

C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30 18:21 <DIR> .
2000-03-30 18:21 <DIR> ..
2000-03-30 18:16 3 adam.txt
1 个文件 3 字节
2 个目录 788,922,368 可用字节

C:\test>notepad adamtest:123

C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30 18:21 <DIR> .
2000-03-30 18:21 <DIR> ..
2000-03-30 18:16 3 adam.txt
2000-03-30 18:21 0 adamtest
2 个文件 3 字节
2 个目录 789,184,512 可用字节
实际上这个里面已经有了一个文件流adamtest:123
然后我们再来看看如果存在目录以后然后再玩玩文件流
C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30 18:29 <DIR> .
2000-03-30 18:29 <DIR> ..
2000-03-30 18:26 <DIR> adam
0 个文件 0 字节
3 个目录 788,922,368 可用字节

C:\test>notepad adam:123

C:\test>dir
驱动器 C 中的卷没有标签。
卷的序列号是 588F-38D2

C:\test 的目录

2000-03-30 18:29 <DIR> .
2000-03-30 18:29 <DIR> ..
2000-03-30 18:26 <DIR> adam
0 个文件 0 字节
3 个目录 789,184,512 可用字节

哈哈,你现在知道我研究这个东西的目的了吧!
也就是我可以在你的硬盘上建立c:\winnt\system:adam,c:\winnt\system32:adam
而且你永远也找不着!
命令行方式下看不到,资源管理器也看不到

问:能不能放2进制文件呢?
答:你自己去试吧,写病毒、写木马的大哥自己去玩玩吧,其实业也好分析的,因为微软有一个工具,可以实时检测你调用的 dll ,你打开这个monitor,然后一步一步走,你就会发现他怎么做的!

哈哈,写程序我不行,灌水我在行!该怎么玩自己去想吧!有结果可以mail to joyadam@263.net一起探讨探讨!Your Are Welcome!


----------------------------------------------------------
┏━━━━━━━━━━━━━━━━━━━━┓
┃姓名:d0nNy ┌───┐┃
┃出 生 地:香港│ 照 │┃
┃持牌类型:灌水执照││┃
┃注:1.持此照可在任何地区灌水。│ 片 │┃
┃2.此执照仅限本人使用不得转让。└───┘┃
┗━━━━━━━━━━━━━━━━━━━━┛
编辑 删除 发表时间发表于 2002-04-18.17:45:25  MSIE 6.0 Windows 2000IP: 已记录
ns帅哥哦
级别:精灵王
威望:0
经验:6
货币:1598
体力:100
来源:GLOBLE
总发帖数:994
注册日期:2002-02-05
查看 邮件 主页 QQ 消息 引用 复制 下载 

好东西.最近谢谢d0nNy兄了。. 贴了不少好东西.呵呵.
----------------------------------------------------------
Just do what i want
IT is not suit for me
but why not enjoy a cup of java
编辑 删除 发表时间发表于 2002-04-18.18:46:35  MSIE 5.0 Windows 98IP: 已记录
d0nNy帅哥哦
级别:老 站 友
威望:0
经验:0
货币:19
体力:0.8
来源:好像是三番市
总发帖数:381
注册日期:2002-04-12
查看 邮件 主页 QQ 消息 引用 复制 下载 

阿嘎嘎,好东西还要等到最后。最近一直在找一个最好的资料。估计命中率不低于80%。^_^
----------------------------------------------------------
┏━━━━━━━━━━━━━━━━━━━━┓
┃姓名:d0nNy ┌───┐┃
┃出 生 地:香港│ 照 │┃
┃持牌类型:灌水执照││┃
┃注:1.持此照可在任何地区灌水。│ 片 │┃
┃2.此执照仅限本人使用不得转让。└───┘┃
┗━━━━━━━━━━━━━━━━━━━━┛
编辑 删除 发表时间发表于 2002-04-18.19:57:57  MSIE 6.0 Windows 2000IP: 已记录
bigworm帅哥哦
级别:中级站友
威望:0
经验:0
货币:
体力:
来源:福建
总发帖数:65
注册日期:2002-04-18
查看 邮件 主页 QQ 消息 引用 复制 下载 

这个有什么用那?
而且也不知道怎么删除!!
就算放上病毒,也不能执行
编辑 删除 发表时间发表于 2002-04-27.14:18:02  MSIE 5.01 Windows 2000IP: 已记录
选择回复        
 快速回复主题: >>>高级模式
  用户名: 没有注册? 密码: 忘记密码?
记住密码
HTML语法
禁止IDB代码
禁止表情字符
[按 Ctrl+Enter 快捷键可直接提交帖子]
 投票评分: 共 0 票  
所有时间均为: 北京时间 ↑TOP 
关闭主题 拉前主题 移动主题 主题置顶 取消置顶 总固顶主题 取消总固顶 加入精华 移出精华 删除主题