web-dev-qa-db-ja.com

ADSで隠されたファイルをどのように識別/発見できますか?

ADS、つまり代替データストリームは、1993年にWindowsに追加されました(Windows NTの最初のバージョン)。このとき、新しいNTFSファイルシステムの機能として、当時のMac OSの一部の機能をサポートしていました。私はセキュリティ関連のものを読むのが好きで、最近、ウイルス、トロイの木馬、キーロガーなどがADSを使用して非表示にする方法について読みました。これは、ファイルが非表示になっているためです。隠しファイルとは異なり、Windowsエクスプローラーやdirまでは完全に見えません。コマンドプロンプトのコマンド。基本的にそれはコンピューターウイルスのアンネフランクのようで、そこに隠れて誰も知らないため、コンピューターユーザーにとって脅威になる可能性があります。

専用のプログラムを使用せずにこれらのADSファイルを検出する方法はありますか?そうでない場合、これらのファイルを検出するプログラム/方法は何でしょうか?

windowsfile-systemalternative-data-streams
8
cutrightjm

dir /Rは、コマンドライン環境でそれらを表示します。

Microsoft Windows [Version 6.1.7600] Copyright(c)2009 Microsoft Corporation。全著作権所有。

C:\Windows\system32>dir /?
Displays a list of files and subdirectories in a directory.

DIR [drive:][path][filename] [/A[[:]attributes]] [/B] [/C] [/D] [/L] [/N]
  [/O[[:]sortorder]] [/P] [/Q] [/R] [/S] [/T[[:]timefield]] [/W] [/X] [/4]

  [drive:][path][filename]
              Specifies drive, directory, and/or files to list.

  /A          Displays files with specified attributes.
  attributes   D  Directories                R  Read-only files
               H  Hidden files               A  Files ready for archiving
               S  System files               I  Not content indexed files
               L  Reparse Points             -  Prefix meaning not
  /B          Uses bare format (no heading information or summary).
  /C          Display the thousand separator in file sizes.  This is the
              default.  Use /-C to disable display of separator.
  /D          Same as wide but files are list sorted by column.
  /L          Uses lowercase.
  /N          New long list format where filenames are on the far right.
  /O          List by files in sorted order.
  sortorder    N  By name (alphabetic)       S  By size (smallest first)
               E  By extension (alphabetic)  D  By date/time (oldest first)
               G  Group directories first    -  Prefix to reverse order
  /P          Pauses after each screenful of information.
  /Q          Display the owner of the file.

  /R          Display alternate data streams of the file.

  /S          Displays files in specified directory and all subdirectories.
  /T          Controls which time field displayed or used for sorting
  timefield   C  Creation
              A  Last Access
              W  Last Written
  /W          Uses wide list format.
  /X          This displays the short names generated for non-8dot3 file
              names.  The format is that of /N with the short name inserted
              before the long name. If no short name is present, blanks are
              displayed in its place.
  /4          Displays four-digit years

Switches may be preset in the DIRCMD environment variable.  Override
preset switches by prefixing any switch with - (hyphen)--for example, /-W.
10
cpt_fink

CMDで「dir/R」スイッチを使用することに加えて、Alternative Data Stream(ADS)管理およびスキャンツールのかなり包括的なリストを次に示します。 DIRコマンドは現在のディレクトリにあるADSファイルのみを一覧表示しますが、以下のツールを使用すると、ドライブ全体をスキャンして簡単に表示できます。

ADSManager

FlexHexストリーム

また、詳細なADS情報とリソースについて このリンク を確認してください

[〜#〜] lads [〜#〜] -フランクハイネによる代替データストリームのリスト

Streams.exe SysInternalsから:

ScanADS コマンドラインツール:

ADS Spy GUIスキャナー:

重要なADS GUIスキャナー:

ADS Detector Explorerの場合:

CATなどのUnixツールのWindowsポート: http://unxutils.sourceforge.net/

6
NULLZ