在NT下使用NTFS存取当然是必要的,但是,在这个机制下的还有一种文件鲜为人知的存取格式你熟悉吗?
我叫他文件流(File streams),在微软的站点上几乎找不到相关的资料(也可能是我不会找而已)
我是怎么发现这个东西的呢,呵呵,很偶然的因素你也可以根据我的方法找到文件流(注意:一定要是NTFS文件系统)
Microsoft Windows 2000 [Version 5.00.2195](C)版权所有1985-1998 Microsoft Corp.
C:\$#@62;cd test
C:\test$#@62;dir驱动器C中的卷没有标签。
卷的序列号是588F-38D2
C:\test的目录
2000-03-30 18:15 $#@60;DIR$#@62; .2000-03-30 18:15 $#@60;DIR$#@62; ..2000-03-30 18:15 3 adam.txt
1个文件 3字节
2个目录 788,922,368可用字节
C:\test$#@62;notepad adam.txt:IloveAdam[这个时候,会提示你创建一个新文件,click yes then开始输入,然后存盘退出。]
C:\test$#@62;dir驱动器C中的卷没有标签。
卷的序列号是588F-38D2
C:\test的目录
2000-03-30 18:15 $#@60;DIR$#@62; .2000-03-30 18:15 $#@60;DIR$#@62; ..2000-03-30 18:16 3 adam.txt
1个文件 3字节
2个目录 788,922,368可用字节通过dir没有发现这个建立的adam.txt:IloveAdam,而且磁盘的空间大小也没有发生变化你也许会认为刚才什么都没有作,但是请看下面:
C:\test$#@62;notepad adam.txt:IloveAdam【是不是你刚才敲的东西啊?】
如果冒号前面的文件不存在,我直接创建一个文件流呢?
C:\test$#@62;dir驱动器C中的卷没有标签。
卷的序列号是588F-38D2
C:\test的目录
2000-03-30 18:21 $#@60;DIR$#@62; .2000-03-30 18:21 $#@60;DIR$#@62; ..2000-03-30 18:16 3 adam.txt
1个文件 3字节
2个目录 788,922,368可用字节
C:\test$#@62;notepad adamtest:123
C:\test$#@62;dir驱动器C中的卷没有标签。
卷的序列号是588F-38D2
C:\test的目录
2000-03-30 18:21 $#@60;DIR$#@62; .2000-03-30 18:21 $#@60;DIR$#@62; ..2000-03-30 18:16 3 adam.txt2000-03-30 18:21 0 adamtest
2个文件 3字节
2个目录 789,1 512可用字节实际上这个里面已经有了一个文件流adamtest:123然后我们再来看看如果存在目录以后然后再玩玩文件流C:\test$#@62;dir驱动器C中的卷没有标签。
卷的序列号是588F-38D2
C:\test的目录
2000-03-30 18:29 $#@60;DIR$#@62; .2000-03-30 18:29 $#@60;DIR$#@62; ..2000-03-30 18:26 $#@60;DIR$#@62; adam
0个文件 0字节
3个目录 788,922,368可用字节
C:\test$#@62;notepad adam:123
C:\test$#@62;dir驱动器C中的卷没有标签。
卷的序列号是588F-38D2
C:\test的目录
2000-03-30 18:29 $#@60;DIR$#@62; .2000-03-30 18:29 $#@60;DIR$#@62; ..2000-03-30 18:26 $#@60;DIR$#@62; adam
0个文件 0字节
3个目录 789,184,512可用字节
哈哈,你现在知道我研究这个东西的目的了吧!
也就是我可以在你的硬盘上建立c:\winnt\system:adam,c:\winnt\system32:adam而且你永远也找不着!
命令行方式下看不到,资源管理器也看不到
问:能不能放2进制文件呢?
答:你自己去试吧,写病毒、写木马的大哥自己去玩玩吧,其实业也好分析的,因为微软有一个工具,可以实时检测你调用的dll,你打开这个monitor,然后一步一步走,你就会发现他怎么做的!
更多内容请看PCdog.com--NTFS分区格式基础及应用专题
