Az alternatív adatfolyam (ADS = Alternate Data Stream) lehetőség az NTFS egy kevésbé ismert tulajdonsága. Az NTFS fájlrendszernél egy fájl több adatfolyamot, ún. streamet foglal magába.

Egy stream tárolja a biztonsági információkat (hozzáférési jogokat, stb..), egy pedig az alapértelmezett adatokat (amit akkor látunk, ha megnyitjuk). Ha a fájl link, akkor az átirányításhoz szükséges adatokat is egy új, külön streamben tárolja a fájlrendszer. Ezeken felül létrehozhatunk alternatív streameket, amelyeknek nevet adhatunk és igény szerint pakolhatunk bele adatokat.

Az adatfolyamok előnyei, hogy teljesen rejtettek. Ha egy 1 bájt méretű fájlhoz hozzáadunk egy 100MBos alternatív adatfolyamot, a fájl mérete 1 bájtos marad, habár az fizikailag 100MB + 1bájt méretű. Az alternatív adatfolyamokat sem az intéző, sem a parancssor (dir) nem észleli. Vigyázni kell viszont, hogy sok, nagyméretű stream kezelésénél hamarabb betelhet a merevlemezünk, mint ahogy azt a Windows gondolná, ő ugyanis nem fogja látni az így lefoglalt területeket. Sajnálatos módon az ADS-t legtöbbször hackerek használják, akik egy egy ártalmatlan rendszerfájlhoz (pl. számológép), hozzáfűznek több olyan segédeszközt, melyek segítségével fel tudják törni az adott gépet. A calc.exe mérete nem változik, mégis tele van rosszindulatú programokkal, amik csak a megfelelő parancsra várnak, hogy lefuthassanak a számológép mögül. A legszebb az egészben, hogy az alternatív adatfolyamok nem módosítják a fájl valódi/alapértelmezett streamjét, így a számológép továbbra is használható marad.

Alternatív adatfolyam létrehozása (példa)

1. Nyomjuk le a Windows+R gombokat, megnyílik a Futtatás.
2. Írjuk be és futtassuk: notepad C:\pelda.txt
3. Megnyílik a jegyzettömb és megkérdezi, hogy létrehozzuk-e a fájlt. Igen.
4. Írjunk bele valami szöveget és mentsük el. Xeljük ki az ablakot.
5. Hozzuk elő ismét a futtatást és adjuk ki: notepad C:\pelda.txt:titkos
6. Megint megnyílik a jegyzettömb és megkérdezi... de várjunk, ez a fájl már létezik nem?

   

7. Válaszoljunk ismét igennel. Írjunk bele valami titkos szöveget és mentsük el.
8. Nyissuk meg a fájlt intézőn keresztül. Megnyílt az alapértelmezett stream.
9. Most futtatásból nyissuk meg az alternatív streamünket: notepad C:\pelda.txt:titkos
10. Megjelenik a szupertitkos szövegünk. Csodálatos!

Alternatív adatfolyamok kilistázása

Windows Vistában már meg tudjuk jeleníteni parancssorral a streameket az előző Windows rendszerekkel ellentétben, ahol ehhez még külön szoftvert kellett telepíteni (pl. Sysinternals Streams vagy HeySoft LADS).

1. Start menü keresőjével indítsuk el a cmd -t.
2. Navigáljunk a fájlhoz és adjuk ki a dir /R parancsot.

Alternatív adatfolyamok törlése

1. Nyissuk meg a parancssort és adjuk ki a következő utasításokat:
2. type pelda.txt > tartalom.txt
3. del pelda.txt
4. Ha most kiadjuk a dir /R parancsot észrevehetjük, hogy eltűntek a streamek, a tartalom.txt-ben pedig ott van az alapértelmezett tartalom.

• 7
• Vista
• XP