Alternatív adatfolyamok és kezelésük
kategória: HDD — forrás: lacy — dátum: 2008-09-06 — értékelés: 5.00 —
Az alternatív adatfolyam (ADS = Alternate Data Stream) lehetőség az NTFS egy kevésbé ismert tulajdonsága. Az NTFS fájlrendszernél egy fájl több adatfolyamot, ún. streamet foglal magába.
Egy stream tárolja a biztonsági információkat (hozzáférési jogokat, stb..), egy pedig az alapértelmezett adatokat (amit akkor látunk, ha megnyitjuk). Ha a fájl link, akkor az átirányításhoz szükséges adatokat is egy új, külön streamben tárolja a fájlrendszer. Ezeken felül létrehozhatunk alternatív streameket, amelyeknek nevet adhatunk és igény szerint pakolhatunk bele adatokat.
Az adatfolyamok előnyei, hogy teljesen rejtettek. Ha egy 1 bájt méretű fájlhoz hozzáadunk egy 100MBos alternatív adatfolyamot, a fájl mérete 1 bájtos marad, habár az fizikailag 100MB + 1bájt méretű. Az alternatív adatfolyamokat sem az intéző, sem a parancssor (dir) nem észleli. Vigyázni kell viszont, hogy sok, nagyméretű stream kezelésénél hamarabb betelhet a merevlemezünk, mint ahogy azt a Windows gondolná, ő ugyanis nem fogja látni az így lefoglalt területeket. Sajnálatos módon az ADS-t legtöbbször hackerek használják, akik egy egy ártalmatlan rendszerfájlhoz (pl. számológép), hozzáfűznek több olyan segédeszközt, melyek segítségével fel tudják törni az adott gépet. A calc.exe mérete nem változik, mégis tele van rosszindulatú programokkal, amik csak a megfelelő parancsra várnak, hogy lefuthassanak a számológép mögül. A legszebb az egészben, hogy az alternatív adatfolyamok nem módosítják a fájl valódi/alapértelmezett streamjét, így a számológép továbbra is használható marad.
Alternatív adatfolyam létrehozása (példa)
- Nyomjuk le a Windows+R gombokat, megnyílik a Futtatás.
- Írjuk be és futtassuk: notepad C:\pelda.txt
- Megnyílik a jegyzettömb és megkérdezi, hogy létrehozzuk-e a fájlt. Igen.
- Írjunk bele valami szöveget és mentsük el. Xeljük ki az ablakot.
- Hozzuk elő ismét a futtatást és adjuk ki: notepad C:\pelda.txt:titkos
- Megint megnyílik a jegyzettömb és megkérdezi... de várjunk, ez a fájl már létezik nem?
- Válaszoljunk ismét igennel. Írjunk bele valami titkos szöveget és mentsük el.
- Nyissuk meg a fájlt intézőn keresztül. Megnyílt az alapértelmezett stream.
- Most futtatásból nyissuk meg az alternatív streamünket: notepad C:\pelda.txt:titkos
- Megjelenik a szupertitkos szövegünk. Csodálatos!
Alternatív adatfolyamok kilistázása
Windows Vistában már meg tudjuk jeleníteni parancssorral a streameket az előző Windows rendszerekkel ellentétben, ahol ehhez még külön szoftvert kellett telepíteni (pl. Sysinternals Streams vagy HeySoft LADS).
- Start menü keresőjével indítsuk el a cmd -t.
- Navigáljunk a fájlhoz és adjuk ki a dir /R parancsot.
Alternatív adatfolyamok törlése
- Nyissuk meg a parancssort és adjuk ki a következő utasításokat:
- type pelda.txt > tartalom.txt
- del pelda.txt
- Ha most kiadjuk a dir /R parancsot észrevehetjük, hogy eltűntek a streamek, a tartalom.txt-ben pedig ott van az alapértelmezett tartalom.