Cikkek

Alternatív adatfolyamok és kezelésük

kategória: HDD — forrás: lacy — dátum: 2008-09-06 — értékelés: 5.00Nyomtató

Az alternatív adatfolyam (ADS = Alternate Data Stream) lehetőség az NTFS egy kevésbé ismert tulajdonsága. Az NTFS fájlrendszernél egy fájl több adatfolyamot, ún. streamet foglal magába.

Egy stream tárolja a biztonsági információkat (hozzáférési jogokat, stb..), egy pedig az alapértelmezett adatokat (amit akkor látunk, ha megnyitjuk). Ha a fájl link, akkor az átirányításhoz szükséges adatokat is egy új, külön streamben tárolja a fájlrendszer. Ezeken felül létrehozhatunk alternatív streameket, amelyeknek nevet adhatunk és igény szerint pakolhatunk bele adatokat.

Az adatfolyamok előnyei, hogy teljesen rejtettek. Ha egy 1 bájt méretű fájlhoz hozzáadunk egy 100MBos alternatív adatfolyamot, a fájl mérete 1 bájtos marad, habár az fizikailag 100MB + 1bájt méretű. Az alternatív adatfolyamokat sem az intéző, sem a parancssor (dir) nem észleli. Vigyázni kell viszont, hogy sok, nagyméretű stream kezelésénél hamarabb betelhet a merevlemezünk, mint ahogy azt a Windows gondolná, ő ugyanis nem fogja látni az így lefoglalt területeket. Sajnálatos módon az ADS-t legtöbbször hackerek használják, akik egy egy ártalmatlan rendszerfájlhoz (pl. számológép), hozzáfűznek több olyan segédeszközt, melyek segítségével fel tudják törni az adott gépet. A calc.exe mérete nem változik, mégis tele van rosszindulatú programokkal, amik csak a megfelelő parancsra várnak, hogy lefuthassanak a számológép mögül. A legszebb az egészben, hogy az alternatív adatfolyamok nem módosítják a fájl valódi/alapértelmezett streamjét, így a számológép továbbra is használható marad.

 

Alternatív adatfolyam létrehozása (példa)

  1. Nyomjuk le a Windows+R gombokat, megnyílik a Futtatás.
  2. Írjuk be és futtassuk: notepad C:\pelda.txt
  3. Megnyílik a jegyzettömb és megkérdezi, hogy létrehozzuk-e a fájlt. Igen.
  4. Írjunk bele valami szöveget és mentsük el. Xeljük ki az ablakot.
  5. Hozzuk elő ismét a futtatást és adjuk ki: notepad C:\pelda.txt:titkos
  6. Megint megnyílik a jegyzettömb és megkérdezi... de várjunk, ez a fájl már létezik nem?

  7. Válaszoljunk ismét igennel. Írjunk bele valami titkos szöveget és mentsük el.
  8. Nyissuk meg a fájlt intézőn keresztül. Megnyílt az alapértelmezett stream.
  9. Most futtatásból nyissuk meg az alternatív streamünket: notepad C:\pelda.txt:titkos
  10. Megjelenik a szupertitkos szövegünk. Csodálatos!

 

Alternatív adatfolyamok kilistázása

Windows Vistában már meg tudjuk jeleníteni parancssorral a streameket az előző Windows rendszerekkel ellentétben, ahol ehhez még külön szoftvert kellett telepíteni (pl. Sysinternals Streams vagy HeySoft LADS).

  1. Start menü keresőjével indítsuk el a cmd -t.
  2. Navigáljunk a fájlhoz és adjuk ki a dir /R parancsot.

 

Alternatív adatfolyamok törlése

  1. Nyissuk meg a parancssort és adjuk ki a következő utasításokat:
  2. type pelda.txt > tartalom.txt
  3. del pelda.txt
  4. Ha most kiadjuk a dir /R parancsot észrevehetjük, hogy eltűntek a streamek, a tartalom.txt-ben pedig ott van az alapértelmezett tartalom.