NTFS Streams

[mipko]

Dokonost radja postove

Evo jedne zanimljivosti NTFS-a: streams

da ne bih previse kuckao dajem link:

http://support.microsoft.com/kb/105763

moze da bude korisno kao cuvanje meta-podataka ili sta vec. A i cisto kao zafrkancija da nekome strpate 500G u stream nekog hello.txt fajla

pozz
M

 

[BigJoe]

Da li možeš da pojasniš čemu ovo služi?

 

[mipko]

mozes ih koristiti za dobronamerne namene ili zlonamerne.
koristeci komande OS-a za prikaz direktorijuma ili win explorer ne mozes da vidis da li neki file ima streamove u sebi.
Korisna namena bi bila da smestas u stream neke metapodatke u vezi dokument / fajla koji je na disku. Zatim napises shell extenziju za tvoje fajlove koji umeju da citaju te metapodatke i imas fancy stvar. Ili koristis meta-podatke za nesto sto ti je bitno tipa AV program zapise kad je poslednji put scaniran file, etc...
A naravno streamovi se mogu koristiti i u zlonamerne svrhe.
Posto u stream mozes smestiti bilo koji binarni stream - to znaci da mozes da smestis ceo exe u stream neke txt datoteke. A tada je otvoren put da kompromitujes sigurnost.

evo par primera za komandnu liniju

c:>echo "OVO JE SADRZAJ STREAMA" > readme.txt:stream1
c:>dir readme.txt
c:>notepad readme.txt - videcete da je prazan
c:>more < readme.txt:stream1

ovime smo fajlu readme.txt dodali stream sa sadrzajem "OVO JE SADRZAJ STREAMA"

na isti taj fajl mozemo dodati novi stream

c:>type c:\windows\notepad.exe > readme.txt:stream2.exe

ovime smo dodali binary stream - exe u stream2 na fajlu readme.txt

kad se otkuca dir readme.txt on ce i dalje imati 0 bajtova.

evo korisnog linka sa vise opisa:

http://www.forensicfocus.com/dissecting-ntfs-hidden-streams

Ako bi hteo iz svoje aplikacije da enumerises streamove morao bi da koristis NtQueryInformationFile.