В Windows 7 и Windows Vista на всеки дял NTFS имате набор от системни файлове, които са скрити и за които е отказан достъп на потребителя. Имената на тези файлове започват с знака за долар. Те са свързани с функционирането на NTFS системата, за да споделят с другите те не разполагат с файлови системи. От назначаването на тези файлове е написано в текста на "Специални файлове за NTFS». В Windows Vista и Windows 7, включително и скрити системни файлове са все още файлове в $ RmMetadata папка.
Тези файлове се поддържащи операции технологии в NTFS, както е видно от името $ TxfLog типа на файла (TxF означава Транзакционното NTFS). Някои програми считат присъствието на тези файлове в компютърната система на признаци на инфекция руткит. В действителност, това е просто Windows системни файлове. Те могат да присъстват на всеки обем NTFS, че никога не е бил използван от Vista и Windows 7 операционна система Windows.
В Windows 7, списък на скрити системни файлове в корена на C: диск може да изглежда така:
уязвимост:
Липсата на сигурен достъп до $ система директория файл ремонт $ Разширяване \ $ RmMetadata. Файлът система е свързана с изпълнението на подкрепа за NTFS сделки.
Приложение:
Скрити съхранение, които могат да бъдат поставени в алтернативен файл потоци Ремонт $ делото.
Операционна система:
Windows Vista, Windows 7.
Трябва да се отбележи, че в списъка, с изключение на обичайните файл се съдържат и допълнителни файлове и NTFS потоци. Този поток от $ Bad файл от $ BadClus, тече $ $ SDS в Secure File двата потока, списанието $ UsnJrnl - $ J $ и Макс. В допълнение, в директорията $ RmMetadata, което е скрито вътре в директорията, съдържаща файла $ Разширяване $ Ремонт с алтернативен поток, и $ TxfLog папка е файл с потока Tops $ $ T.
Интерес предизвиква файл \ $ Разширяване \ $ RmMetadata \ $ Ремонт. За разлика от всички други файлове, до които достъпът е блокиран за ntfs.sys ниво драйвер, този файл може да се чете. Това означава, че системата няма да се закълна да се опита да се чете този файл. Сравнете, например, резултатите от командата
Въпреки това, Ремонт на файла $ празното, и пише там, че не работи, защото има грешка "споделяне на нарушение на файла." Файлът има Ремонт $ Приложено потока от $ Config. Можете да я прочетете, а той, за разлика от писане на файла.
Вътре Config $ на потока е последователност от байтове 01 00 00 00 01 00 00 00. Можете да го запише вместо нещо данните си, но кой знае как ще се отрази на правилното функциониране TxF и целостта на обем на NTFS? Вместо да пренаписване на потока система може да се прикрепя към файла $ Ремонт собствените си алтернативни потоци. Например, кликнете файлов мениджър FAR клавиши Shift + F4, въведете пътя C: \ $ Разширяване \ $ RmMetadata \ $ Ремонт: MyOwnStream и натиснете "продължи". създаден MyOwnStream на конеца може да записва данните си. Можете също така да копирате съдържанието в потока на файл с помощта на по-:
Като цяло, цялото съдържание на $ директория удължи трябва да бъдат защитени от външен достъп. Въпреки това, тук ние имаме ситуация, в която ние може да съхранява в защитена система папка данните си, дори ако не са под формата на файлове, както и NTFS потоци. Оказва се, скрит склад за данни, и всичко това заради дефект в системата, поради което се оказа един конкретен файл от незащитен достъп.
Програма за търсене и показване на списъка с NTFS потоци не могат да се справят с прехвърлянето на потока от ремонт $ делото. Например, streams.exe на програмата Марк Русинович не ги покажете:
От това следва, че е доста трудно да се разбере дали има е свързан с потоци там или не. Ето ви помогне, освен ако корен откриване, или потоци от търсенето от Linux-бр.
На темата за файлови потоци също имаме следното:
Свързани статии