close
تبلیغات در اینترنت
فایلهای پنهان شده تحت فایلهای دیگر در سیستم فایل ntfs
دوشنبه 28 آبان 1397
نویسنده : مدیریت |

سیستم فایل NTFS یه ویژگی عجیبی داره که میگن بخاطر سازگاری با سیستم فایل سیستم عامل مکینتاش درنظر گرفته شده بوده.

این ویژگی اسمش Alternate data streams (ADS) هست.
ما کاری به شرح فنیش نداریم، و در اینجا فقط بررسی میکنیم که باهاش میشه چه کارهای جالبی انجام داد!!

بوسیلهء این ویژگی ما میتونیم یک یا چند فایل رو تحت نام یک فایل دیگه ذخیره کنیم (البته فقط روی درایوهایی که سیستم فایل اونا NTFS باشه) به صورتی که اون فایلها دیده نمیشن، حجمشون در فایل اصلی نشون داده نمیشه، و در سرچ ویندوز پیدا نمیشن (البته مسلما ابزارهای جداگانه ای برای پیدا کردن و بررسی و دستکاری این نوع دیتای پنهان وجود داره).

خب شروع میکنیم.
پنجرهء خط فرمان ویندوز رو باز کنید.
فرمان زیر را وارد کنید:

كد:   cd

تا بریم به ریشهء درایو C
معمولا درایو C که توش ویندوز نصب میکنن NTFS هست، ولی بقیهء درایوها ممکنه FAT32 باشن.
ضمنا ما فرض میکنیم که ویندوز شما در درایو C و در دایرکتوری ای بنام WINDOWS نصب شده. و این تست هم روی ویندوز XP صورت گرفته. از وضعیت ویندوز 7 در این زمینه خبر ندارم!

خب حالا دو فایل به نامهای زیر در ریشهء درایو C ایجاد کنید:

كد:  1.txt 2.txt

داخل فایل 1.txt بنویسید 111 و سیو کنید و داخل فایل 2.txt رشتهء 222 رو ذخیره کنید.

حالا این فرمان رو اجرا کنید:

كد:  type 2.txt > 1.txt:hidden.txt

برای اونایی که به خط فرمان وارد نیستن بگم که فرمان type محتویات یک فایل رو چاپ میکنه و چون از علامت بزرگتر در انتهای فرمان استفاده کردیم، خروجی ما بجای پرینت شدن به فایلی که اسمش بعد از علامت بزرگتر اومده هدایت (به اصطلاح ریدایرکت - Redirect) میشه. البته در اینجا ما از خصیصهء ADS سیستم فایل NT استفاده کردیم و بنابراین خروجی ما تحت نام hidden.txt که وابسته به فایل اصلی 1.txt است ذخیره میشه.

خب حالا فایل 2.txt رو دلیت کنید تا مطمئن بشید وجود نداره. البته این کار لزومی نداره و فقط برای اطمینان از نتایج آزمایشه.

حالا این فرمان رو اجرا کنید:

كد:  start c:1.txt:hidden.txt

با اجرای این فرمان مشاهده میکنید که فایلی با محتوای 222 در نوتپد ویندوز (یا text editor دیگری) باز میشه.

حالا بعنوان یه تست دیگه یه فایل اجرایی رو تحت 1.txt پنهان میکنیم:

كد:  type c:WINDOWSsystem32calc.exe > c:1.txt:hidden.exe

نکته: calc.exe فایل اجرایی برنامهء ماشین حساب ویندوزه.

حالا ماشین حساب ویندوز رو با این فرمان استارت میکنیم:

كد:  start c:1.txt:hidden.exe

یعنی به این شکل میتونید یک برنامه رو هم تحت یک فایل دیگه پنهان کرده و هروقت خواستید بصورت مخفی اجرا کنید.

نکتهء مهمی که در تست ها فهمیدم اینه که موقعی که میخواید فایلی رو که تحت فایل هدف پنهان شده به این روش باز/اجرا کنید باید مسیر از ریشه بهش بدید (یعنی مسیر با بک اسلش از ریشهء درایو شروع بشه) و/یا درایو رو مشخص کنید.
بطور مثال:

كد:  start 1.txt:hidden.exe

کار نمیکنه.
اما هر یک از این 3 دستور دیگه کار میکنن:

كد:  start c:1.txt:hidden.exe start c:1.txt:hidden.exe start 1.txt:hidden.exe

تذکر: وقتی فایل دارای دیتای پنهان رو به درایو غیر NTFS منتقل کنید، همهء فایلها/دیتای پنهان اون از بین میرن.

-------------------------------------------

ضمنا بعنوان یه نکتهء جالب فنی، نقل از توضیحات مقالهء ویکیپدیا، عرض کنم که:
آیا تاحالا از خودتون پرسیدید وقتی مثلا یه فایل exe رو که از اینترنت دانلود کردید میخواید اجرا کنید ویندوز از کجا میفهمه که اون فایل از اینترنت دانلود شده و قبل از اجرای اون به شما هشدار میده و تایید میخواد؟
این قبلا برای من کم و بیش سوال بود.
الان فهمیدم که این کار با استفاده از ذخیرهء دیتای پنهان خاصی با استفاده از همین ویژگی انجام میشه.
یعنی مرورگر شما اطلاعات خاص کوچکی رو با استفاده از این ویژگی تحت اون فایل برای علامتگذاریش ذخیره میکنه که ویندوز از روی اون اطلاعات میفهمه که اون فایل از اینترنت دانلود شده. البته این کار اولین بار توسط مرورگر IE انجام شده و بعدا مرورگرهایی مثل فایرفاکس هم ازش تبعیت کردن.

نکات مکمل:

از ویژگی ADS بعضی از بدافزارها هم برای پنهان کردن کد خودشون استفاده کردن.

همچنین بعضی کاربردهای کم اهمیت تر و کمتر متداول که دیگه نیازی نمیبینم ذکر کنم و در متن انگلیسی میتونید بخونید.

امیدوارم از این مطلب خوشتون اومده باشه!

------------

منبع دقیقش را نمیدونم اما از لینک زیر گرفته شده است

باتشکر از نویسنده محترم

برگرفته از:

http://forum.hammihan.com

امتیاز : نتیجه : 5 امتیاز توسط 5 نفر مجموع امتیاز : 5


نمایش این کد فقط در ادامه مطلب

تاریخ : جمعه 16 اسفند 1392 | نظرات ()بازدید : 2313

انتشار ویروسی خطرناک از طریق USB تاریخ : پنجشنبه 29 خرداد 1393
خطای The disk is write protected تاریخ : یکشنبه 18 خرداد 1393
ویروس A.s.K.jpg.exe تاریخ : جمعه 16 اسفند 1392
ویروس boot.exe تاریخ : جمعه 16 اسفند 1392
فایلهای پنهان شده تحت فایلهای دیگر در سیستم فایل ntfs تاریخ : جمعه 16 اسفند 1392
وقت آن رسیده که تاریخ : چهارشنبه 06 آذر 1392
مقایسه نموداری تست آنتی ویروس ها در ماه مارس 2013 تاریخ : سه شنبه 08 مرداد 1392
هک حساب بانکی شما و افزایش امنیت حساب اینترنتی تاریخ : پنجشنبه 27 تیر 1392
ويروس Godzilla یا MS32DLL.dll.vbs تاریخ : پنجشنبه 20 تیر 1392
ویروس Recycler یا W32.Lecna.H تاریخ : سه شنبه 31 اردیبهشت 1392


نام
ایمیل (منتشر نمی‌شود) (لازم)
وبسایت
:) :( ;) :D ;)) :X :? :P :* =(( :O @};- :B /:) :S
نظر خصوصی
مشخصات شما ذخیره شود ؟ [حذف مشخصات] [شکلک ها]
کد امنیتیرفرش کد امنیتی