简介:微软的平台不断在增加公司用的服务器和桌面操作系统运行的一般是winNT和win而家庭用户和学生用的系统一般是winXP这些平台是很受欢迎的并且被大范围的使用可是使用这些操作系统的用户和管理员却对NTFS文件系统的某个特性知道的很少那就是交换数据流(alternate data streams) NTFS因为它的稳定性 强大的功能 以及它所提供的安全性而成为一种更优越的文件系统NTFS交换数据流(ADSs)是为了和Macintosh的HFS文件系统兼容而设计的它使用资源派生(resource forks)来维持与文件相关的信息比如说图标及其他的东西而微软提供了一种方法通过Windows explorer来创建特殊的ADSs检测这种特殊的ADSs的必要工具和功能相当缺乏说来也奇怪系统一直以来都有允许用户创建ADSs以及在这种流文件中执行隐藏代码的功能和工具Microsoft KnowledgeBase 中Q号文章承认了基于API的win不能很好的支持ADSs 这篇文章的目的是详细的介绍ADSs是怎么被创建和利用的以及隐藏在ADSs中的代码是怎么被执行的基于不同的系统(NT K XP)处理ADSs也是很不同的 创建ADSs 创建ADSs的语法相对比较简单和直接比如说创建和文件myfiletxt相关联的ADSs只需简单的用冒号把文件名和ADSs名分开即可 D:\ads>echo This is an ADS > myfiletxt:hidden 此外ADSs还可用另外一个文件的内容来创建 D:\ads>echo This is a test file > testtxt D:\ads>type testtxt > myfiletxt:hidden 然后你可以用记事本去检验一下看看命令如下: d:\ads>notepad myfiletxt:hidden 可是用dir命令去看不出任何变化Windows Explorer也没有任何可用的转换和设置来检测这种新建的ADSs的存在 此外ADSs可以被创建以及与目录列表相关联而不是与一个文件关联这种特性在文章的后面将会显示出他的重要性但现在我们介绍怎么创建ADSs以及足够了 D:\ads>echo This ADS is tied to the directory listing > :hidden 这种类型的ADSs也可以通过type和notepad命令来创建 ADSs文件的内容并不只限于text(文本)数据任何二进制信息的流都可以组成一个文件而且ADS也就是一个文件而已可执行的东西也能够相当容易的隐藏在ADSs中看下面的例子: D:\ads>type c:\winnt\notepadexe > myfiletxt:npexe D:\ads>type c:\winnt\system\solexe > myfiletxt:solexe 同样像图片文件声音文件或任何其他的数据流都可以隐藏在ADSs中 最后Windows Explorer提供了一种方法来创建特殊的ADSs(RUSS) 看下图:我们在值那一栏可以填入很多东西 educitycn/img_///gif > 图一 如果某个用户没有写文件的权限那么他就不能在该文件上添加ADS 此外windows 文件保护功能可以防止系统文件被替换但是他不能阻止有适当权限的用户在这些系统文件上添加ADSs有个工具System File Checker(sfcexe)可以检查受保护系统文件是否被覆盖可是它不能检测ADSs 检测查看利用ADSs 如前所述微软并没有提供工具来检测ADSs的存在现在检测ADSs最好的工具是由Frank Heyne写了Ladsexe这个工具现在的版本是它是一个命令行工具 看下图: educitycn/img_///jpg > 图二 从上图我们可以看出ladexe多有用了不仅可以显示ADSs的存在还可以显示ADSs的路径和大小我们仔细注意和myfiletxt相关联的四个文件其中三个是以很像扑克里黑桃形状的ASCII开头的另外一个就是在花括号中有一大串数字和字母的那个文件这四个文件就是我们用图一所示方法创建的 既然找到了这些文件我们应该怎么看文件的内容那?其实notepad就是一个很好的工具但是这中间还有个陷阱 比如以下命令就出现我们不希望的结果 d:\ads>notepad myfiletxt:hidden 执行这个命令时notepad就会问是否创建一个新文件这个就很奇怪了因为myfletxt:hidden我们早就创建了为了执行的结果是我们所希望的应该输入下面的命令: d:\ads>echo This is another ADS > myfiletxt:hiddentxt d:\ads>notepad myfiletxt:hiddentxt 这样就出现了我们所希望的结果文件名后增加的扩展名允许用notepad打开ADSs这种方法也同样适用于其他的ADSs比如: d:\ads>notepad myfiletxt:npexe ADSs是NTFS文件系统的特征所以带有ADS的文件如果被移动到其他的文件系统比如FATFAT或者ext上ADS就会被删掉因为这些文件系统都不支持ADS如果是在NTFS分区之间移动ADSs就会被保留下来 删除ADSs相对简单用下面的命令即可 d:\ads>type myfiletxt > myfilebat d:\ads>del myfiletxt d:\ads>ren myfilebat myfiletxt 现在用ladsexe看一下可以看到所有的ADSs都不见了 执行ADSs 前面的例子中我们已经把可执行的代码藏在ADSs中这个看起来好像没什么用处除非代码可以自动执行其实start命令就可以用来执行这些代码现在我们再来创建ADSs d:\ads>type d:\winnt\notepadexe > myfiletxt:npexe 但是在上执行时会出现错误这时因为我们提供的路径信息不够 所以我们应该指明路径不管时绝对路径还是相对路径比如下面的任何一个命令都可以: d:\ads>start d:\ads\myfiletxt:npexe d:\ads>start \myfiletxt:npexe 是不是出现了记事本?? 当命令执行时进程会出现比较有意思的现象例如运行pslistexe会出现下图情况 educitycn/img_///jpg > 图三 出现的进程名是myfiletxt: 看看任务管理器中的情况: educitycn/img_///jpg > 图四 再看看下图: educitycn/img_///jpg > 图五 我们来看看在xp的管理器中进程的情况: educitycn/img_///jpg > 图六 还有一种比较简便的方法是直接在注册表中的run键下添加数据流文件的完整路径: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下次系统启动时就会自动运行该隐藏文件 在开始的运行框中也可以执行ADSs比如: file:///d:/ads/myfiletxt:solexe 对于使用perl的管理员可用下面的代码执行ADSs my $file = d:\ads\myfiletxt:solexe; `$file`; 把文件存为adspl用下面的命令即可执行 d:\perl>adspl 其实用windows的WSH也可以执行ADSs: d:\ads>echo MsgBox VBS file to test ADSs > adsvbs d:\ads>wScript adsvbs d:\ads>type adsvbs > myfiletxt:adsvbs d:\ads>wScript myfiletxt:adsvbs 或者: D:\ads>start \myfiletxt:adsvbs 总结: ADSs是NTFS的一个特征它是为了和HFS兼容而设计的可是由于比较难于被发觉所以对于管理员来说是一种危险现在A这个组织的Bennie和Ratter已经发布了一种叫做WKStream病毒这个病毒就是利用ADSs的 我们并不能以不使用NTFS来作为解决这个问题的办法因为NTFS在安全性和可靠性方面是有很大作用的其实管理员应该对文件和目录正确的使用DACLs(discretionary access control lists)并且经常使用工具比如说ladsexe来扫描他们自己的系统 |