Потоки показывают, какие файлы NTFS имеют альтернативное содержимое потоков.

Фрэнк Хейн написал небольшой FAQ по альтернативным потокам данных в NTFS. Дэвид ЛеБлан опубликовал
Обнаружение альтернативных потоков данных. Марк Руссинович в
www.sysinternals.com выпустила бесплатную утилиту Streams, которая отображает файлы NTFS с альтернативными потоками.
содержание. Полезно для администратора Windows NT. Crucial Security выпустила аналогичный
бесплатный инструмент CrucialADS.

Файловая система NTFS предоставляет приложениям
способность создавать альтернативные потоки данных информации. По умолчанию все данные
хранится в основном безымянном потоке данных файла, но с использованием синтаксиса
«file:stream», вы можете читать и записывать в альтернативные файлы. Не все
приложения написаны для доступа к альтернативным потокам, но вы можете продемонстрировать
течет очень просто. Сначала перейдите в каталог на диске NTFS из
командная строка. Затем введите «echo hello > test:stream». Вы только что создали
поток с именем «stream», связанный с файлом «test». Обратите внимание, что когда
вы смотрите на размер теста, он сообщается как 0, и файл выглядит пустым, когда
открыть в любом текстовом редакторе. Чтобы увидеть свой поток, введите «more < test:stream» (кнопка
команда type не принимает синтаксис потока, поэтому вам нужно использовать больше). НТ не
поставляются с любыми инструментами, которые позволяют вам видеть, какие файлы NTFS имеют связанные потоки
с ними, так что я написал один сам. Потоки будут проверять файлы, которые вы
указать и сообщить вам имя и размеры любых именованных потоков, с которыми он сталкивается
внутри этих файлов. Streams использует недокументированную нативную функцию для
получение информации о файловом потоке. Полный исходный код включен.

Вы можете скачать ads_cat с Packet Storm. ads_cat — это утилита для записи в альтернативные файловые потоки NTFS и
включает ads_extract, ads_cp и ads_rm, утилиты для чтения, копирования и удаления
данные из альтернативных файловых потоков NTFS.

Технология Streams была использована для создания вируса нового типа. См. Вредоносный код использует уникальную функцию Win2K

Дэвид Леблан написал руководство по обнаружению альтернативных потоков данных.

На Perl-странице Carvdawg есть скрипты Astream.pl и ads.pl. Astream.pl — это Perl-скрипт.
который демонстрирует, как можно создать альтернативный поток данных NTFS (ADS).
программно. Ads.pl — это скрипт, который обнаруживает рекламные объявления. Ads.pl основан на Дэйве
Сценарий streams.pl Рота из его последней книги с некоторыми изменениями, добавленными в
включить проверку списка каталогов. Спасибо Фрэнку Хейну за указание
как проверить список каталогов для ADS.

Советы по NTFS:

Управление общими ресурсами и безопасностью ресурсов
Выбор между FAT и NTFS
Веб-разрешения против NTFS
Безопасность NTFS, часть 2: реализация специальных разрешений NTFS на вашем веб-сайте
Получение максимальной отдачи от безопасности IIS
Разрешения NTFS
Отменить преобразование NTFS
NT-эквиваленты прав NetWare
Доступ к NTFS из DOS, Win95 или Win98 с помощью драйвера NTFSDOS
Отметка времени последнего доступа NTFS
xcopy — сохранить атрибуты
Как удалить файлы с зарезервированными именами, такими как LPT1 или PRN
Файлы метаданных NTFS
Отключить псевдонимы NT 8.3 для LFN в NTFS
Потоки показывают, какие файлы NTFS имеют альтернативное содержимое потоков.
VolumeID изменяет идентификаторы томов NT и FAT
Во время установки создайте раздел NTFS размером более 4 ГБ.
Сжатие каталогов Windows NT NTFS