Hapsân un alt sistem NT și instalarea-l în software-ul de spionaj de casă, trebuie să rezolve problema de stocare a informațiilor colectate de pe computerul victimei. În mod normal, jurnalul este scris într-un fișier plat într-un director cu multe fișiere, de exemplu, în directorul System32.
Aceasta este o, dar nu cel mai bun mod comun de a ascunde informațiile de pe computerul local. Există o șansă ca utilizatorul va observa o dată, un fișier actualizat în mod constant, care a apărut dintr-o dată în directorul său sistem. Atașare la un fișier jurnal existent? În primul rând aveți nevoie pentru a găsi un fișier pentru a adăuga la informațiile care nu va strica conținutul. Cum despre a salva Vechiul într-un loc care nu va fi văzut fie din Explorer sau din linia de comandă sau de la orice manager de fișiere? Acest lucru ne oferă o oportunitate de sistemul de fișiere NTFS. Într-o casă convențională personalke este rar pentru a găsi, deoarece majoritatea utilizatorilor încă preferă să FAT32, chiar și cei care stau sub XP. Dar, în rețeaua locală a unei companii care lucrează sub Win2k / XP, cel mai probabil folosind NTFS, deoarece acest sistem de fișiere oferă capabilități, cum ar fi atribuirea permisiunilor de utilizator de acces, criptare și compresie de fișiere. În plus, NTFS este mult mai sigur decât FAT32. Așa că metoda de ascundere a datelor, pe care le voi descrie, este ideal pentru spionaj industrial. Odată cu apariția Longhorn, NTFS are o șansă să se stabilească și să conducă computerele de acasă, de la intrarea sistemului de fișiere WinFS, bazat pe NTFS, promite oportunități suplimentare pentru organizarea și căutarea de informații, care ar trebui să atragă utilizatorii obișnuiți.
Metoda este de a stoca datele nu sunt în fișierul, ca de obicei, dar în fluxul de fișiere NTFS. Fluxul poate fi atașat la un alt fișier (prin urmare, dimensiunea acesteia nu se schimba, iar datele rămân intacte, ceea ce înseamnă că utilitățile, verificarea fișierelor cheksummy nu va observa schimbarea), directorul sau disc. fluxuri de fișiere NTFS alternative - este una dintre caracteristicile NTFS prezente în ea de la începutul versiuni de Windows NT. Acesta se află în faptul că un singur fișier poate fi mai multe fluxuri de date care conțin, utilizatorul este dat doar fluxul principal, în care este stocat conținutul fișierului. Ceva similar este în sistemul de fișiere HFS pe Macintosh. Există fluxuri (fluxuri) sunt numite ramuri (furci). Până de curând, au fost folosite ca resurse de stocare a fișierelor, sau să conțină informații despre tipul de fișier. Odată cu apariția de MacOS X, Apple a recomandat ca resursele să fie plasate în fișiere separate, și tipuri de fișiere pentru a defini extensii. Dar ramificațiile de sprijin rămâne încă. În Windows fire sunt de obicei utilizate pentru a stoca orice informații suplimentare despre fișierul. De exemplu, un flux poate conține un rezumat al documentului. Dacă sistemul este pe unitatea cu NTFS, fișierul explorer.exe conține, probabil, un rezumat. În funcție de conținutul rapoartelor, fișierul poate fi atașat nume fluxuri SummaryInformation, DocumentSummaryInformation și altele. La domiciliu pe calculator am găsit un flux numit $ MountMgrRemoteDatabase, atașat la unitatea C.
Despre atașat la fișierul de flux utilizatorul poate găsi doar în unele cazuri, de exemplu, la copierea unui fișier cu un flux atașat pe un disc cu FAT / FAT32. Aceste sisteme de fișiere nu le sprijine, astfel încât sistemul vă va solicita să confirme pierderea de informații în fluxurile, specificând numele lor. Desigur, o astfel de situație nu apare niciodată în cazul în care debitul este atașat la unitatea de disc sau folderul de sistem. fire de utilizare opționale în scopuri de spionaj. Dacă sunteți dezvoltator de programe shareware, puteți utiliza fluxurile de bine pentru a stoca informații despre înregistrare, numărul de zile înainte de expirarea perioadei de utilizare, pe scurt, tot ceea ce trebuie să fie ascuns de utilizatorul prog dumneavoastră.
Algoritmul se bazează pe funcția de utilizare BackupRead. Acesta este conceput pentru fișiere de rezervă. Atunci când faceți o copie de rezervă a fișierului, este important pentru a salva cât mai multe date posibil, inclusiv fluxurile de fișiere. Informațiile sunt preluate din structura WIN32_STREAM_ID. De acolo, puteți obține numele fluxului, tipul și mărimea acestuia. Avem nevoie de doar BACKUP_ALTERNATE_DATA fluxuri de tip. Toate funcțiile și structurile sunt descrise în winnt.h fișierul antet. În primul rând aveți nevoie pentru a deschide un fișier pentru citire folosind CreateFile. Parametrul trebuie să fie specificat pavilion dwFlagsAndAttributes FILE_FLAG_BACKUP_SEMANTICS, care se va deschide nu numai fișiere, ci și directoare. Apoi rulați o buclă în timp ce citește informațiile din dosar în structura sid, din care obținem informații despre fiecare flux. Înainte de ciclul următor purifica structura de trecere și pentru a muta cursorul fișier la următoarea fluxul prin intermediul funcției BackupSeek. După ce se găsesc toate fluxurile, curățați lpContext, care conține informații de proprietate, și închideți fișierul. Codul sursă al programului este prezentat în Listarea 2. deja compilat un program pe care il poate lua cu unitatea noastră. Pentru streaming nu este necesar pentru a scrie un program special. Ceva se poate face direct din linia de comandă. Câteva exemple sunt prezentate în medalionul.
Atașarea fluxului de informații către orice, înainte de conținutul său sunt dificil de a ajunge, fără să știe numele său. În cazul în care debitul este atașat la volumul logic, Windows nu au instrumente standard pentru a detecta. Deoarece numele fluxului poate conține caractere care nu sunt valide în numele fișierelor obișnuite, se creează dificultăți suplimentare în încercarea de a afla conținutul fluxului, folosind linia de comandă. rezumate conținutului unui document este stocat în mod obișnuit într-un flux numit care conține simbolul codului cu 0x05. Acest simbol poate fi introdus în consolă (Ctrl + E), dar dacă a fost un simbol al 0x10 sau 0x13 (carriage return și line feed), apoi formați le-ar fi imposibil. Teoretic, ai putea afla mai multe despre fluxurile atașate în mod aleatoriu, folosind unele software-ul, care este probabil să aibă pe computer. În WinRAR este o opțiune. și în cazul în care este inclus, atunci este posibil să observați că dimensiunea unui fișier mic plasat în arhivă, nu numai că nu scade, ci chiar crește (datorită faptului că fluxul de date este, de asemenea, plasat în arhivă). Acest lucru poate trezi suspiciuni. Programul de urmărire acces la sistemul de fișiere - FileMonitor din aceleași Sysinternals - nu face diferența între apelurile către fișierul sau flux. În consecință, examinarea atentă a discului de jurnal de program suspect (keylogger dvs.) și va da numele fluxului, în cazul în care jurnalul este scris, iar numele fișierului la care este atașat.
Crearea unui fișier de flux:
Tipul de Nul> somefile.txt: Stream
Alimentare de intrare:
echo "Ceva" >> somefile.txt: Stream
Citirea debitului: Se crede că debitul poate fi înlăturat doar cu dosarul la care este atașat. Acest lucru nu este așa. Dacă știți numele fluxului, puteți elimina întotdeauna o caracteristică standard DeleteFile. Listarea 1. Exemplu creează flux. Listarea 2. X-Stream: Programul prezintă o listă de fluxuri
mai mult Pe tema de fluxuri de fișiere au, de asemenea, următoarele:
articole similare