Локализация альтернативных файловых потоков

Оцените статью

windows77235 Локализация альтернативных файловых потоковФайловая система Windows NTFS обладает свойством, позволяющим сохранять внутри файла не только сам файл. Это свойство называется альтернативными файловыми потоками и позволяет Windows хранить информацию отдельно от основного содержимого любого файла и параллельно ему. Windows использует это свойство для хранения зашифрованной информации с каждым файлом, защищенным шифрованной файловой системой (Encrypted File System), и для хранения маркера, помечающего загруженный файл в качестве полученного из потенциально опасного источника. Вредоносные программы могут также хранить внутри альтернативных файловых потоков вирусы. Если, к примеру, такой файл открыть с помощью Блокнота, вы увидите только лишь безобидный текст, поскольку Блокнот смотрит только на «основной» поток файла. Используя команду dine ключом /п, можно получить листинг любых альтернативных потоков, связанных с файлом или файлами. Например, листинг, выданный командой din /п для программного файла, загруженного мною из Интернета, имеет следующий вид: Обратите внимание: в список выведено два имени, но числится в нем только один файл. Дополнительный поток называется «Zone. Identifier», и он был добавлен к demo5.exe системой Windows, когда я загружал этот файл. Большинство программ (и Блокнот в том числе) не позволяют увидеть содержимое альтернативных потоков, пока вы не введете полное имя без заключительной части : $DATA. Например, в данном случае сработает имя Чтобы отыскать все файлы, имеющие альтернативные потоки, можно воспользоваться командой следующего вида: Din /s /г | findstn /c:"$DATA" В ваших временных папках Internet Explorer наверняка отыщется масса таких файлов.

Комментирование закрыто.

Вверх страницы
x