|
|
[广告] VBA代码宝 - VBA编程加强工具 · VBA代码随查随用 · 内置多项VBA编程加强工具 ★ 免费下载 ★ ★ 使用手册★
本帖最后由 kangatang 于 2011-10-3 21:43 编辑
NTFS分区的数据流是一个子文件系统允许额外的数据连接到一个特别的文件中,现在的FAT文件系统格式是不支持数据流格式的。 简单点说就是给在NTFS分区格式的文件添加了一个标记。在WinRAR添加压缩文件时,在 高级 选项中就有“保存文件数据流”的选项。那么,怎样添加NTFS数据流呢?这就和cmd有关了。
新建一个 1.txt。
尝试:
dir c:>1.txt:123.vbs
先看看1.txt的属性:0 Bytes,打开1.txt看看有什么?什么都没有~~~
然后在输入:
notepad 1.txt:123.vbs
看看,出来什么了?惊讶吧~~
其实每个文件都可以有多个流的,用这个NTFS的特性我们可以隐藏文件哦~~~而且,还可以,隐藏木马和病毒 ^_^ 实际上, 流还可以不依赖于文件, 下面的命令也是合法的(先不要试, 否则可能会有点麻烦):
dir e:>:stream.txt (千万不要试)
这是把流绑到了文件夹上, 这种流就更隐蔽了,一般情况下要想删除流只有将其宿主删除,如果你执行了刚才的命令,并且是在根文件夹上执行的,如果你想删除它, 那就恭喜你要格盘了:)
附件是一个用VBS写的演示脚本
DataStream.rar
(806 Bytes, 下载次数: 33)
备注:C:\WINDOWS\SYSTEM32\ccalc.exe是脚本创建的,可以直接删除。如果是捆绑了系统文件,就麻烦了。但本附件没有这样干。
|
|
沪公网安备 31011702000001号 沪ICP备11019229号-2
发表于 2011-10-3 21:14
楼主