动画介绍:NTFS有一个“交换数据流”特性,原来是为了和HFS文件系统兼容而设计的,使用这种技术可以在一个文件里写入一些相关数据,并且可以使用很简单的方法把它提取出来作为一个独立的文件读取,甚至执行。同样的,在NTFS数据流中也隐藏着极大的安全隐患,而且这个隐患更加不易被人发现,犹如一道潜流,时刻可能让用户陷入危险的深渊……
1.认识NTFS数据流
首先用记事本建立两个文本文件,文件名为"1.txt","2.txt",其内容分别为“正常文件”,“数据流文件”。打开一个命令提示窗口,进入两个文件所在的文件夹,输入如下的命令:"type 2.txt>1.txt:shujuliu" 命令执行后,即可将文本’2.txt’中的内容加入到"1.txt"中,内容以数据流的形式保存在1.txt中,数据流的名为"shujuliu.txt"。在资源管理器中查看宿主文件"1.txt",将会发现文件没有发生任何变化,无论是文件修改日期还是文件的体积都保持原样。
然后删除"2.txt"文件,执行命令:notepad 1.txt:shujuliu.txt ,即可查看到数据流中的文件内容了。
2.制作NTFS数据流木马
利用NTFS数据流,我们可以在图片、视频、文本、或是其他任意格式的文件中插入一个木马文件不仅在外观上没有任何变化,而且杀毒软件业无法查杀出来。制作过程与上面的方法一样,只不过将"2.txt"文件名换为木马程序的文件名,将"1.txt"的文件名换位宿主文件的文件名即可。
3.自解压传播流木马
NTFS数据流木马只能在NTFS分区上保存,通过网络传输或是邮件的方式,流木马都会消失,但是我们需要使用压缩包来进行压缩传输。
用Winrar压缩生成的木马流文件“notepad.exe”,在压缩对话框中点击“高级”标签,钩选“NTFS选项”中的“保存文件数据流”项
用winrar打开压缩包,点击工具栏上的“自释放”按钮,在弹出的对话框中选择“添加新的自释放模块”项,点击“高级自释放选项”按钮,在释放路径中输入压缩包解压缩的路径C:\TEMP\notepad.exe:muma.exe 最后点击确定生成一个自解压的压缩包。
提示:执行数据流文件中的exe程序的命令格式为:"start 宿主文件:流文件名",需要注意的是,在命令中一定要指定宿主文件的绝对路径,才能执行文件。
将此压缩包发布到网络上或者直接传输给别人,别人双击压缩包后,就会自动打开解压文件,在解压的过程中会在后台一隐藏的形式运行文件中的木马程序。 | |
安全中国首页 > 动画中心 > Windows安全
