Обрабатываем ADS ФАРом
К любым файлам или папкам, расположившимся в NTFS-размеченной партиции, можно добавить скрытные дополнительные данные. Практически любые и почти в любом количестве. Классифицируемые в этом случае как Alternate Data Streams. И большинство файловых менеджеров, не исключая Проводник Винды, и других прог видеть их не смогут.
Но лучший файл-менеджер всех времён и народов, "обладающий гениальным нортоновским интерфейсом", - сможет! И оперировать ими тоже сможет!
Как известно, ФАР славен своими плагинами. Нас интересует NTFS File Streams, написанный отцом знаменитого 7-zip. С его помощью мы можем видеть в ФАРе имена потоков, содержащихся в файлах/папках, удалять потоки либо, наоборот, прятать их в файлы/папки поодиночке или группами.
А самое главное - различённый с помощью плагина поток можно загрузить в замечательный редактор ФАРа и затем сохранить его как обычный файл. Причем независимо от принадлежности, то есть будь он текстовый, картиночный, видяшный, бинарный или любой иной.
Для того, чтобы сохранить поток как хорошо видимый системе файл, нужно всего лишь в диалоге редактора ФАРа <Сохранить файл как> заменить его имя на цивильное для системы. Дело в том, что имена потоков пишутся по форме "имя_файла:имя_потока". Например запись "C:\notepadStream.txt:notepad.exe" означает, что поток "notepad.exe" спрятан в файл "C:\notepadStream.txt". Заменив имя потока, допустим на "C:\notepad.exe", мы запросто сохраним его на диск!
P.S. Между прочим, как поток прогу можно запустить будто из папки прямо из текстового (или иного) файла (или папки)! Запускаем из командной строки ФАРа "start C:\.\notepadStream.txt:notepad.exe". Не забыв непосредственно перед именем файла поставить префикс ".\", дабы система различила в файле поток и выполнила команду как читаемую ею.
СПРАВКА: РАБОТА С ПОТОКАМИ ИЗ КОНСОЛИ
Добавить новый поток: echo this it > file.txt:that.txt
Просмотреть содержимое потока: more <>> file.def
Создать файл с потоком: type nul > somefile.txt:stream
Добавить файл в поток: type notepad.exe >> file.txt:notepad.exe
Запустить скрытый в потоке файл: start .\file.txt:notepad.exe (не забудьте префикс: точку и обратный слэш!)
Отличные программы для проверки и работы с потоками
LADS
LADS - Freeware version 4.00
(C) Copyright 1998-2004 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!
Scanning directory C:\compaq
size ADS in file
---------- ---------------------------------
32768 C:\compaq\test_file:ipeye.exe
32768 C:\compaq\test_file2:klogger.exe
143360 C:\compaq\test_file3:psexec.exe
86016 C:\compaq\test_file4:pslist.exe
294912 bytes in 4 ADS listed
1 комментарий:
NTFS Stream Explorer есть ещё такая программа.
Отправить комментарий