登录 注册

用 ntfs 流隐藏文件

本贴最后更新于 2298 天前,其中的信息可能已经时移俗易

大家把 NTFS 分区上的文件拷贝到非 NTFS 分区上时, 可能偶尔遇到过下面的情况, 系统提示会有数据丢失, 这是怎么回事呢?

ntfs.gif

实际上 NTFS 文件系统引入了 这个概念, 每个文件都可以有多个流, 而我们一般只使用了一个, 通过给文件分配更多的流, 可以实现某种意义上的"文件隐藏". 例如可以控制台中使用下面的命令建立一个文本文件:

    dir d:>abc.txt

它列出 d: 根目录的所有文件, 然后将其重定向到文件 abc.txt, 现在你可以检查一下 abc.txt 的大小和内容, 并记录下来. 然后再执行下面这条命令:

    dir c:>abc.txt:stream.txt

执行完毕后, 检查 abc.txt, 大小和内容都没有变化, 但其实 abc.txt 已经多了一个流 stream.txt, 而重定向的内容就输出到了它里面, 不信使用下面的命令看一下(注意流的名字也要以 .txt 结尾, 否则 notepad 就找不到了):

    notepad abc.txt:stream.txt

这样我们就把一个文件隐藏了, dir 命令看不见, 文件属性看不到, 资源管理器也看不到, 如果不知道流的名字, notepad 也是无法访问的.

实际上, 流还可以不依赖于文件, 下面的命令也是合法的(先不要试, 否则可能会有点麻烦):

    dir e:>:stream.txt

这是把流绑到了文件夹上, 这种流就更隐蔽了. 一般情况下要想删除流只有将其宿主删除, 如果你执行了刚才的命令, 并且是在根文件夹上执行的, 如果你想删除它, 那就恭喜你要格盘了:). 不过我们是程序员, 通过写程序还是不难删除流的, 只要调用 DeleteFile, 并提供流的名字就行了. 要想枚举一个文件中的所有流, 目前只能通过 BackupRead 来完成. 我写了一个小程序, 通过它可以枚举、删除、导入导出流中的数据, 下面的是它的代码(写的比较仓促, 可能还有一些 bug, 不过主要功能都实现了).

#include <windows.h> 
#include <stdio.h> 
#include <locale.h> 
#include <wchar.h> 
#include <malloc.h> 
#include <stddef.h> 

enum RUN_MODE 
{ 
    SHOW_USAGE = 0, 
    SHOW_STREAMS, 
    DELETE_STREAMS, 
    IMPORT_STREAM, 
    EXPORT_STREAM, 
}; 

LPCWSTR g_szObj = NULL; 
LPCWSTR g_szStrm = NULL; 
LPCWSTR g_szFile = NULL; 

int ParseArgs( int argc, LPWSTR* argv ) 
{ 
    if( argc == 1 || argc == 3 ) 
        return SHOW_USAGE; 

    g_szObj = *(argv + 1); 
    if( argc == 2 ) 
        return SHOW_STREAMS; 

    LPCWSTR act = *(argv + 2); 
    if( act[0] != L'-' && act[0] != L'/' ) 
        return SHOW_USAGE; 

    if( act[1] == L'd' ) 
        return DELETE_STREAMS; 

    if( argc == 4 || argc > 5 ) 
        return SHOW_USAGE; 

    g_szStrm = *(argv + 3); 
    g_szFile = *(argv + 4); 
    if( act[1] == L'i' ) 
        return IMPORT_STREAM; 

    if( act[1] == L'e' ) 
        return EXPORT_STREAM; 

    return SHOW_USAGE; 
} 

int ShowUsage() 
{ 
    wprintf( L"USAGE:/n" 
        L"nsvw file.a : view streams in file.a/n" 
        L"nsvw file.a -d s1 s2 ... : delete stream s1, s2 and ... from file.a/n" 
        L"nsvw file.a -i s1 file.b : copy the content of file.b to stream s1 in file.a/n" 
        L"nsvw file.a -e s1 file.c : copy the content of stream s1 in file.a to file.c/n" 
        ); 
    return 0; 
} 

int ShowStreams() 
{ 
    HANDLE hFile = CreateFile( g_szObj, GENERIC_READ, FILE_SHARE_READ, NULL, 
            OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL ); 
    if( hFile == INVALID_HANDLE_VALUE ) 
    { 
        wprintf( L"Unable to open object /"%s/"/n", g_szObj ); 
        return static_cast<int>( GetLastError() ); 
    } 

    WIN32_STREAM_ID wsi = {0}; 
    WCHAR szStrmName[MAX_PATH]; 
    LPVOID pContext = NULL; 

    BOOL bOk = TRUE; 
    int nCount = 0; 
    while( bOk ) 
    { 
        DWORD dwBytes = 0; 
        LPBYTE buf = reinterpret_cast<LPBYTE>( &wsi ); 
        DWORD dwSize = static_cast<DWORD>(offsetof(WIN32_STREAM_ID, cStreamName)); 
        bOk = BackupRead( hFile, buf, dwSize, &dwBytes, FALSE, FALSE, &pContext ); 
        if( !bOk || dwBytes == 0 ) 
            break; 
        if( wsi.dwStreamNameSize > 0 ) 
        { 
            buf = reinterpret_cast<LPBYTE>( szStrmName ); 
            dwSize = wsi.dwStreamNameSize; 
            BackupRead( hFile, buf, dwSize, &dwBytes, FALSE, FALSE, &pContext ); 
            szStrmName[dwSize / sizeof(WCHAR)] = 0; 
            wprintf( L"NAME: /"%s/"/t/tSIZE: %I64d/n", szStrmName, wsi.Size.QuadPart ); 
            ++nCount; 
        } 
        DWORD dw1, dw2; 
        BackupSeek( hFile, wsi.Size.LowPart, wsi.Size.HighPart, &dw1, &dw2, &pContext ); 
    } 

    DWORD dwError = GetLastError(); 
    ::BackupRead( hFile, NULL, 0, NULL, TRUE, FALSE, &pContext ); 
    ::CloseHandle( hFile ); 

    wprintf( L"Total %d stream(s)./n", nCount );
    return static_cast<int>( dwError ); 
} 

void BuildStreamName( LPCWSTR szStrm, LPWSTR buf, size_t size ) 
{ 
    _snwprintf( buf, size, L"%s:%s", g_szObj, szStrm ); 
    buf[size - 1] = 0; 
} 

int DeleteStreams( int count, LPWSTR* streams ) 
{ 
    const int nSize = MAX_PATH * 2; 
    WCHAR szStrmName[nSize]; 
    size_t size = sizeof(szStrmName) / sizeof(WCHAR); 

    for( int i = 0; i < count; ++i ) 
    { 
        BuildStreamName( *(streams + i), szStrmName, nSize ); 
        if( ::DeleteFileW( szStrmName ) ) 
            wprintf( L"stream %s was deleted./n", *(streams + i) ); 
        else 
            wprintf( L"unable to delete stream %s./n", *(streams + i) ); 
    } 

    return 0; 
} 

int CopyStream( LPCWSTR szSrc, LPCWSTR szDst ) 
{ 
    int nRet = 0; 
    HANDLE hSrc = INVALID_HANDLE_VALUE, hDst = INVALID_HANDLE_VALUE; 
    HANDLE hSrcFm = NULL, hDstFm = NULL; 
    PVOID pSrc = NULL, pDst = NULL; 

    __try 
    { 
        hSrc = ::CreateFile( szSrc, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL ); 
        if( hSrc == INVALID_HANDLE_VALUE ) 
            __leave; 

        DWORD dwSize = ::GetFileSize( hSrc, NULL ); 
        if( dwSize > 0 ) 
        { 
            hSrcFm = ::CreateFileMapping( hSrc, NULL, PAGE_READONLY, 0, 0, NULL ); 
            if( hSrcFm == NULL ) 
                __leave; 

            pSrc = ::MapViewOfFile( hSrcFm, FILE_MAP_READ, 0, 0, dwSize ); 
            if( pSrc == NULL ) 
                __leave; 
        } 

        hDst = ::CreateFile( szDst, FILE_ALL_ACCESS, FILE_SHARE_READ, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL ); 
        if( hDst == INVALID_HANDLE_VALUE ) 
            __leave; 

        if( dwSize > 0 ) 
        { 
            hDstFm = ::CreateFileMapping( hDst, NULL, PAGE_READWRITE, 0, dwSize, NULL ); 
            if( hDstFm == NULL ) 
                __leave; 

            pDst = ::MapViewOfFile( hDstFm, FILE_MAP_WRITE, 0, 0, dwSize ); 
            if( pDst == NULL ) 
                __leave; 

            memcpy( pDst, pSrc, dwSize ); 
        } 
        else 
        { 
            ::SetFilePointer( hDst, 0, 0, FILE_BEGIN ); 
            ::SetEndOfFile( hDst ); 
        } 
    } 
    __finally 
    { 
        nRet = static_cast<int>( ::GetLastError() ); 
    } 

    if( pDst != NULL ) 
        ::UnmapViewOfFile( pDst ); 
    if( pSrc != NULL ) 
        ::UnmapViewOfFile( pSrc ); 
    if( hDstFm != NULL ) 
        ::CloseHandle( hDstFm ); 
    if( hSrcFm != NULL ) 
        ::CloseHandle( hSrcFm ); 
    if( hDst != INVALID_HANDLE_VALUE ) 
        ::CloseHandle( hDst ); 
    if( hSrc != INVALID_HANDLE_VALUE ) 
        ::CloseHandle( hSrc ); 

    return nRet; 
} 

int ImportStream() 
{ 
    const int nSize = MAX_PATH * 2; 
    WCHAR szStrmName[nSize]; 
    size_t size = sizeof(szStrmName) / sizeof(WCHAR); 
    BuildStreamName( g_szStrm, szStrmName, nSize ); 
    int nRes = CopyStream( g_szFile, szStrmName ); 
    if( nRes != 0 ) 
        wprintf( L"Import failed./n" ); 
    else 
        wprintf( L"Import completed./n" ); 
    return nRes; 
} 

int ExportStream() 
{ 
    const int nSize = MAX_PATH * 2; 
    WCHAR szStrmName[nSize]; 
    size_t size = sizeof(szStrmName) / sizeof(WCHAR); 
    BuildStreamName( g_szStrm, szStrmName, nSize ); 
    int nRes = CopyStream( szStrmName, g_szFile ); 
    if( nRes != 0 ) 
        wprintf( L"Export failed./n" ); 
    else 
        wprintf( L"Export completed./n" ); 
    return nRes; 

} 

int __cdecl wmain( int argc, LPWSTR* argv ) 
{ 
    int nRetCode = 0; 

    _wsetlocale( LC_ALL, L".OCP" ); 
    wprintf( L"NTFS Stream Viewer VERSION 1.0/n" ); 

    switch( ParseArgs( argc, argv ) ) 
    { 
    case SHOW_USAGE: 
        nRetCode = ShowUsage(); 
        break; 

    case SHOW_STREAMS: 
        nRetCode = ShowStreams(); 
        break; 

    case DELETE_STREAMS: 
        nRetCode = DeleteStreams( argc - 3, argv + 3 ); 
        break; 

    case IMPORT_STREAM: 
        nRetCode = ImportStream(); 
        break; 

    case EXPORT_STREAM: 
        nRetCode = ExportStream(); 
        break; 

    default: 
        wprintf( L"internel error!/n" ); 
        nRetCode = -1; 
        break; 
    } 

    return nRetCode; 
}

PS: 真正注意到"流"的存在是卸载"卡巴斯基"时, 它提示我要删除 NTFS 分区上所有文件的附加数据流. 说实话, 卸载了它之后, 机器快多了, 因此怀疑卡巴会导致每次文件操作都去访问附加的数据流, 也就是导致文件访问变慢.

  • B3log

    B3log 是一个开源组织,名字来源于“Bulletin Board Blog”缩写,目标是将独立博客与论坛结合,形成一种新的网络社区体验,详细请看 B3log 构思。目前 B3log 已经开源了多款产品:SymSoloVditor思源笔记

    1083 引用 • 3461 回帖 • 263 关注
  • Windows

    Microsoft Windows 是美国微软公司研发的一套操作系统,它问世于 1985 年,起初仅仅是 Microsoft-DOS 模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家户户人们最喜爱的操作系统。

    215 引用 • 463 回帖 • 1 关注
  • 技术

    到底什么才是技术呢?

    88 引用 • 179 回帖 • 4 关注
北京 位置
731 6 293 126 61 62 1 6 163

相关帖子

回帖
用 ntfs 流隐藏文件

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
localvar
北京
回帖
8
 帖子
45
 积分
474

近期热议

推荐标签 标签

  • OpenResty

    OpenResty 是一个基于 NGINX 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。

    17 引用 • 40 关注
  • Elasticsearch

    Elasticsearch 是一个基于 Lucene 的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于 RESTful 接口。Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。

    116 引用 • 99 回帖 • 254 关注
  • SQLServer

    SQL Server 是由 [微软] 开发和推广的关系数据库管理系统(DBMS),它最初是由 微软、Sybase 和 Ashton-Tate 三家公司共同开发的,并于 1988 年推出了第一个 OS/2 版本。

    19 引用 • 31 回帖
  • 知乎

    知乎是网络问答社区,连接各行各业的用户。用户分享着彼此的知识、经验和见解,为中文互联网源源不断地提供多种多样的信息。

    10 引用 • 66 回帖
  • 爬虫

    网络爬虫(Spider、Crawler),是一种按照一定的规则,自动地抓取万维网信息的程序。

    106 引用 • 275 回帖
  • 支付宝

    支付宝是全球领先的独立第三方支付平台,致力于为广大用户提供安全快速的电子支付/网上支付/安全支付/手机支付体验,及转账收款/水电煤缴费/信用卡还款/AA 收款等生活服务应用。

    29 引用 • 347 回帖 • 1 关注
  • LaTeX

    LaTeX(音译“拉泰赫”)是一种基于 ΤΕΧ 的排版系统,由美国计算机学家莱斯利·兰伯特(Leslie Lamport)在 20 世纪 80 年代初期开发,利用这种格式,即使使用者没有排版和程序设计的知识也可以充分发挥由 TeX 所提供的强大功能,能在几天,甚至几小时内生成很多具有书籍质量的印刷品。对于生成复杂表格和数学公式,这一点表现得尤为突出。因此它非常适用于生成高印刷质量的科技和数学类文档。

    9 引用 • 32 回帖 • 156 关注
  • CAP

    CAP 指的是在一个分布式系统中, Consistency(一致性)、 Availability(可用性)、Partition tolerance(分区容错性),三者不可兼得。

    11 引用 • 5 回帖 • 583 关注
  • Redis

    Redis 是一个开源的使用 ANSI C 语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value 数据库,并提供多种语言的 API。从 2010 年 3 月 15 日起,Redis 的开发工作由 VMware 主持。从 2013 年 5 月开始,Redis 的开发由 Pivotal 赞助。

    284 引用 • 247 回帖 • 147 关注
  • Node.js

    Node.js 是一个基于 Chrome JavaScript 运行时建立的平台, 用于方便地搭建响应速度快、易于扩展的网络应用。Node.js 使用事件驱动, 非阻塞 I/O 模型而得以轻量和高效。

    138 引用 • 268 回帖 • 147 关注
  • MongoDB

    MongoDB(来自于英文单词“Humongous”,中文含义为“庞大”)是一个基于分布式文件存储的数据库,由 C++ 语言编写。旨在为应用提供可扩展的高性能数据存储解决方案。MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似 JSON 的 BSON 格式,因此可以存储比较复杂的数据类型。

    90 引用 • 59 回帖 • 4 关注
  • 又拍云

    又拍云是国内领先的 CDN 服务提供商,国家工信部认证通过的“可信云”,乌云众测平台认证的“安全云”,为移动时代的创业者提供新一代的 CDN 加速服务。

    21 引用 • 37 回帖 • 518 关注
  • 设计模式

    设计模式(Design pattern)代表了最佳的实践,通常被有经验的面向对象的软件开发人员所采用。设计模式是软件开发人员在软件开发过程中面临的一般问题的解决方案。这些解决方案是众多软件开发人员经过相当长的一段时间的试验和错误总结出来的。

    198 引用 • 120 回帖
  • SEO

    发布对别人有帮助的原创内容是最好的 SEO 方式。

    35 引用 • 200 回帖 • 26 关注
  • gRpc
    10 引用 • 8 回帖 • 53 关注
  • 心情

    心是产生任何想法的源泉,心本体会陷入到对自己本体不能理解的状态中,因为心能产生任何想法,不能分出对错,不能分出自己。

    59 引用 • 369 回帖 • 1 关注
  • Unity

    Unity 是由 Unity Technologies 开发的一个让开发者可以轻松创建诸如 2D、3D 多平台的综合型游戏开发工具,是一个全面整合的专业游戏引擎。

    25 引用 • 7 回帖 • 232 关注
  • WiFiDog

    WiFiDog 是一套开源的无线热点认证管理工具,主要功能包括:位置相关的内容递送;用户认证和授权;集中式网络监控。

    1 引用 • 7 回帖 • 552 关注
  • 脑图

    脑图又叫思维导图,是表达发散性思维的有效图形思维工具 ,它简单却又很有效,是一种实用性的思维工具。

    21 引用 • 58 回帖
  • RIP

    愿逝者安息!

    8 引用 • 92 回帖 • 316 关注
  • Jenkins

    Jenkins 是一套开源的持续集成工具。它提供了非常丰富的插件,让构建、部署、自动化集成项目变得简单易用。

    51 引用 • 37 回帖 • 1 关注
  • Thymeleaf

    Thymeleaf 是一款用于渲染 XML/XHTML/HTML5 内容的模板引擎。类似 Velocity、 FreeMarker 等,它也可以轻易的与 Spring 等 Web 框架进行集成作为 Web 应用的模板引擎。与其它模板引擎相比,Thymeleaf 最大的特点是能够直接在浏览器中打开并正确显示模板页面,而不需要启动整个 Web 应用。

    11 引用 • 19 回帖 • 321 关注
  • Python

    Python 是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。它包含了一组完善而且容易理解的标准库,能够轻松完成很多常见的任务。它的语法简捷和清晰,尽量使用无异义的英语单词,与其它大多数程序设计语言使用大括号不一样,它使用缩进来定义语句块。

    536 引用 • 672 回帖
  • Caddy

    Caddy 是一款默认自动启用 HTTPS 的 HTTP/2 Web 服务器。

    10 引用 • 54 回帖 • 140 关注
  • 开源中国

    开源中国是目前中国最大的开源技术社区。传播开源的理念,推广开源项目,为 IT 开发者提供了一个发现、使用、并交流开源技术的平台。目前开源中国社区已收录超过两万款开源软件。

    7 引用 • 86 回帖 • 1 关注
  • Linux

    Linux 是一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 和 Unix 的多用户、多任务、支持多线程和多 CPU 的操作系统。它能运行主要的 Unix 工具软件、应用程序和网络协议,并支持 32 位和 64 位硬件。Linux 继承了 Unix 以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。

    921 引用 • 936 回帖
  • etcd

    etcd 是一个分布式、高可用的 key-value 数据存储,专门用于在分布式系统中保存关键数据。

    5 引用 • 26 回帖 • 496 关注

最新标签