隱寫:NTFS STREAM

TFS文件流(ADS)的利用
一、隱藏信息
在任一NTFS分區下打開CMD命令提示符，輸入echo abcde>>a.txt:b.txt，則在當前目錄下會生成一個名爲a.txt的文件，但 文件的大小隻有0字節，打開後也無任何內容，只有當我們鍵入命令notepad a.txt:b.txt才能看見寫入的abcde。
在上邊的命令中，a.txt可以不存在。也可以是某個已存在的文件，文件格式無所謂，無論是.txt還是jpg,bmp,com,exe都行，b.txt也可以任意指定文件名以及後綴名。這樣就可以將任意文本信息隱藏於任意文件中，只要不泄露冒號後的虛擬文件名（即b.txt），別人是根本不會查看到隱藏信息的。而且在已經使用NTFS文件流製造了隱藏信息後，包含隱藏信息的文件仍然可以繼續隱藏其他的內容，例如abcde已經包含在a.txt:b.txt中，我們仍然可以使用命令echo 12345>>a.txt:c.txt建立新的包含隱藏信息的流文件，在命令行下使用notepad a.txt:c.txt打開後會發現12345這段信息，而abcde仍然存在於a.txt:b.txt中絲毫不受影響。
二、隱藏文件
我們要使用到的命令跟上面的大同小異，命令格式爲type 文件名+後綴>>任意文件名+原文件後綴，比如type 1.jpg>>abc.def:2.jpg，就是將1.jpg的內容寫入到abc.def:2.jpg這個流文件中，abc.def可以隨便換，最好是使用正常的文件，這樣隱蔽性會更強。
打開隱藏文件時就要致意了，如果用來打開文件的程序是系統自帶的（位於系統目錄下），直接輸入程序名就可以了：但如果是使用另外的程序打開的話就要是加上完整的路徑，且流文件也要帶上完整的路徑。例如使用畫圖工具打開abc.def:2.jpg，命令格式應該是mapaint abc.def:2.jpg，而如果使用ACDSee9打開的話，命令格式就應該是D:\ACDSee9\ACDSee8.exe D:\abc.def:2.jpg 注意上面的2.jpg，後綴最好跟原文件一致，不然使用第三方軟件打開時可能會出錯。比如type 1.jpg>>abc.def:2.jjj，使用Windows自帶的畫圖工具可以順利打開，但使用ACDSee9打開時卻提示數據格式不可識別，必須改成.jpg後綴纔可以打開。
同理，其他文件也可以這樣隱藏，只要打開時根據後綴名找對應的程序就行了，而且也可以像隱藏信息那樣隱藏多個文件。
三、捆綁木馬
仍然是使用上面隱藏文件的方法，運行的命令格式爲start 流文件路徑，需要帶上完整的路徑，不然會提示參數不正確
四、注意事項
1.流文件不能直接通過網絡傳輸，也不能使用WinRAR進行普通壓縮後傳輸，那樣會丟失信息，必須在壓縮時選擇高級選項裏的“保存文件流數據“才行
2.製作好的流文件大小跟用來隱藏原文件的那個文件是一樣的，但壓縮後的文件還是包括了隱藏文件的大小，這說明NTFS文件流仍然會佔用磁盤空間，這是判斷文件是否包含流文件的重要方法，對比解壓後的文件大小和壓縮包的大小，如果前者小於後者那就說明這個壓縮包裏有貓膩
3.流文件必須要在NTFS分區下才能運行，一旦放到其他的文件系統分區中，即使再放回來，也會造成NTFS數據流的丟失