Przeglądanie i usuwanie strumieni NTFS

| 15 marca 2010 | Oprogramowanie komputerowe | Brak komentarzy

Aplikacje do przeglądania, modyfikowania i usuwania alternatywnych strumieni danych NTFS.

Co to są alternatywne strumienie, ich funkcjonowanie, sposoby kopiowania plików do strumieni i odwrotnie – zagadnienia opisane są we wpisie Alternatywne strumienie danych.

Możliwości systemowe detekcji i przeglądania strumieni
systemy od Vista w górę mają wbudowaną możliwość przeglądania strumieni z poziomu wiersza poleceń wykorzystując polecenie DIR z przełącznikiem /R. Aby wyświetlić strumienie w formie graficznej, a także dla systemów 2000/XP trzeba użyć zewnętrznych aplikacji.

dir-streams

W przykładzie wylistowany został katalog, w którym dwa pliki posiadają ukryte strumienie (atb.mp3). Warto zauważyć, że rozmiar katalogu wynosi ok. 11MB, mimo, że dwa pliki posiadają strumienie po 11MB każdy >>> w rzeczywistości katalog zabiera z dysku ok.35MB. Potwierdza to fakt, że strumienie są całkowicie niewidoczne i nie zdradzają oznak aktywności.

Możliwości systemowe usuwania strumieni
System Windows nie umożliwia bezpośredniego usuwania strumieni. W celu sprawnego usunięcia strumieni musimy skorzystać z zewnętrznych aplikacji.
Sposoby zastępcze:
– wysłanie pliku poprzez protokół internetowy (e-mail / FTP) powoduje usunięcie strumieni
– wydobycie tylko strumienia głównego z pliku
Postępujemy wg poniższej instrukcji. Najpierw poleceniem „ren” zmieniamy nazwę pliku. Dalej wyodrębniamy strumień główny do nowego pliku. Na koniec usuwamy plik ze strumieniem.
Metoda nie działa na katalogi ze strumieniem.

strumien-eksport

– przeniesienie pliku ze strumieniem z partycji NTFS na FAT32: przenosząc plik tracimy strumień. Otrzymamy komunikat:

strumienie4.jpg

Analiza przestrzeni na dysku
Aplikacja SpaceSniffer uwzględnia skanowanie ukrytych strumieni NTFS. Przydatne, gdy nie zgadza się nam zajętość dysku przez dane, a podejrzewamy obecność strumieni. Opcję trzeba jednak wcześniej włączyć: menu Edit >>> Configure >>> karta Behavior, zaznaczyć Skan Alternate Data Stream.

Streams

aplikacja obsługiwana z linii komend, umożliwia wykrycie i usuwanie ukrytych strumieni. Najlepiej skopiować plik do katalogu jednej ze ścieżek uwzględnianych w Zmiennych środowiskowych np. c:windows. Wówczas po uruchomieniu wiersza poleceń nie musimy wskazywać pełnej ścieżki do narzędzia.

Używanie:

streams [-s] [-d]

[-s] uwzględnienie podfolderów

[-d] usuwanie strumieni

ścieżka do pliku/folderu

wykrycie strumieni z całego dysku c:

streams -s c:

Na poniższym przykładzie wykryty został strumień ba.7z w pliku plik.txt. Strumień następnie został skopiowany do pliku bb.7z (polecenie cp).

streams.jpg

usuwanie strumieni z uwzględnieniem podfolderów z całego dysku c:

streams -s -d c:

download: najnowsza wersja

Do usuwania można też wykorzystać graficzną nakładkę NTFS Streams Eraser download: najnowsza wersja

Plik nakładki i Streams muszą być w jednym folderze, by nakładkę dało się uruchomić.

AlternateStreamView

aplikacja wykonuje skanowanie dysku i wyświetla wszystkie ukryte alternatywne strumienie danych NTFS przechowywane w systemie plików w formie graficznej. Umożliwia:

  • wyodrębnienie strumieni do określonego folderu
  • usuwanie niechcianych strumieni
  • utworzenie raportu z listą strumieni na dysku

download: najnowsza wersja, spolszczenie (nie wymaga instalacji, typ portable)

alternatestreamview.jpg

alternatywy.png

ADS Manager download: najnowsza wersja (nie wymaga instalacji, typ portable)

manager ADS; umożliwia tworzenie, usuwanie, zmianę nazwy, wyodrębnianie oraz wyszukiwanie strumieni

StreamArmor download: najnowsza wersja (nie wymaga instalacji, typ portable)

wyświetla alternatywne strumienie dzieląc je na grupy bezpieczeństwa: bezpieczne / szkodliwe; może usuwać i wyciągać strumienie, umożliwia podgląd bądź też wykonanie strumienia (w środowisku wirtualnym), generowanie raportu. Przydatna funkcja „Online Threat Verification” testująca strumień na obecność wirusa przy udziale serwisów online: VirusTotal, ThreatExpert, MalwareHash.

StreamFinder download: najnowsza wersja (nie wymaga instalacji)

wyświetla strumienie, pozwala na ich usuwanie, eksportowanie, zapis raportu

Alternate Data Streams Scan Engine download: najnowsza wersja (nie wymaga instalacji)

wyświetla strumienie dzieląc je wg oceny szkodliwości, umożliwia usuwanie i eksportowanie strumieni

ADS Scanner download: najnowsza wersja (wersja do instalacji)
wersja bez instalacji: wypakować w Uniwersal Extractor lub 7-zip

wyświetla strumienie, pozwala na ich usuwanie, eksportowanie, zapis raportu



Tags:

Autor artykułu

Traxter

Nazywam się Sebastian Wolszlegier. Jestem właścicielem, administratorem oraz redaktorem strony traxter-online.net.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *