隐藏文件文件夹的一些方法

0 个文件 0 字节

12 个目录 74,796,433,408 可用字节

E:>ren solu.{20D04FE0-3AEA-1069-A2D8-08002B30309D} solu

E:>

==========================================================================

命令载图

下面我们来说悄悄话，就是把想说的话写进图片中，别以为是简单的PS哟，我们的写进是写进图片编码里面。

首先我们准备一张图片，为了操作简单，我把图片命名为，再准备一个文本文档，也是为了操作简单

我把文档命名为，我在文档里面写入要说的话，这里就写“Hello world!I am is a test!”

注意：写入文档的内容最好空几行，不是下面你很难再找到你写的东西，而且要用英语写，我记得我用中文的

时候最后显示是乱码，也就是说，说了等于白说，人家都不知道你想说什么。。看准备文件的图:

打开图片（我承认我在这里晒图了）

再打开文档看看（如果你发现你打开的文档和我的不同，可以无视这个，因为我用的是VISTA的记事本）

一切都准备好啦，下面就开工吧。有要请出我们的CMD大神。。我的那两个文件都放在E盘的根目录

看演示代码：

===========================================================================

Microsoft Windows XP [版本 5.1.2600]

(C) 版权所有 1985-2001 Microsoft Corp.

C:Documents and SettingsAdministrator>e:

E:>copy /b + /a

已复制 1 个文件。

E:>

============================================================================

代码图

原理就是转换编码然后用COPY方式结合在一起重新生成一个图片文件，还是不深入说那么多理论问题了

又是那句，有兴趣的朋友可以自己查查。。

这里关键就是“E:>copy /b + /a ”一句，大家只要把“”改成自己图片的名字

别漏了后缀".jpg"的说，把""换成自己想说的话的那个文档的名字就行了，至于后面那个“”就可以

自由发挥了，随你喜欢叫它“阿猪阿狗.jpg”也好，反正不要漏了".jpg"后缀

这时候又有人跑出来“嘿，你做那么多有什么用呀，不是浪费时间吗？”，别急别急，你看看新生成的“”

这个图片，双击打开它，是不是和那张""一模一样，就像同一个“老母”生的一样，然后在“右键”点击

它，选择“打开方式--选择程序--记事本（下拉）”见到记事本以后就双击它打开。这时候你会开到一大堆乱码

你就一直往下拉，拉到最后，你就会发现你可爱的那句话出现了，看图，没骗人，如果看不到就是你操作出错了

居然文本文档能和图片“合体”，那么我们的".rar"压缩包能不能呢？当然可以啦，而且操作和上面的方法也很相似。

在E盘准备一张图片，我这里就不贴图了，还是上面那张（因为是saber），再准备一个压缩包“”，里面装什么随便你

，多大也随便你（因为这个方法多数不是用来“骗人”，而是用来骗相册服务器的，下面再解释），接下来是重点。又要请出

我们的CMD大神，看操作代码：

===============================================================================

Microsoft Windows XP [版本 5.1.2600]

(C) 版权所有 1985-2001 Microsoft Corp.

C:Documents and SettingsAdministrator>e:

E:>copy /b

命令语法不正确。

E:>copy /b +

已复制 1 个文件。

E:>

===================================================================================

操作载图

语法上和上一个方法很相似，所以我就不解析了。双击打开新生成的“”,可以正常打开，也是和“”一样的说

然后我们把它后缀改了“rar”看看，也能打开，而且里面的内容和“”的一样，和明显，它们“结合”了。为什么我

上面说这个方法是用来骗服务器的呢，我们都知道网易提供无限量的图片空间，我们哪用得完，所以用这个方法就可以

把它当成网盘来用了，骗过服务器来存在我们的文件，呵呵。。。。

最后一中方法了，也是我觉得最强大的，因为它好像可以使任意文件“结合”这个结合并非上面的“结合"，准确的说

应该是一个”粘“在另一个上。这个比较”专业“我就不自己写了，在网上找了个权威人士”lake2“的来给大家看看,希望

大家能看懂。

==============================lake2=============================================

1、前言

交换数据流（alternate data streams，以下简称ADS）也不是什么新东西，但用户和管理员对它的认识知之甚少，本文将结合前人的资料对ADS做一番探讨。如有错误，还望高手赐教。

2、概念

先来看看微软对多文件流的解释：

在 NTFS 文件系统下，每个文件都可以有多个数据流。值得一提的是，流不是 NTFS 2000 的功能，但是从 Windows NT 3.1 开始流已存在。当在非 NTFS 卷（如 Windows 98 计算机的磁盘分区）下读取文件内容时，只能访问一个数据流。因此，您会觉得它是该文件真正的且"唯一"的内容。这样的主流没有名称，并且是非 NTFS 文件系统可以处理的唯一一个流。但是当在 NTFS 卷上创建文件时，事情可能不一样。参看图 1 了解此重要概念。

【图1】

网管下载

ADS是NTFS文件系统特有的性质，也就是前面说的多数据流文件除了主流之外的流，但基于API的Win32却不能很好的支持ADS。例如我们 可以把一个文件以流的形式附加到另一个文件（载体）中，但是对于Windows资源管理器来说载体文件没有发生任何变化（包括其大小、修改时间等）。由此 将会产生一系列问题。

下面就让我们来看看ADS的一些性质及应用吧。

3、性质和应用

3.1 创建

创建ADS很简单，语法是<载体文件名>:

看个命令行下面的例子：echo This is lake2's stream > :

通过上面的例子我们就很简单的创建了一个ADS，它在windows下并不可见，不信你可以用资源管理器或者dir命令看看文件的大小是不是 0。打开，可是里面什么内容都没有。当然没有内容，这里ADS是:，内容应该在这个文件里。注意，这里用 type命令并不能显示文件:，但是记事本却可以。还是在命令行下输入notepad :，呵呵，看到"This is lake2's stream"了吧。现在我们用记事本打开随便修改内容，这并不会影响到流的内容；同样，对:的修改也不会影响 到载体文件。

中国网管联盟

3.2 删除

删除ADS最为简单，直接删载体文件就是；但是如果只想删ADS而保留载体文件的话最简单的办法就是把载体文件拉到非NTFS分区去走一趟。因为ADS是NTFS的"专利"，离开了NTFS文件系统ADS也就烟消云散了。

如果你只想在NTFS分区删除ADS的话，可以用下面这个批处理：

type >

rem type不能支持ADS，所以拿它来备份载体

del

rem 删除载体及ADS

ren

rem 恢复载体文件

3.3 检测与提取

关于ADS的检测涉及到API编程了，呵呵，这方面我还在努力学习，这里就抄微软的话："Win32 备份

API 函数（BackupRead、BackupWrite 等）可用于枚举文件中的流"。

不过好在已经有检测ADS的软件了，下面几个软件都可以检测：

LADS (List Alternate Data Streams) - /nt/

Streams v1.1 (Sysinternals) - /ntw2k/source/

NT Objectives Forensic Toolkit () -(/)

要提取ADS必须要第三方工具，NTRootKit工具包里的cp可以做到（cp也可以用于创建流）；NTRootKit工具包我一直没有找 到，google上一搜全是那个NTRootKit后门，只好自己用C写了一个。这也不会要求你是编程高手，C语言里的文件函数完全可以支持ADS的创 建、删除、提取，只需把ADS当成一个文件来处理就是了。

网管下载

3.4 保存与传输

前面说了，ADS在非NTFS分区就会丢失，那么说来在非NTFS分区就无法保存ADS了吗？直接保存没有办法，我们可以间接保存啊。呵呵，这样需要借助 一个软件，你也应该有的，它就是WinRAR。对含有ADS的文件加压时，找到高级选项，那里有一个"保存文件流数据"，打上勾（图2），呵呵，你就可以 把ADS压缩到rar文件里了。这个rar文件可以保存到非NTFS分区的——注意啊，是保存，不能解压出来的。

【图2】

如果要传输ADS，最好是用资源管理器打开对方的共享再复制粘贴；如果你想用其他方式传输的话大概就只能传输包含ADS的rar文件了。

3.5 信息隐藏

要保密信息，传统的做法是加密。虽然加密后信息内容变成了无法直接读出的密文，不过也等于告诉人家这是秘密，就不安全了；但是如果我把信息藏起来让你找不着不就ok了吗，所以一种叫做"信息隐藏"的技术就被提出来了。 中国网管联盟

古装戏里常常有隐写术，就是一张白纸在平时就是一张普通的白纸，但在特殊的作用下预先写好的字就会显示出来。用这个来比喻信息隐藏是最为恰当的了。信息隐 藏是目前信息安全研究的热门领域，实现方法也很多，最流行的大概就是以bmp图像文件为载体，通过替换文件每个字节无关紧要的最低的一位来实现的。

呵呵，不过有一种实现简单的信息隐藏技术就在我们眼前。对，就是利用ADS！既然Windows不能很好的察觉ADS，那么我们就可以把要保密的文件以 ADS方式保存。不过这里提醒一下，利用ADS实现信息隐藏的安全性不是很高，不过也不是很低——我想应该没有人没事就花大量时间用检测 着玩吧。

另外，大多数杀毒软件并不能检测ADS，所以我们可以利用流让杀毒软件pass后门。例：type >

:

原文件会被金山毒霸查出来，处理之后尽管:内容与完全一样，但并不会被金山毒霸发现。

3.6 运行

前面说了可利用ADS让后门躲避杀毒软件，但如果不能运行的话还不是没用。那怎么运行呢？

命令行下面直接运行:是不行的，应该用start命令。关于这个命令的详细用法你自己打help

start看看吧。

网管u家

start命令运行可执行的ADS时要用绝对路径或者当前路径用./加文件名。看例子：start ./: or

start c::

在Win2000下查看进程只能看到载体文件，而XP下则可以发现整个ADS。图3是在XP下用tlist的截图。

【图3】

3.7 与IIS相关

在IIS中访问ADS会有一些有趣的事情发生，这个参见我的另一篇Blog《交换数据流（ADS）与IIS的前世与今生》（/lake2/archive/2005/01/26/）。

4.附言

谢谢你看完我的文章 :）

5.参考文章

bigworm翻译，《NTFS不利的一面》（/articles/200212/）

xundi，《关于NTFS文件系统中的数据流问题》（/articles/200103/）

H. Carvey，《The Dark Side of NTFS》（/~carvdawg/docs/dark_）

网管有家

Damon Martin，《Windows, NTFS and Alternate Data Streams》

（/practical/gsec/Damon_Martin_）

《NTFS Streams - Everything you need to know》（/?page=archive&id=ntfs-streams）