NTFS交換數(shù)據(jù)流(Alternate Data Streams，簡稱ADS)是NTFS磁盤格式的一個特性，在NTFS文件系統(tǒng)下，每個文件都可以存在多個數(shù)據(jù)流，就是說除了主文件流之外還可以有許多非主文件流寄宿在主文件流中。它使用資源派生來維持與文件相關(guān)的信息，雖然我們無法看到數(shù)據(jù)流文件，但是它卻真實存在于我們的系統(tǒng)中。

既然NTFS數(shù)據(jù)流是NTFS磁盤格式的一種特性，那么它有什么危害呢?從上文的定義中我們知道NTFS文件系統(tǒng)中的一個普通文件可以擁有多個數(shù)據(jù)流文件，而數(shù)據(jù)流文件的格式是沒有限制的，當(dāng)我們運行文件時，文件附帶的數(shù)據(jù)流文件也會隨之運行，這說明什么呢?這就表示如果黑客將木馬程序作為數(shù)據(jù)流文件捆綁于正常的文件中，木馬程序就很容易被運行了。NTFS數(shù)據(jù)流還有一個更恐怖的特性：它在系統(tǒng)中是完全隱形的，在資源管理器中根本不可能發(fā)現(xiàn)它的存在，即使用一些專業(yè)的文件管理軟件也無法找到它的蛛絲馬跡。因此，使用NTFS數(shù)據(jù)流木馬將是一種非常具有殺傷力的黑客攻擊手段。

NTFS數(shù)據(jù)流的創(chuàng)建

關(guān)于NTFS數(shù)據(jù)流文件，我們可以選擇創(chuàng)建或者關(guān)聯(lián)，前者會創(chuàng)建一個獨立的數(shù)據(jù)流文件，該文件和其它文件無關(guān)，是一個獨立的、隱藏的文件，而后者則是將創(chuàng)建的數(shù)據(jù)流文件與一個正常的文件進(jìn)行關(guān)聯(lián)，數(shù)據(jù)流文件依賴這個正常文件的存在而存在。NTFS數(shù)據(jù)流文件是不可能通過資源管理器來創(chuàng)建的，它之所以能夠在資源管理器中隱形也正是這個原因。因此我們只能在命令提示符中創(chuàng)建NTFS數(shù)據(jù)流文件。下面讓我們來舉例說明NTFS數(shù)據(jù)流文件的創(chuàng)建方法。

獨立的數(shù)據(jù)流文件：在命令提示符中切換到C盤根目錄，輸入命令“echo“123456”>：test.txt”。回車后即可成功創(chuàng)建一個內(nèi)容為“123456”，名為“test.txt”的NTFS數(shù)據(jù)流文件，但我們會發(fā)現(xiàn)C盤根目錄下根本沒有這個文件，如何確定我們成功創(chuàng)建了文件呢?接著輸入命令“notepad：test.txt”，就可以查看到test.txt文件的內(nèi)容了(如圖1)。

關(guān)聯(lián)的數(shù)據(jù)流文件：假設(shè)已存在一個正常的圖片文件“photo.jpg”，在“命令提示符”中輸入“echo“123456”>photo.jpg：test.txt”，同樣，我們創(chuàng)建了一個內(nèi)容為“123456”，名為“test.txt”的NTFS數(shù)據(jù)流文件，只不過它是依賴于photo.jpg而存在的。

NTFS數(shù)據(jù)流文件的特性決定了它不可能通過網(wǎng)絡(luò)傳播，目前黑客通常是使用WinRAR將數(shù)據(jù)流文件打包再進(jìn)行攻擊。黑客利用WinRAR創(chuàng)建一個自解壓文件，然后在自解壓文件的高級選項中勾選“保存文件數(shù)據(jù)流”(如圖2)，并在“常規(guī)”標(biāo)簽的“解壓后運行”中填入數(shù)據(jù)流文件的名稱，讓數(shù)據(jù)流木馬與正常的文件同時運行。

防范數(shù)據(jù)流木馬

數(shù)據(jù)流木馬雖然隱蔽，但是防范的方法還是有的，首先要對WinRAR的自解壓文件格外小心，可以選擇用WinRAR打開自解壓文件而不是直接雙擊打開。此外，目前很多殺毒軟件已經(jīng)支持對數(shù)據(jù)流文件的查殺，例如卡巴斯基、瑞星等，都能有效地檢測文件中附加的數(shù)據(jù)流文件，只要及時升級殺毒軟件的病毒庫就能有效防范。雖然數(shù)據(jù)流文件能夠隱藏木馬，但數(shù)據(jù)流本身并不具有危害。當(dāng)_小馬運行后還是會還原到內(nèi)存中，如果殺毒軟件能夠在內(nèi)存中攔截到木馬，不管木馬怎么隱藏都是徒勞的。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。