Alternatieve NTFS-streams, of hoe Windows bepaalt dat een bestand van internet is gedownload.

De laatste tijd beschikken, dankzij goedkopere hardware (in dollars uitgedrukt), steeds meer computergebruikers over voldoende middelen om het Microsoft Windows NT-besturingssysteem (i200MMX + 32-64 Mb) te gebruiken. De onbetrouwbaarheid en onvoorspelbaarheid van Windows 95/98, evenals het onvermogen om de bronnen van moderne computers op het juiste niveau te beheren, zorgt ervoor dat veel gebruikers overwegen om over te stappen op NT.

Tegelijkertijd vinden veel onervaren gebruikers niets radicaal nieuws voor zichzelf. Nadat Internet Explorer 4 is geïnstalleerd en geen gebruik is gemaakt van de talrijke mogelijkheden van NT voor het toepassen van beveiligings- en beschermingsbeleid, lijken de grootste verschillen met Windows 98 de aanwezigheid van twee 'Opstart'-mappen in het startmenu (de huidige gebruiker en de gemeenschappelijke voor alle gebruikers) en de afwezigheid van de applet Toevoegen/Hardware verwijderen in het Configuratiescherm. En als u de schijf niet formatteert met het NTFS-bestandssysteem, zult u misschien niet veel verschil merken.

Maar dit artikel beschrijft slechts enkele van de verschillen tussen NTFS en FAT, VFAT, FAT16 en FAT32. Bekende verschillen: zelfherstellend vermogen, lui schrijven, maximaal volume en bestandsgrootte tot 16 Exabytes ( 1 Exabyte = 1.000.000 GB), de mogelijkheid om individuele bestanden en mappen te comprimeren, machtigingen in te stellen en audits uit te voeren, wordt vrij uitgebreid besproken in de literatuur en documentatie voor Windows NT. Maar er zijn nog steeds weinig bekende en weinig gebruikte functies van NTFS: harde links (hardlinks) en meerdere gegevensstromen (vermenigvuldig gegevensstromen of vorken). Vervolgens zullen we over hen praten.

Meerdere datastromen. Deze term is bekend bij Macintosh-gebruikers. In dit systeem kan een bestand twee vorken hebben: een gegevensstroom en een bronnenstroom. De datastroom slaat de bestandsgegevens op - deze stroom wordt als enige gekopieerd bij het overbrengen van een bestand van een Macintosh naar een pc. De tweede stroom van het bestand is een bronstroom die gegevens over het besturingssysteem bevat: menu's, pictogrammen, lettertypen, in het algemeen alles wat gewoonlijk bronnen wordt genoemd. Wanneer Windows NT Server Macintosh-clients bedient en hen schijfruimte biedt om bestanden op te slaan, moet het bestandssysteem van de server de bestandsindeling van de client ondersteunen. Dit is een van de redenen voor het verschijnen van meerdere gegevensstromen in NTFS.

Hoe wordt dit geïmplementeerd? Alle informatie over een bestand, beginnend met de naam, machtigingen en eindigend met de daadwerkelijke gegevens die in het bestand zijn opgeslagen, is vanuit het oogpunt van NTFS een attribuut dat in zijn eigen stream is opgeslagen. De ontwikkelaars van NTFS waren van mening dat het mogelijk is om niet beperkt te zijn tot één stream voor gegevens - een naamloze, en voegden de mogelijkheid toe om naast de belangrijkste benoemde streams meerdere te maken. Om meerdere threads te maken, kunt u de Win32 API-functie gebruiken, maar er is een eenvoudigere manier.

Sinds de tijd van Kernighan en Ritchie, de ontwikkelaars van de C-taal en het UNIX-besturingssysteem, hebben veel besturingssystemen de mogelijkheid om I/O-bewerkingen te generaliseren. Vanuit dit gezichtspunt kan elke I/O-bewerking worden beschouwd als een bewerking van invoer van een stream of uitvoer naar een stream, ongeacht wat de gegevensbron is (console, d.w.z. toetsenbord, bestand of poort) en ontvanger (opnieuw de console, in dit geval) al een beeldscherm, printer of bestand). Het is ook mogelijk om invoer - programma-uitvoer van het scherm naar de printer om te leiden en opdrachten niet vanaf het toetsenbord in te voeren, maar vanuit een bestand. In onze tijd van wijdverbreid gebruik van grafische gebruikersinterfaces worden deze mogelijkheden zeer zelden gebruikt, dus we zullen dit met een voorbeeld illustreren.

De echo-opdracht van het Microsoft-besturingssysteem wordt gebruikt om informatie in tekstmodus op het scherm weer te geven:

C:>echo Hallo wereld!

Het echo-commando gebruikt het beeldscherm als uitvoerapparaat. De uitvoer van dit commando kan vanuit de console worden omgeleid naar een bestand (gebruik hiervoor het “>” symbool):

C:>echo Hallo wereld! > bestand

Zoals u kunt zien, gaf de echo-opdracht in dit geval niets op het scherm weer. Maar in het bestandsbestand kun je de regel "Hallo, wereld!" vinden. Op dezelfde manier kan de uitvoer van het echo-commando worden omgeleid naar een printer:

C:>echo Hallo wereld! >lpt1

Er staat weer niets op het scherm, maar op een vel papier in de printer vind je dezelfde regel “Hello, world!”, als de printer uiteraard op de lpt1-poort is aangesloten. De uitvoer van elk tekstmodusprogramma kan dus worden omgeleid naar elk apparaat dat streaming informatie-invoer ondersteunt of naar een bestand, met uitzondering van die programma's die in tekstmodus directe wijziging van videogeheugen en andere niet-standaard gebruiken, vanaf het punt gezien klassieke C, mogelijkheden om informatie uit te voeren.

Op dezelfde manier kunt u programma-invoer omleiden. De meer commando's van Microsoft-besturingssystemen worden gebruikt om de uitvoer van commando's te bufferen die meer informatie weergeven dan op het scherm past. Maar dit commando kan ook worden gebruikt om invoeromleiding te illustreren:

C:>meer Hallo, wereld!

Het bestandsbestand bevatte de string “Hello, World!”, die naar het scherm werd geleid.

Op dezelfde manier kunt u met behulp van I/O-omleiding meerdere gegevensstromen maken en lezen:

C:>echo string1 > bestand:fork1

Het invoerbestand:fork1 definieert een stream met de naam fork1 in het bestandsbestand (aangezien deze nog niet bestaat, wordt er een nieuwe gemaakt met deze naam) en stuurt de uitvoer van het echo-commando ernaar door. In dit geval verandert de bestandsgrootte niet bij het bekijken van de eigenschappen ervan, en kan het bestaan ​​ervan niet worden vastgesteld met behulp van standaard Windows NT-hulpmiddelen zonder de naam van de thread te kennen. Maar omdat u de naam kent, kunt u het commando more gebruiken om de inhoud ervan te bepalen:

Op deze manier kunt u de inhoud van bestandsgegevensstromen maken en lezen. Het aantal threads dat in één bestand wordt aangemaakt, wordt alleen beperkt door de beschikbaarheid van vrije schijfruimte. Op dezelfde manier kunt u datastromen in mappen aanmaken, maar om de inhoud van de stroom te bekijken zult u een andere manier moeten gebruiken om de stroom op het scherm weer te geven, aangezien het commando more de volgende fout oplevert:

Als u niets geschikts kunt vinden, kunt u het volgende programma in een willekeurige C++-compiler schrijven:

terwijl (cin.get(ch)) cout.put(ch);

Het is beter om dit programma te bouwen als een Win32-consoletoepassing en het te gebruiken als een hulpmiddel voor het bestuderen van directorystreams.

Windows NT biedt geen standaardmethode voor het verkrijgen van informatie over meerdere gegevensstromen. Maar wat als u dergelijke informatie nog steeds nodig heeft? In dit geval kunt u het streams-programma van Mark Russinovich gebruiken, dat samen met de broncode te vinden is op www.sysinternals.com. Dit programma maakt gebruik van ongedocumenteerde Windows NT-functies om informatie over meerdere gegevensstromen te verkrijgen. Hier is de informatie die is verkregen met behulp van het streams-programma over het bestand:

NTFS Streams Enumerator v1.0

Interne systemen - http://www.sysinternals.com

Hier kunt u zowel de naam van de datastroom als de grootte ervan in bytes zien (de extra 3 tekens zijn de spatie na het teken “>”, de harde return en de regelinvoer toegevoegd door de echo-opdracht). Helaas kunt u met streams niet meerdere gegevensstromen in mappen definiëren.

Waar kunnen meerdere datastromen voor worden gebruikt? Naast het gebruik dat Apple ervoor heeft gevonden, kunnen we het hebben over de eenvoudigste manieren om informatie te verbergen, bijvoorbeeld om de installatiedatum van een shareware-programma te onthouden. Aan het begin van de OLE-technologie had Microsoft het idee om datastromen te gebruiken om informatie over ingebedde objecten op te slaan, maar blijkbaar bleek het leveren van datastromen op FAT moeilijker dan het maken van lange bestandsnamen en moest het idee worden opgegeven. Ook het maken van een ‘resource file’ voor een script met alle output in verschillende talen kan een interessante mogelijkheid zijn om streams te gebruiken. Naast bovenstaande zijn er nog veel meer interessante toepassingen voor meerdere datastromen, negeer deze dus niet.

Harde koppelingen. Gebruikers van verschillende UNIX-klonen zijn bekend met dit concept. In tegenstelling tot het FAT-bestandssysteem, waarbij elk bestand slechts één naam mag hebben, kent UNIX een dergelijke beperking niet: elk bestand kan meerdere namen hebben en de gegevens ervan kunnen pas worden verwijderd als het aantal bestandsnamen 0 is. In UNIX zijn er ook symbolische koppelingen: een analoog aan snelkoppelingen in Windows, maar ze monitoren de beweging van het object waarnaar ze verwijzen.

Windows NT voldoet in beperkte mate aan de POSIX-standaard (Portable Operating System Interface for Computing Environments). Een voorbeeld van beperking is de ondersteuning voor harde links en het gebrek aan ondersteuning voor symbolische links. Blijkbaar is besloten dat snelkoppelingen een waardige analogie zijn van symbolische links.

In NTFS zijn harde koppelingen op dezelfde manier georganiseerd als meerdere gegevensstromen: als een bestand meerdere gegevensstromen heeft, waarom kunnen er dan niet meerdere benoemde stromen zijn? Meerdere bestandsnamen kunnen zich in verschillende mappen bevinden, maar alleen binnen dezelfde partitie.

Om een ​​harde link te maken, hebt u een Windows NT POSIX-subsysteemprogramma nodig. Een dergelijk programma bevindt zich samen met de broncode op de cd "Windows NT Resources". Naar analogie met UNIX heet dit programma ln. De syntaxis voor deze opdracht is:

C:>Ln-bestand hardlink1

Met deze opdracht maken we een tweede naam of harde link hardlink1 voor het bestandsbestand, en door de inhoud van het bestandsbestand te wijzigen, kunt u de inhoud van hardlink1 wijzigen, preciezer gezegd: het is hetzelfde bestand, maar met twee namen. U kunt op dezelfde manier andere bestandskenmerken wijzigen. Het aantal bestandsnamen is niet beperkt, maar wanneer u de bestandsnaam kopieert, wordt de koppeling verbroken en wordt een ander bestand aangemaakt. Het is mogelijk om een ​​link in een andere directory aan te maken:

C:>Ln-bestand ../temp/hardlink2

In dit geval moet u een relatieve directorynaam opgeven in plaats van een absolute.

Er zijn net zoveel toepassingen voor harde links als voor meerdere datastromen. Maak bijvoorbeeld harde koppelingen voor dll-bibliotheken om uw programma te beschermen tegen het per ongeluk verwijderen van een noodzakelijk bestand. Andere mogelijke toepassingen van harde links zijn het best te vinden in de UNIX-literatuur. En uiteraard kan het gebruik van harde links worden gecombineerd met de meerdere datastromen die hierboven zijn beschreven.

DIR /B C:\WINDOWS\System32\*.SCR

DIR /B C:\WINDOWS\System32\*.* |FIND /i ".SCR"

Beschrijf in detail het doel van de parameters van elk commando (onthoud dat je voor elk commando hulp kunt oproepen met de /?-toets). Houd er rekening mee dat dezelfde toetsen verschillende effecten kunnen hebben voor verschillende opdrachten.

4.1.8. NTFS*-bestandsstreams

Het NTFS-bestandssysteem ondersteunt bestandsstromen - alternatieve gegevensstromen. In feite zijn bestandsstreams een combinatie van verschillende bestanden in één groep met één gemeenschappelijke bestandsnaam (elke stream heeft zijn eigen extra naam). Binnen een groep is er een hoofdgegevensstroom, waarmee de meeste programma's als bestand werken, en aanvullende benoemde stromen die op normale wijze niet worden weergegeven. Tijdens bestandsbewerkingen zoals kopiëren, verplaatsen, verwijderen, enz., wordt in NTFS de bewerking op de hele groep uitgevoerd. Wanneer u bepaalde archiveringsprogramma's gebruikt en bestanden met alternatieve streams naar een FAT-partitie kopieert, kunnen deze streams verloren gaan. Technisch gezien worden alternatieve streams gebruikt om een ​​bestand aan te vullen met informatie zonder de inhoud van de hoofdstream te wijzigen of extra bestanden te creëren die verloren kunnen gaan.

Alternatieve stromen worden door antivirusprogramma's gebruikt om informatie over een bestand op te slaan (“vingerafdruk”, checksum) om veranderingen in het bestand in de loop van de tijd te detecteren. Direct Connect (DC++) clients voor het delen van bestanden kunnen hash-resultaten (controlesomberekeningen) opslaan voor grote bestanden die worden gebruikt wanneer een bestand wordt verplaatst en opnieuw gehasht, waardoor het bijwerken van de lijst aanzienlijk wordt versneld.

In de toekomst kunnen bibliotheekprogramma's, filmbibliotheken en audiobibliotheken alternatieve streams gebruiken om samen met documenten streams met covers, audiotracks, beschrijvingen en in verschillende talen op te slaan. Alternatieve stromen maken het mogelijk dat ‘geheime’ gegevens worden bijgevoegd, wat een potentieel gevaar vormt.

U kunt informatie over streams bekijken met behulp van de opdracht STREAMS25, het programma NTFS Stream Explorer26, met behulp van bestandsbeheerextensies27; in Windows 7 geeft de opdracht dir /r een lijst weer van alle streams voor de opgegeven objecten (u kunt ook extra sleutels gebruiken met de opdracht Dir /r). dir-opdracht).

Bij het opslaan van bestanden vanaf internet wordt standaard een Zone.Identifier 28-stream aan het bestand toegevoegd in NTFS, dat een ini-bestandsindeling heeft en meestal de tekst bevat:

De ZoneId-parameter met een nummer betekent dat de zone van waaruit het bestand op de computer is aangekomen; Configuratiescherm/Internetopties(Netwerk- en internet-/browsereigenschappen -

Zera )/Tabblad Beveiliging). De volgende waarden zijn toegestaan29: 0 – lokale computer

1 – intranet (lokaal netwerk, domein)

2 – vertrouwde bron

3 – Internet

4 – onbetrouwbare bron

Als de waarde 3 is, geeft het systeem een ​​waarschuwing “ Kan niet controleren

rip de uitgever. Wil je dit programma echt uitvoeren?"

Onderaan het bericht staat een selectievakje " Vraag dit altijd na bij het openen van dit bestand", waarbij wordt verwijderd, waardoor de Zone.Identifier-stream wordt verwijderd. Als ZoneId een waarde van 4 bevat, verschijnt er een waarschuwing " Deze bestanden kunnen niet worden geopend. De hebben ervoor gezorgd dat u het bestand niet kon openen

25 streams (http://technet.microsoft.com/ru-ru/sysinternals/bb897440)

26 NTFS Stream Explorer, een programma voor het werken met NTFS-streams (http://hex.pp.ua/ntfs-stream-explorer.php)

27 NTFS-bestandsinformatie

(http://forum.farmanager.com/viewtopic.php?t=2050)

28 U kunt het maken van een blokkerende thread voor bestanden uitschakelen in de Editor voor lokaal groepsbeleid (gpedit.msc):Gebruikersconfiguratie

/ Beheersjablonen / Windows-componenten / Bijlagebeheer / Informatie verwijderen over de herkomstzone van bijlagen.

29 Zone.Identifier-stream (http://hex.pp.ua/Zone.Identifier.php)

een of meer bestanden" en het openen van bestanden is geblokkeerd. Wanneer u het venster Eigenschappen in Verkenner opent voor een bestand dat u van internet hebt ontvangen, verschijnt de knop Deblokkeren onder aan het tabblad Algemeen en

"Let op: dit bestand kwam van een andere computer en is mogelijk geblokkeerd om uw computer te beschermen" ", door op een knop te drukken Unblock verwijdert de Zone.Identifier-stream.

Download met behulp van een internetbrowser het STREAMS.zip-bestand (u kunt elk klein bestand downloaden door de naam op te geven in de onderstaande opdracht), sla het op in de hoofdmap van station F: en bekijk de inhoud van de Zone.Identifier-stream met het commando:

MEER< F:\Streams.zip:Zone.Identifier

Open het venster Eigenschappen in Verkenner (Alt+Enter of de opdracht Eigenschappen van het contextmenu) voor het gedownloade bestand, klik op het tabblad Algemeen op de knop Deblokkeren en herhaal de vorige opdracht in de console.

Maak een testbestand met een opdracht die de tekst van de tekstuitvoeroperator omleidt, voeg een alternatieve stream toe en bekijk het resultaat:

ECHO Hoofdtekst > F:\M.TXT

ECHO Verborgen tekst > F:\M.TXT:Geheim.TXT

TYPE F:\M.TXT

MEER< F:\M.TXT:Secret.TXT

Een alternatieve tekststroom kan in Kladblok worden geladen:

KLANTBLAD F:\M.TXT:Geheim.TXT

Er kunnen ook alternatieve streams worden gemaakt voor mappen en systeembestanden30.

Streams worden ook gebruikt om uitgebreide attributen op te slaan31.

30 Verborgen opslag van gegevens in stromen van het $Repair-bestand in de systeemmap $RmMetadata (http://hex.pp.ua/RmMetadata.php)

31 Uitgebreide NTFS- en FAT16-kenmerken

(http://hex.pp.ua/extended-attributes.php) 53

Gegroet, beste lezers van de blogsite. Het NTFS-bestandssysteem heeft een interessante mogelijkheid om alternatieve datastromen te ondersteunen (Alternate Data Stream, ADS). De technologie betekent dat elk bestand in het NTFS-bestandssysteem meerdere threads kan hebben waarin gegevens kunnen worden opgeslagen. Explorer en de meeste andere applicaties werken alleen met de standaardstream en kunnen geen gegevens ontvangen van hun alternatieven. Met behulp van ADS-technologie kunt u dus gegevens verbergen die niet met standaardmethoden kunnen worden gedetecteerd.

Steun alternatieve datastromen werd toegevoegd NTFS voor compatibiliteit van bestandssystemen HFS, gebruikt op MacOS.

Een beetje theorie

In het NTFS-bestandssysteem hebben bestanden attributen. Eén van de $DATA-attributen is een data-attribuut. Het $DATA attribuut kan op zijn beurt meerdere threads hebben. Standaard is er één hoofdthread $GEGEVENS:"", die naamloos wordt genoemd. Windows Verkenner werkt met deze stream. Indien gewenst kunt u verschillende benoemde streams aan het bestand toevoegen (bijvoorbeeld $DATA:"potok1"), die verschillende niet-gerelateerde gegevens zullen bevatten.

Standaard komen alle gegevens die naar een bestand worden geschreven terecht in de naamloze hoofdgegevensstroom. En bij het openen van het bestand zien we alleen de hoofdthread. De alternatieve NTFS-streams die het bestand bevat, zijn voor de gebruiker verborgen en kunnen niet worden bekeken met standaardhulpmiddelen. Door een bestand te verwijderen met streams die grote hoeveelheden gegevens bevatten, zult u dus merken dat er veel meer ruimte is vrijgemaakt op het gegevensopslagapparaat dan het bestand dat volgens dezelfde Explorer in beslag werd genomen. Alternatieve stromen worden vaak gebruikt door virussen, die zichzelf in de benoemde stroom van een onschadelijk bestand kunnen schrijven.

Om met alternatieve streams te werken, kunt u speciale programma's of de opdrachtregel gebruiken.

Een alternatieve NTFS-stream maken

U kunt een alternatieve stream maken met de opdracht echo console.

Open eerst de opdrachtregel cmd.exe en gebruik de opdracht echo om een ​​tekstbestand example.txt te maken en de tekst daarin te schrijven:

echo Hoofdthread>voorbeeld.txt

De volgende opdracht schrijft gegevens naar een alternatieve stroom. Om dit te doen, plaatst u na de bestandsnaam een ​​dubbele punt (:) en geeft u de stream een ​​naam:

echo Alternatieve stream>voorbeeld.txt:test

Als u nu het voorbeeld.txt-bestand in een willekeurige testeditor opent, is alleen de eerste tekst “Hoofdthread” zichtbaar:

U kunt de informatie in de stream verkrijgen met behulp van de opdracht more:

meer

U kunt de inhoud van een stream niet alleen op de opdrachtregel zien. U kunt bijvoorbeeld een alternatieve stream openen met behulp van de volgende opdracht:

"C:\Program Files (x86)\Notepad++\notepad++.exe" voorbeeld.txt:test

Normaal Kladblok kan alleen streams openen waarvan de naam eindigt op ".txt". Laten we bijvoorbeeld de test.txt-stream aan ons bestand toevoegen:

echo Alternatieve stroom voor kladblok>voorbeeld.txt:test.txt

En open het in Kladblok:

kladblok.exe voorbeeld.txt:test.txt

U kunt niet alleen tekstgegevens, maar absoluut elk type gegevens in alternatieve stromen plaatsen. Bovendien kunt u gegevens aan elk type bestand toevoegen: voeg video toe aan tekstbestanden en tekstinformatie aan afbeeldingen.

Laten we bijvoorbeeld een stream met de afbeelding img.jpg aan ons bestand toevoegen. Om dit te doen, gebruiken we het type commando:

typ img.jpg>voorbeeld.txt:img.jpg

Als gevolg hiervan ontvingen we een regulier tekstbestand. Als je het op de gebruikelijke manier opent: door te dubbelklikken via Verkenner, wordt een teksteditor geopend met de inhoud van de hoofdthread:

Om een ​​afbeelding in een alternatieve stream te openen, bijvoorbeeld in Paint, gebruikt u gewoon de opdracht:

mspaint voorbeeld.txt:img.jpg

Het meest interessante is dat alternatieve streams de schijnbare grootte van het bestand niet vergroten. Dus als u een video van 30 GB toevoegt aan een tekstbestand van 1 KB, zal Explorer de bestandsgrootte nog steeds weergeven als 1 KB.

U kunt ook streams toevoegen voor mappen en zelfs voor partities op de harde schijf. Alles gebeurt op dezelfde manier als voor bestanden:

echo Tekst in map>c:\test:hide.txt

En open het in Kladblok:

kladblok c:\test:hide.txt

Omdat de aanwezigheid van alternatieve streams op geen enkele manier wordt weergegeven in Explorer en andere bestandsbeheerders, is de eenvoudigste manier om deze te detecteren het gebruik van de opdracht dir /R:

Verberg applicaties in alternatieve streams en start ze

Het plaatsen van uitvoerbare bestanden in alternatieve streams is net zo eenvoudig als het plaatsen van gewone bestanden. Laten we bijvoorbeeld ons voorbeeld.txt-bestand nemen en de Kladblok-toepassing (notepead.exe) in de thread hideapp.exe plaatsen:

typ C:\Windows\system32\notepad.exe>voorbeeld.txt:hideapp.exe

Gebruik de volgende opdracht om een ​​verborgen Kladblok te starten:

start .\voorbeeld.txt:hideapp.exe

Met behulp van de beschreven technieken kunt u eenvoudig informatie verbergen voor onvoorbereide gebruikers. Algemene toepassing alternatieve ADS-datastromen alleen beperkt door uw verbeelding.

Dat is alles, tot de volgende keer!

Windows-besturingssystemen worden geleverd met twee weinig bekende functies voor het verbergen van gegevens: NTFS-gegevensstromen (ook bekend als alternatieve gegevensstromen) en ABE-bronopsomming (Access-based Enumeration). Alternatieve gegevensstromen bieden de mogelijkheid om verborgen informatie aan een bestand toe te voegen, zoals bestandsinformatie. U hoeft waarschijnlijk geen verborgen gegevensstromen te gebruiken, maar aanvallers kunnen deze technologie tegen u gebruiken, dus u moet zich ervan bewust zijn en weten hoe deze zou kunnen werken.

Wat de ABE-methode betreft, deze kan een aanvulling zijn op uw arsenaal. Met deze methode kunt u gedeelde bronmappen en bestanden onzichtbaar maken voor gebruikers die geen toegangsrechten hebben.

Dit is wat u moet weten over deze fondsen.

Rivieren voeden de zee van data

Alternatieve gegevensstromen zijn een functie van het NTFS-bestandssysteem. Ze waren ooit opgenomen in Windows NT 3.1 zodat NT- en Macintosh-gebruikers bestanden konden delen.

Een NTFS-bestand bestaat uit datastromen. Dit is de standaard $DATA-datastroom en mogelijk een of meer alternatieve datastromen. Elke gebruiker met de benodigde machtigingen voor het bestand kan de bestaande $DATA-gegevensstroom zien, openen en gegevens naar de stroom lezen en schrijven.

Een alternatieve gegevensstroom bestaat uit aanvullende informatie of bestanden die een gebruiker of toepassing aan een NTFS-bestand kan toevoegen. Alleen de gebruiker die het heeft gemaakt, weet van het bestaan ​​van een alternatieve datastroom. Gebruikers weten doorgaans niet of er een alternatieve gegevensstroom aan een bestand is gekoppeld; Het punt is dat noch de inhoud van deze stream, noch de naam ervan zichtbaar zijn. Bovendien is er geen manier om de verandering in bestandsgrootte te zien.

Er zijn veel manieren om alternatieve datastromen te gebruiken. In Windows worden deze streams gebruikt om samenvattende gegevens op te slaan voor documenten die zijn gemaakt door toepassingen die niet bij Microsoft Office zijn inbegrepen, zoals tekstbestanden (.txt). U kunt samenvattende informatie invoeren, zoals titel, onderwerp en auteursinformatie, op het tabblad Samenvatting van het dialoogvenster Eigenschappen van het bestand. Deze samenvattende gegevens worden opgeslagen in een alternatieve gegevensstroom, SummaryInformation.

Windows-toepassingen zoals Encrypting File System (EFS) en Windows Explorer gebruiken alternatieve gegevensstromen om bestandsspecifieke gegevens toe te voegen aan bestanden die zijn opgeslagen op NTFS-geformatteerde schijven. EFS voegt coderings- en decoderingsinformatie toe aan gecodeerde bestanden met behulp van alternatieve datastromen, waardoor gedecentraliseerde codering en decodering door EFS mogelijk is.

In Windows XP Service Pack 2 (SP2) gebruikt Microsoft Internet Explorer (IE) de alternatieve gegevensstroom Security.Zone om classificatie van beveiligingszones te bieden voor bestanden die zijn opgeslagen op een NTFS-volume. Als gevolg hiervan heeft IE de mogelijkheid om gebruikers-escalatieaanvallen te blokkeren die kunnen optreden in situaties waarin een gebruiker kwaadaardige code downloadt van een niet-beveiligd deel van het internet en de code opslaat op de lokale harde schijf. IE classificeert lokaal opgeslagen inhoud in de beveiligingszone Lokale machine, die meer rechten biedt dan de internetbeveiligingszone. XP SP2 controleert altijd de Security.Zone-gegevensstroom voordat geladen code actie mag ondernemen op het lokale systeem.

Kanaal voor het introduceren van kwaadaardige code

Wat alternatieve datastromen opmerkelijk en gevaarlijk maakt, is dat hun namen en inhoud niet worden weergegeven in Windows Verkenner. Daarom beschouwen de organisatoren van verschillende soorten aanvallen dergelijke stromen als een handig middel om gegevens of kwaadaardige code die het systeem is binnengekomen te verbergen. Een voorbeeld van het gebruik van deze threads is de worm VBS.Potok@mm. Hackers gebruikten een alternatieve gegevensstroom om meerdere Visual Basic (VB)-scripts aan een bestaand ODBC .ini-bestand te koppelen.

Wanneer geactiveerd, maakt de worm een ​​account met beheerdersrechten aan en stuurt zichzelf naar adressen die hij in het adresboek van Microsoft Outlook detecteert.

Een ander gevaar is dat de schijfruimte die wordt toegewezen voor alternatieve datastromen niet wordt weerspiegeld in de (bestands)grootte van Windows Verkenner en de niet-toegewezen schijfruimtegegevens. Een hacker kan alternatieve datastromen gebruiken om de schijfruimte van de bestandsserver te vullen, waardoor de beheerder zich achter het hoofd krabt in een poging de oorzaak van het probleem te achterhalen. Bovendien moet worden opgemerkt dat het opdrachtregelprogramma Dir geen rekening houdt met alternatieve gegevensstromen bij het berekenen van de grootte van gegevens (bestanden en mappen). Momenteel is er slechts één Microsoft-tool die bij het berekenen van de grootte rekening kan houden met alternatieve datastromen: het hulpprogramma Chkdsk.

Een nieuw draadje toevoegen

Iedereen met schrijftoegang tot een NTFS-bestand kan normale besturingssysteemopdrachten gebruiken om een ​​alternatieve gegevensstroom aan het bestand toe te voegen. De volgende opdracht maakt bijvoorbeeld een alternatieve gegevensstroom mystream, voegt mystream toe aan een bestand met de naam file.txt en slaat de zinsnede "top secret" op in mystream.

echo topgeheim > bestand.txt: mijnstream

U kunt de inhoud van de mystream bekijken met behulp van de opdracht

Zoals hierboven opgemerkt, kunnen uitvoerbare bestanden worden toegevoegd aan alternatieve gegevensstromen. Het is dus mogelijk om een ​​verborgen kopie van de Windows-rekenmachine (calc.exe) toe te voegen aan het bestand file.txt. Om dit te doen, hoeft u alleen maar de opdracht in te voeren

typ calc.exe > bestand.txt: calc.exe

Om een ​​verborgen rekenmachine te starten, voert u de opdracht in

start .file.txt: calc.exe

U kunt zelf verifiëren dat alternatieve gegevensstromen en hun inhoud niet worden weergegeven in Microsoft-hulpprogramma's. Open Windows Verkenner en bekijk de eigenschappen van file.txt. De werkelijke bestandsgrootte is 112 KB (dat is hoeveel ruimte de ingebedde calc.exe in beslag neemt) - maar het programma zal de bestandsgrootte weergeven als 0 KB: er is geen informatie over het ingebedde bestand in de $DATA datastroom, en Windows Explorer heeft niet de mogelijkheid om informatie uit een alternatieve datastroom te lezen.

Het is duidelijk dat er veel bedreigingen verbonden zijn aan alternatieve datastromen, vooral in netwerken waar het verlenen van toestemming voor toegang tot NTFS-bronnen niet de nodige aandacht krijgt en er geen strikte toegangscontrole tot Windows-servers is ingesteld. Er bestaat een eenvoudig beveiligingsmechanisme dat kan voorkomen dat hackers misbruik willen maken van alternatieve datastromen: het NTFS-toegangscontrolesysteem. Als aanvallers geen toestemming hebben om gegevens naar een bestand te schrijven, kunnen ze geen alternatieve gegevensstromen maken en deze aan het bestand toevoegen.

Wijzigingen detecteren

Als u denkt dat hackers uw machtigingen hebben omzeild, gebruik dan een van de alternatieve tools voor het ontdekken van gegevensstroominhoud die tot nu toe zijn ontwikkeld. Systeemintegriteitscontroleurs, zoals Tripwire Enterprise en Tripwire for Servers, kunnen alle wijzigingen in het NTFS-bestandssysteem detecteren die op een Windows-systeem hebben plaatsgevonden, inclusief toevoegingen of wijzigingen aan de inhoud van de gegevensstroom.

Het Streams-programma van Sysinternal is een gratis opdrachtregelhulpprogramma dat de namen bepaalt van alternatieve gegevensstromen die aan bestanden zijn gekoppeld. Figuur 1 laat zien hoe u het Streams-hulpprogramma kunt gebruiken om de naam van de calc.exe-gegevensstroom te bekijken die we eerder aan het file.txt-bestand hebben toegevoegd. Dit hulpprogramma kan worden gedownload van http://www.sysinternals.com/utilities/streams.html.

Een andere eenvoudige manier om een ​​alternatieve gegevensstroom te detecteren is door Windows Verkenner te gebruiken om het verdachte bestand naar een niet-NTFS-schijf te kopiëren (bijvoorbeeld een FAT-schijf). Andere bestandssystemen zijn niet uitgerust om alternatieve datastromen te verwerken. Dus als u een NTFS-bestand met daaraan gekoppelde alternatieve gegevensstromen probeert te kopiëren om het op een ander bestandssysteem te plaatsen, zal NTFS een waarschuwing geven die vergelijkbaar is met die in Figuur 2. Houd er echter rekening mee dat als u dit bestand kopieert via de opdrachtprompt venster met behulp van de opdracht Kopiëren, kopieert Windows het naar een niet-NTFS-bestandssysteem en verwijdert de gegevensstroom zonder waarschuwing.

Gedeelde bronnen verbergen met ABE

ABE is een optionele laagfunctie voor het delen van bestanden die Microsoft voor het eerst implementeerde in Windows Server 2003 SP1. Het kan in elke gedeelde Windows-map worden gebruikt, ongeacht het bestandssysteem waarop de gedeelde gegevens zijn opgeslagen. Met ABE kunnen beheerders mappen en bestanden die zijn opgeslagen op gedeelde bronnen verbergen voor gebruikers die niet over de juiste machtigingen beschikken om deze op NTFS-niveau te openen. Met andere woorden, we hebben het over het bieden van beveiliging op mapniveau.

In gevallen waarin ABE niet wordt gebruikt, zien gebruikers die verbinding maken met een gedeelde map alle bestanden en mappen die zich op de share bevinden, inclusief de bestanden en mappen waarvoor ze geen leesrechten hebben en de bestanden waartoe ze geen toegang hebben. Wanneer een gebruiker een bestand of map probeert te openen waartoe hij geen toegang heeft, geeft het systeem een ​​foutmelding weer waarin wordt uitgelegd dat de toegang is geweigerd. Deze foutmeldingen kunnen verwarrend zijn voor gebruikers, dus het inschakelen van ABE kan de ondersteuningswerklast helpen verminderen.

Het gebruik van ABE heeft echter ook zijn nadelen. Voordat een lijst met objecten in een map wordt geretourneerd naar een client die is verbonden met een share, moet de server alle ACL's voor die objecten controleren, zodat deze kan bepalen welke gegevens moeten worden geretourneerd. Als gevolg hiervan kunt u een aanzienlijke vermindering van de systeemprestaties ervaren, vooral wanneer u toegang krijgt tot gedeelde bronnen die veel objecten bevatten.

Het is raadzaam om ABE-tools te gebruiken, bijvoorbeeld om openbare bronnen in de thuismappen van gebruikers te configureren. In plaats van een verborgen share te maken voor de thuismap van elke gebruiker, kunt u één gedeelde map maken die de thuismappen van alle gebruikers bevat onder de hoofdmap van de thuismap. Gebruikers maken verbinding met deze hoofdmap en u kunt zowel ABE- als NTFS-machtigingen gebruiken om de zichtbaarheid van de thuismappen van alle gebruikers te controleren.

Activeren van de ABE-functie

Deze functie gebruikt de nieuwe vlag op openbaar bronniveau SHI1005_FLAGS_ENFORCE_NAMESPACE_ ACCESS; op het moment dat deze regels worden geschreven, is dit alleen geïmplementeerd in Windows 2003 SP1 en Release 2 (R2). Deze vlag betekent dat u de ABE-functie op een van de mappen toepast.

U kunt de mapeigenschappenextensies van Windows Verkenner of het opdrachtregelprogramma abecmd.exe gebruiken om de vlag in te stellen. Microsoft distribueert de ABE Explorer-extensie en abecmd.exe in het ABE-installatiepakket, een add-on-module voor het Windows Server 2003 SP1-platform. Het installatiepakket kan worden gedownload van Microsoft op http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D 9-78D9-4342-A485-B030AC442084. Omdat ABE een server-side extensie is, kan deze worden gebruikt ongeacht welke versie van Windows op de client is geïnstalleerd.

Nadat u ABE-tools op de server hebt geïnstalleerd, kunt u deze vlag voor een bepaalde map instellen. Klik met de rechtermuisknop op de map, selecteer Eigenschappen, ga naar het tabblad Op toegang gebaseerde inventarisatie en stel de vlag Op toegangsbasis inschakelen voor deze gedeelde map in, zoals Figuur 3 laat zien. Om de ABE-functie toe te passen op alle gedeelde bronnen op het systeem, stel de instelling Vlag van deze map toepassen in op alle bestaande gedeelde mappen op deze computer.

De tweede methode is het gebruik van het opdrachtregelprogramma abecmd.exe. Om de ABE-functie toe te passen op de openbare bron shareddocs, voert u de volgende opdracht in:

abecmd /enable shareddocs

U kunt de optie /all gebruiken om ABE in te schakelen op alle beschikbare bronnen, of de optie /disable gebruiken om ABE uit te schakelen.

Toegangscontrole

ABE is een eenvoudig hulpmiddel waarmee u de machtigingen van gebruikers kunt beperken zodat ze alleen toegang krijgen tot de bestanden die ze nodig hebben om hun werk te doen. Gebruikers kunnen gemakkelijk de bestanden vinden die ze nodig hebben, omdat ze niet door niet-gerelateerde mappen hoeven te bladeren, en ze hoeven de ondersteuning niet lastig te vallen met vragen over waarom bestanden waarvoor ze geen toestemming hebben om te openen, niet worden geopend.

Ter bescherming tegen hackers van alternatieve datastromen moeten beheerders hun instellingen voor openbare toegangscontrole controleren en een van de hulpprogramma's gebruiken die ik heb beschreven om verborgen alternatieve datastromen en wijzigingen in het NTFS-systeem te detecteren.

Zichtbaar-onzichtbaar

Bloglezer Victor kon het PowerShell-script dat hij van internet had gedownload, niet uitvoeren. Door mijn instructies zorgvuldig te lezen, werd het probleem vermeden, maar de oorzaak ervan lag niet in het strikte beveiligingsbeleid van PowerShell.

Victor downloadde uit de TechNet-galerij een archief met het PSWindowsUpdate.zip-script voor het beheren van Windows Update, waar ik het over had. Het uitgepakte script weigerde echter te werken. Toen ik de lezer suggereerde dat het eerste punt van mijn instructies ging over de noodzaak om het archief te ontgrendelen, verliep alles op rolletjes.

Victor vroeg om uit te leggen waarom het systeem het script blokkeerde en hoe het wist dat het archief van een andere computer was gedownload.

Eerlijk gezegd is het onderwerp van vandaag niet nieuw, maar ik heb om verschillende redenen besloten het op mijn blog te behandelen:

• Veel artikelen zijn geschreven in de tijd van Windows XP of Windows 7 en houden geen rekening met de ingebouwde mogelijkheden van nieuwere Microsoft-besturingssystemen.
• Een van de artikelen die voor de nabije toekomst zijn gepland, gaat over dit onderwerp, en het is voor mij gemakkelijker om naar materiaal te verwijzen voor de relevantie en juistheid waarvan ik zelf verantwoordelijk ben.
• De blog heeft een groot publiek, en voor veel lezers zal dit onderwerp nog nieuw zijn :)

Vandaag op het programma

NTFS-gegevensstromen

Windows haalt informatie over de bron van het bestand uit de alternatieve gegevensstroom (ADS) van het NTFS-bestandssysteem. In de bestandseigenschappen schrijft ze bescheiden dat het van een andere computer komt, maar in werkelijkheid weet ze iets meer, zoals je later zult zien.

Vanuit NTFS-oogpunt is een bestand een verzameling . De inhoud van het bestand is een data-attribuut met de naam $DATA. Een tekstbestand met de regel "Hallo, wereld!" heeft het data-attribuut “Hallo, wereld!”

In NTFS is het $DATA-attribuut een gegevensstroom en wordt het primair of naamloos genoemd omdat... het geen naam heeft. Formeel ziet het er als volgt uit:

$GEGEVENS:""

• $GEGEVENS- Naam attribuut
• : – scheidingsteken
• "" - Naam stroom(in dit geval is er geen naam - er staat niets tussen de aanhalingstekens)

Interessante kenmerken van alternatieve datastromen

In de context van de bovenstaande voorbeelden wil ik een paar interessante punten naar voren brengen.

Onzichtbare veranderingen

Nadat u met de eerste opdracht een tekstbestand hebt gemaakt, kunt u dit in een teksteditor openen en ervoor zorgen dat alle verdere manipulaties op geen enkele manier de inhoud van het bestand beïnvloeden.

Het wordt interessant wanneer het bestand bijvoorbeeld in Notepad++ wordt geopend. Deze editor kan u waarschuwen voor bestandswijzigingen. En dit zal gebeuren wanneer u een alternatieve stream naar het bestand schrijft, maar de inhoud blijft hetzelfde!

Neem advertenties op en bekijk ze van CMD

ADS kan worden gemaakt en weergegeven vanaf de opdrachtregel. De volgende opdrachten schrijven verborgen tekst naar een tweede ADS met de naam MyStream2 en geven deze vervolgens weer.

Echo verborgen tekst > C:\temp\test.txt:MyStream2 meer< C:\temp\test.txt:MyStream2

Advertenties bekijken in teksteditors

Hetzelfde Notepad++ toont u de inhoud van ADS als u de naam van de stream op de opdrachtregel opgeeft

"C:\Program Files (x86)\Notepad++\notepad++.exe" C:\temp\test.txt:MijnStream1

Resultaat:

Met Kladblok werkt deze truc alleen als er een .txt. Met de onderstaande opdrachten wordt een derde ADS toegevoegd en geopend in Kladblok.

Echo verborgen tekst > C:\temp\test.txt:MyStream3.txt kladblok C:\temp\test.txt:MyStream3.txt

Resultaat:

Gedownloade bestanden blokkeren

Laten we teruggaan naar de vraag die een lezer mij stelde. Of een bestand wordt geblokkeerd, hangt in de eerste plaats af van het programma waarin het is gedownload en ten tweede van de instellingen van het besturingssysteem. Alle moderne browsers ondersteunen dus blokkering en deze is opgenomen in Windows.

Houd er rekening mee dat wanneer een archief wordt vergrendeld, alle uitgepakte bestanden “erfelijk” worden vergrendeld. Onthoud ook dat ADS een functie is van NTFS, d.w.z. Bij het opslaan of uitpakken van een archief op FAT32 vindt er geen blokkering plaats.

Bekijk informatie over de bron van een geblokkeerd bestand

Ga in PowerShell naar de map met het gedownloade bestand en bekijk informatie over alle threads.

Get-Item .\PSWindowsUpdate.zip -Stream * Bestandsnaam: C:\Users\Vadim\Downloads\PSWindowsUpdate.zip Streamlengte ------ ------ :$DATA 45730 Zone.Identifier 26

Zoals u al weet, is $Data de inhoud van het bestand, maar verschijnt ADS ook in de lijst Zone.ID. Dit is een duidelijke aanwijzing dat het bestand uit een bepaalde zone is ontvangen. Weet jij waar deze foto vandaan komt?

Om de zone te achterhalen, moet u de inhoud van de ADS lezen.

Get-Content .\PSWindowsUpdate.zip -Stream Zone.Identifier ZoneId=3

Het is uiteraard gericht op batch-ontgrendeling (bijvoorbeeld wanneer het archief al is uitgepakt). De onderstaande opdracht ontgrendelt in de map Downloads alle bestanden die de naam bevatten PS:

Dir C:\Downloads\*PS* | Deblokkeer-bestand

Natuurlijk zijn er allerlei hulpprogramma's met een grafische interface, zelfs hulpprogramma's die in het contextmenu kunnen worden geïntegreerd. Maar naar mijn mening is PowerShell of, in het slechtste geval, streams voldoende.

Hoe u kunt voorkomen dat bestanden worden geblokkeerd

De blokkering wordt bepaald door het groepsbeleid. Bewaar geen informatie over de oorsprongszone van bijgevoegde bestanden. Zoals de naam al doet vermoeden, is blokkeren standaard Windows-gedrag, en het beleid biedt u de mogelijkheid dit te wijzigen.

Uit de naam blijkt echter niet duidelijk dat het beleid niet alleen van toepassing is op e-mailbijlagen, maar ook op bestanden die van internet zijn gedownload. Lees meer over de bijlagemanager in KB883260.

Er is geen groepsbeleid-editor in de Home-edities, maar niemand heeft het register geannuleerd: SaveZoneInformation.zip.

Andere voorbeelden van praktische toepassing van ADS

De reikwijdte van ADS is niet beperkt tot het toevoegen van een gedownloade bestandszone, en het is ook niet nodig om alleen tekst in ADS op te slaan. Elk programma kan deze NTFS-functie gebruiken om allerlei soorten gegevens op te slaan, dus ik zal slechts een paar voorbeelden uit verschillende gebieden geven.

Infrastructuur voor bestandsclassificatie

Over de auteur

Interessant materiaal, dank je. Ik heb iets nieuws geleerd over PowerShell, wat mij nog steeds een beetje bekend is :)

Ik gebruik WhatsApp vaak om met mijn familie te communiceren - tot nu toe zijn er de minste problemen met deze dienst geweest, zelfs mijn ouders zijn eraan gewend geraakt. Kontaktik is ook vooral voor familie, hoewel de berichtenuitwisseling daar vooral plaatsvindt rond gepubliceerde albums met foto's en video's. Sommige familieleden blijven Viber trouw - het werkte niet voor mij, ik bewaar het gewoon voor hen, zonder op te geven om ze naar WhatsApp te slepen.

Voor werk, voornamelijk Slack, als iets dringend is - WhatsApp, zeer dringend - SMS. VKontakte voor communicatie over het werken met de buitenwereld.

Ik gebruik Skype alleen voor videogesprekken, voornamelijk met mijn gezin. Ik zou het graag vervangen door WhatsApp als er videogesprekken zouden zijn.

urik

Viber heeft nu videogesprekken en zelfs videogesprekken voor de desktopversie. Dus misschien wordt Viber de volgende Skype... op een goede manier

Andrej Kuznetsov

Interessant materiaal, dank je. Ik wist van het bestaan ​​van threads, maar ik wist niet dat het zo gemakkelijk was om ermee te werken via PowerShell.
Wat IM betreft: de enige klachten die ik heb over Skype zijn de opstarttijd op Windows Phone. Op iPad en Windows bestaat een dergelijk probleem niet. Ik gebruik het voor spraakcommunicatie als het om de een of andere reden lastig is om GSM te gebruiken.
En correspondentie via Whatsapp. Het is vanuit privacyoogpunt nogal een pluspunt dat je het alleen via de telefoon kunt gebruiken.

• Andrej Kuznetsov: En correspondentie via Whatsapp. Het is vanuit privacyoogpunt nogal een pluspunt dat je het alleen via de telefoon kunt gebruiken.

  Andrey, leg uit wat hier het pluspunt is?

Pavlovski Romein

1. Ik gebruik het vaakst: Skype en Hangouts - voor werk op een pc, voor andere correspondentie op VKontakte vanaf elk apparaat, aangezien werkklanten meestal Skype gebruiken, en vrienden en kennissen op sociale netwerken.

2. Ik zou idealiter het volgende willen gebruiken: Jabber - voor correspondentie en oproepen vanaf elk apparaat. Wat mij betreft, de client kan op elk apparaat worden geïnstalleerd en met elkaar communiceren waar de gebruiker zich ook bevindt, zelfs op een zwakke internetverbinding + bovendien kunt u uw eigen jabber-server inzetten en alle correspondentie op de server opslaan, zodat u later je kunt snel de nodige correspondentie vinden als de klant niet weet hoe hij de geschiedenis moet opslaan, en er zijn plug-ins voor oproepen via Jabber te vinden (bijvoorbeeld via dezelfde SIP Asterisk 1.8+)

Andrej Bayatakov

Meestal gebruik ik WhatsApp (voornamelijk voor werk), voor gesprekken (audio/video/internationale gesprekken) Skype. Hoewel desktop Skype vreselijk irritant is (ik heb een transformator en thuis gebruik ik hem voornamelijk als tablet)... Viber is niet aangeslagen. Om te bellen via WhatsApp heb je gewoon stalen zenuwen nodig. U zegt iets tegen uw gesprekspartner en wacht een minuut of twee totdat hij u hoort (50Mbit-verbinding)…
Als er een mogelijkheid was, zou ik volledig overstappen op Skype. Op Windows 10 Mobile komen berichten van Skype na een recente update rechtstreeks naar de ingebouwde Berichten-applicatie (zoals SMS), wat erg handig is.

Maxim

1. Met tegenzin gebruik ik ICQ (voor retrograde klanten) en Slack (voor modernere klanten).
2. Ik wil graag Jabber gebruiken - om dezelfde redenen als Roman Pavlovsky hierboven.

Vladimir Kiryushin

Hallo Vadim!
Vóór dit artikel heb ik uw artikel gelezen over het lezen van het rapport over het scannen van de volledige systeemschijf met de opdracht chkdsk. Geweldig artikel! Dankzij haar ontving ik vandaag, nadat ik de systeemschijf had gecontroleerd met de opdracht chkdsk, een tekstbestand van het rapport. En dit artikel verduidelijkt ook veel dingen over het PowerShell-programma. Voor mij als gepensioneerde zijn sommige dingen onbegrijpelijk, maar ik probeer niet in paniek te raken en ijverig tot het einde te lezen. Bedankt voor de studie die je bij ons doet! Het allerbeste voor jou!

Lecron

Welke browsers en downloaders maken deze stream?

Welke andere opties zijn er voor de gebruiker om threads te gebruiken? En in het bijzonder, een gebruiker van een scriptschrijver? Want hoewel ik ze al heel lang kende, heb ik ze nooit gebruikt. Als je daadwerkelijk met een computer werkt, herinner je je ze gewoon niet meer, en daarom gebruik je misschien krukken in plaats van een handig hulpmiddel, en zonder dit werk kun je vanuit het geheugen niets bedenken.
Ik dacht maar aan één optie. Een commentaar op het bestand, als er geen mogelijkheid of wens is om lange tekst in de bestandsnaam te schrijven. Maar dit vereist ondersteuning van de bestandsbeheerder, die ze voorheen, en zelfs nu, naar descript.ion of files.bbs schrijft.

Snelheidsgoeroe

Nog een afvaltechnologie zoals USN magazine. Hoeveel gebruik zult u maken van ZoneIdentifier of van een virus dat aan een bestand of map is gekoppeld? Natuurlijk niet. Bovendien zorgt dit ervoor dat het systeem vol raakt met onnodige “subbestanden” die op geen enkele manier nodig zijn voor een normale gebruiker. Elke extra lezing in de MFT-directory en andere bewerkingen die verband houden met het onderhoud en onderhoud van alternatieve streams betekent extra verspilde processorcycli, RAM en vooral extra belasting van de harde schijf.
Je kunt me vertellen dat deze technologie zeer noodzakelijk is voor het systeem. Maar dit is onzin: het systeem zou perfect werken zonder threads. Maar niemand vraagt ​​het aan de gebruiker - ze hebben het verkocht (zoals een USN-magazine) en hebben niet de mogelijkheid geboden om het onderhoud van deze stromen volledig uit te schakelen. Maar als gebruikers heb ik ze helemaal niet nodig, ik denk net als jij…
Het enige wat we kunnen doen is “streams -s -d%systemdrive%”. Maar dit maakt het ook niet mogelijk om threads op de systeempartitie te verwijderen.

Alexiz Kadev

Benoemde streams zijn iets geweldigs, en ze bestonden, voor zover ik me herinner, vanaf de eerste release van NTFS. Het is best handig om bijvoorbeeld documentversies op te slaan in benoemde stromen, wat, als ik me niet vergis, een aantal applicaties heeft gedaan. Maar er blijft een hinderlaag bestaan ​​bij het kopiëren naar een ander bestandssysteem - benoemde streams worden eenvoudigweg afgesneden.

Het is jammer dat het onmogelijk was om meerdere boodschappers in de enquête te selecteren: ik gebruik er meerdere, omdat sommige van mijn contacten de voorkeur geven aan bepaalde. Dus ik gebruik WhatsUp, ICQ (hoewel het natuurlijk geen native client is), Skype, SkypeforBusiness (rustige horror, geen client, maar toen het Lync heette, was het nog erger) en Viber (er is hier meer spam dan in andere minstens één keer op de 5).
En idealiter gebruik je er maar één, zoals Miranda met plug-ins, aangezien het simpelweg onrealistisch is om, indien nodig, te vinden wie iets heeft gezegd/geschreven wanneer in deze hele groep. Maar helaas sluiten een aantal fabrikanten hun protocollen af ​​en beschermen ze zoals Kashchei zijn naald beschermt.