随着杀毒软件功能的日益强大,木马病毒已经不再局限于设置文件 属性来达到隐藏自身的目的。一种更为隐蔽,危害更为巨大的文件隐藏方式正逐渐被木马所利用,通过这种方法,木马可以在系统中“隐形”,甚至躲过绝大多数杀 毒软件的查杀,这种方法就是利用NTFS数据流隐藏木马。NTFS数据流本是NTFS文件格式中的一种正常功能,但是却可以被一些木马病毒所利用,而杀毒 软件对NTFS数据流文件的检测能力十分薄弱,很多木马病毒就趁此机会,利用NTFS数据流将自己完全隐藏在系统中。下面就让我们和NTFS数据流木马来 一次“亲密接触”。
图一:ntfs格式
一、什么是NTFS数据流?
在介绍NTFS数据流之前,我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统,可以在“命令提示符”中输入“convert 分区盘符: /fs:ntfs”,即可将该分区的文件系统转换为NTFS。
NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下, 每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看 到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为“宿主文件:准备与宿主文件关联的数据流文件”。
图二:数据流
那么为什么我们无法看到系统中的数据流文件呢,是Windows为了防止我们误删数据流文件而故意设置的障碍吗?是否定的,我们之所以无法在系 统中看到NTFS数据流文件,是因为Windows中的很多工具对数据流文件的支持并不是很好,就像“资源管理器”,我们无法在“资源管理器”中看到有关 数据流文件的变化。这种缺陷让木马有机可趁,通过NTFS数据流将自己隐藏起来,从此就从“资源管理器”中消失了。例如Rootkit木马中的文件隐藏功 能,就是利用了NTFS数据流。
更多相关内容可以关注ntfs for mac官网。