【权限维持技术】Windows文件隐藏(二)

admin
admin
admin
102796
文章
87
评论
2023年10月29日23:01:42评论7 views字数 585阅读1分57秒阅读模式



【权限维持技术】Windows文件隐藏(二)

免责声明

【权限维持技术】Windows文件隐藏(二)

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。



【权限维持技术】Windows文件隐藏(二)

NTFS数据流

【权限维持技术】Windows文件隐藏(二)

“交替数据流(Alternate Data Streams, ADS)”是Windows NTFS文件系统的高级特性。文件中可以包含多个数据流(Data Stream),并且这些数据流对用户是透明的,也就是说,用户在操作文件的时候,只能看到并操作默认的数据流,而无法看到和操作其他的数据流。因此可以利用数据流的特性进行文件隐藏。


【权限维持技术】Windows文件隐藏(二)

复现

【权限维持技术】Windows文件隐藏(二)

  1. 执行以下cmd命令将内容写到文件的非默认数据流中:

echo "hidden text" > fatmo01.txt:hidden.txt

【权限维持技术】Windows文件隐藏(二)

2. 此时打开文件fatmo01.txt,是看不到内容的:

【权限维持技术】Windows文件隐藏(二)

3. 可以通过操控数据流的方式查看文件内容,执行如下more指令查看。其中more是一个在命令行界面中用于逐页显示文本文件内容的命令

more < fatmo01.txt:hidden.txt

【权限维持技术】Windows文件隐藏(二)

4. 这种方法只能隐藏文件内容,无法隐藏文件本身

【权限维持技术】Windows文件隐藏(二)


【权限维持技术】Windows文件隐藏(二)

检测方法

【权限维持技术】Windows文件隐藏(二)

  1. 使用如下命令可以显示文件的其他数据流:

dir /r fatmo01.txt

【权限维持技术】Windows文件隐藏(二)

2. 使用微软官方工具streams.exe进行检测,该工具在Systeminternal Suite工具集中:

【权限维持技术】Windows文件隐藏(二)

原文始发于微信公众号(赛博安全狗):【权限维持技术】Windows文件隐藏(二)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月29日23:01:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【权限维持技术】Windows文件隐藏(二)http://cn-sec.com/archives/2156852.html

发表评论

匿名网友 填写信息