免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
NTFS数据流
复现
-
执行以下cmd命令将内容写到文件的非默认数据流中:
echo "hidden text" > fatmo01.txt:hidden.txt
2. 此时打开文件fatmo01.txt,是看不到内容的:
3. 可以通过操控数据流的方式查看文件内容,执行如下more指令查看。其中more是一个在命令行界面中用于逐页显示文本文件内容的命令:
more < fatmo01.txt:hidden.txt
4. 这种方法只能隐藏文件内容,无法隐藏文件本身
检测方法
-
使用如下命令可以显示文件的其他数据流:
dir /r fatmo01.txt
2. 使用微软官方工具streams.exe进行检测,该工具在Systeminternal Suite工具集中:
原文始发于微信公众号(赛博安全狗):【权限维持技术】Windows文件隐藏(二)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论