在本文中，我们将首先简要讨论数据如何存储在硬盘驱动器上。然后，我们将看一下 NTFS 文件系统和替代数据流。之后，我们将介绍区域标识符 Windows 的一项功能，它使用数据流来存储有关文件源的数据。最后，我们还将简要介绍如何使用数据流来隐藏数据。

• 恶意软件开发

• windows网络安全防火墙与虚拟网卡（更新完成）

• windows文件过滤(更新完成)

• USB过滤(更新完成)

• 游戏安全(更新中)

• ios逆向

• windbg

• 还有很多免费教程(限学员)

• 更多详细内容添加作者微信

存储设备

它是允许我们从计算机存储和检索信息的硬件组件。HDD、SSD 和 U 盘都是存储设备的示例。

要了解数据如何存储在存储设备上，我们首先需要了解用于表示磁盘上数据的一些术语。下图表示硬盘盘片。

硬盘驱动器基础知识

硬盘是一个密封单元，在堆栈中包含许多盘片。硬盘可以水平安装或安装在...

www.ntfs.com

盘片表面被划分为称为轨道的同心圆。每条轨道在圆盘周围形成一条圆形路径。在上图中，红色区域表示轨道。

拼盘也被划分为看起来像披萨片的几何扇区。在上图中，蓝色区域表示几何扇区。在讨论存储时，术语几何扇区并不常用。

轨道扇区和几何扇区的交点创建了一个圆盘扇区。扇区是存储设备上可以访问的最小单元。磁盘上的所有扇区都保存相同数量的数据。在存储的上下文中，当使用术语扇区时，它始终表示磁盘扇区。在上图中，标签 C 表示一个扇区。扇区大小是由存储设备制造商固定且无法更改的物理属性。

一组连续的扇区称为集群。集群由一个或多个扇区组成。集群有时也称为分配单元。群集是可以分配给存储文件的最小逻辑空间量。上图中的绿色部分显示了一个集群。簇大小是一个逻辑属性，由文件系统在格式化磁盘时设置。

扇区是操作系统内核/驱动程序用于从磁盘读取和写入的最小单元。另一方面，集群是文件系统用来从磁盘读取和写入数据的最小单元。集群和扇区大小可以相同，但通常情况并非如此。集群总是大于扇区。

磁盘扇区 - 维基百科，自由的百科全书

在计算机磁盘存储中，扇区是磁盘或光盘上磁道的细分。对于大多数磁盘，每个磁盘...

en.wikipedia.org

扇区和集群的概念也适用于使用闪存进行存储的存储设备，但重要的是要了解，这只是一种抽象，以便于理解数据存储。在 SSD 上存储数据的过程与 HDD 使用的过程不同。

文件系统

文件系统是用于组织、管理和访问存储设备上的数据的逻辑和物理系统。如果没有文件系统，操作系统 （OS） 将在磁盘上看到大量数据，但不知道如何读取它们。将存储设备想象成一个大房间，里面散落着成堆的文件。在这样的房间中找到特定的文件将非常困难。文件系统就像一个文件柜，它把散落的文件整理起来，以便很容易找到我们需要的纸张。

https://en.wikipedia.org/wiki/File_system

有许多文件系统设计和实现。根据实现，文件系统可能具有不同的特性，一些文件系统针对速度进行了优化，而另一些文件系统则被设计为灵活和安全。不同的操作系统使用不同的文件系统来存储其数据。默认情况下，Windows 使用 NTFS（新技术文件系统），Apple 使用 APFS（Apple 文件系统），Linux 使用 ext4（第四扩展文件系统）。

NTFS 文件系统

它是自 Windows 3.1 以来 Windows 使用的默认文件系统。它是一个专有的文件系统，由 Microsoft 设计用于替换 FAT 文件系统。NTFS 本身受 Linux 和 BSD 支持。NTFS 支持访问控制列表 （ACL）、磁盘加密、符号链接和日记等功能。

NTFS - 维基百科，自由的百科全书

新技术文件系统（NTFS）是由Microsoft开发的专有日志文件系统。从...

en.wikipedia.org

NTFS 的布局大致可分为四个部分：分区引导扇区 （PBS）、主文件表 （MFT）、系统文件（元数据文件）和用户文件。

PBS 构成了 NTFS 文件系统的前 16 个扇区。本节包含文件系统用于访问实际数据的信息。

MFT 是一个特殊的文件，表示文件系统上存在的每个文件。有关文件的所有信息，包括大小、创建时间、权限和数据内容都存储在 MFT 中。操作系统使用 MFT 从文件系统中查找所需的文件。MFT 中的每个文件记录的大小为 1KB（1024 字节）。

NTFS 主文件表

适用于 Windows 的已删除文件恢复。NTFS 主文件表 （MFT） 是什么意思？

www.file-recovery.com

MFT 中的起始条目用于表示存储与文件系统相关的元数据的系统文件。MFT 的第一条记录描述了 MFT 本身。第二个条目是 MFT 镜像，这是在主 MFT 损坏时使用的 MFT 副本。

全新$MFT上的 34 个文件条目

因此，最近 DFIR 邮件列表上有一个关于恢复 $MFT FILE 记录的请求。这让我想到了......

乔恩·格拉斯

根据所使用的操作系统和NTFS版本，文件系统上存在的系统文件数量可能会有所不同。

NTFS 文件记录

文件记录的前 42 个字节用于文件元数据。标头具有固定的大小和结构。文件记录的其余部分用于存储文件属性。

与文件关联的每个信息单元（名称、安全信息、时间戳、内容）都作为文件属性实现。每个属性都以标头开头。属性记录包含属性类型、可选名称和属性值。

概念 - 文件记录

NTFS 文档

flatcap.github.io

属性可以是常驻属性，也可以是非常驻属性。可以适应 MFT 的属性称为驻留属性。文件名 （） 和时间戳 （ 和 ） 等属性始终存储在 MFT 文件记录中。当属性太大而无法存储在 MFT 中时，它将存储在 MFT 外部。存储在 MFT 外部的属性称为非常驻属性。该属性存储文件的数据，通常是非常驻属性。$FILE_NAME$STANDARD_INFORMATION$FILE_NAME$DATA

概念 - 数据运行

NTFS 文档

www.reddragonfly.org

备用数据流 （ADS）

这是 NTFS 的一项功能，允许文件包含多个数据流。ADS 使在文件中存储文件成为可能。此功能旨在提供与 MacOS 分层文件系统 （HFS） 的兼容性。HFS 使用资源分叉和数据分叉（2 个流）来存储文件的数据。

ADS 简介 - 备用数据流

有时在沙盒（即 Cuckoo）中的自动恶意软件分析期间，我们可以在报告中获得以下内容......

hshrzd.wordpress.com

备用数据流不会显示在 Windows 上的文件资源管理器中。默认情况下，即使是命令行工具也不显示 ADS。Windows 报告的文件大小不包括备用文件流的大小。从安全的角度来看，我们应该谨慎使用ADS，因为它可以将数据隐藏在文件中。

NTFS 备用数据流 （ADS） 演示文稿

列出 ADS 名称

以下命令可用于查看文件的 ADS：

Get-ChildItem | ForEach-Object {Get-Item -Path $_.FullName -Stream *} | Select-Object Filename, Stream, Length

dir /R

streams -nobanner -s .

流 - Sysinternals

显示 NTFS 备用流。

learn.microsoft.com

区域标识符

ADS 最常见的用途是存储“区域”数据。这是 Windows 10 引入的一项功能。区域标识符用于存储有关文件来源的详细信息。它是从 Internet 下载文件时添加到文件中的附加元数据。

区域标识数据存储在流中。流包含区域 ID、主机 URL 和反向链接 URL。区域 ID 是一个整数，表示文件的来源。从 Internet 下载的文件的 ID 为 3。主机 URL 包含从中下载文件的 URL。引荐来源 URL 包含将用户引导至从中下载文件的域的域的名称。Zone.Identifier

区域标识符是 Windows XP 中引入的 URL 安全区域功能的演变。Internet Explorer 使用它将 URL 分类为区域。根据区域，可以对 URL 应用不同的策略和安全控制。这些选项仍可从“Internet 选项”菜单访问。

所有现代浏览器都会将区域数据添加到下载的文件中。使用第三方下载管理器下载的文件不包含区域标识符数据。

可以对应用程序进行编程，以根据区域数据的存在以不同的方式处理文件。Microsoft Office 将在保护模式下打开包含区域数据的文件。如果我们启用文件的编辑，则将删除区域标识符流。

如果我们使用 Windows 内置提取工具解压缩包含区域数据的文件，则区域标识符流会自动添加到所有提取的文件中。使用第三方存档软件时不会发生这种情况。

查看 ADS 内容

可以使用以下命令查看 ADS 的内容：

Get-Content .CS437.Lecture4.NTFS.pdf -Stream Zone.Identifier

more < CS437.Lecture4.NTFS.pdf:Zone.Identifier

根据文件的来源，这三个字段可能都不存在。

more < 2024_02_07_anticast_All-About-Systemd-Timers_Hal-Pomeranz.pdf:Zone.Identifier

删除区域标识符

根据您询问的对象，区域标识符可能被视为侵入性。它使法医调查员可以分析您的设备并找到下载文件的来源。

Unblock-File .CS437.Lecture4.NTFS.pdf

streams -nobanner -d .CS437.Lecture4.NTFS.pdf

包含区域数据的文件的属性菜单将始终显示安全警告。通过取消阻止文件，将删除区域标识符数据。

可以使用组策略永久禁用区域标识符。

如何摆脱 ：Zone.Identifier 文件 - Realhe.ro 博客

在 Linux 机器上的 Virtualbox（并共享主机文件夹）中使用 Windows 的每个人都知道这个问题。首先要...

blog.realhe.ro

自定义数据流

可以创建自定义数据流。也可以为目录创建数据流。使用 ADS，可以访问其他文件中的任何数据（甚至是图像、执行和 DDL）。

从安全角度探索 NTFS 备用数据流

在这篇博客中，我们将探讨攻击者滥用备用数据流 （ADS） 隐藏文件和...

www.threatspike.com

要创建备用数据流，我们在文件名后提及流名称。

Write-Output "Super Duper Secret Text" > .ordinary.txt:SecretText

Remove-Item是用于删除备用数据流的通用命令。它还可用于删除区域标识符。

Remove-Item .ordinary.txt -Stream SecretText

下图显示了用于隐藏可执行文件的 ADS。

‍