Несколько неясной особенностью файлов, хранивших на отформатированных носителях файловой системы NTFS, является возможность файла, чтобы содержать отдельные и независимые коллекции информации. Этим модулям данных дали название "потоки", так как они - последовательности байтов, у Всех файлов есть один заданный по умолчанию модуль данных или "потока", который является частью, что мы обычно подразумеваем файлом. Это - также часть, которую система Windows связывает с именем файла. Кроме того, однако, файл может содержать другой, дополнительные потоки данных. Дополнительные потоки данных (административный сервер) не являются общеизвестными за пределами технических кругов и скрыты от многих из обычных способов, которыми перечислены файлы. Они не перечислены в Проводнике Windows, их размер не добавлен к перечисленным размерам файла, и они не перечислены нормальной командой "dir". Во многих отношениях они невидимы. Все же дополнительный поток может содержать множество информации. Это может быть информация о файле (метаданные), параметры настройки безопасности, или даже другой файл.

Управление дополнительными потоками данных

Дополнительный поток данных называют с примечанием: filename:streamname где "имя файла" - обычный заданный по умолчанию поток, о котором мы думаем как файл, и то, что появляется в Проводнике Windows. Это сопровождается двоеточием и названием, данным специфическому потоку. Отметьте, что у файла может быть много потоков. В некоторых случаях потоковое название - шестнадцатеричный GUID или другое тайное примечание, или это может быть другое имя файла. Я собираюсь пропустить некоторые из тайных подробностей и ограничить обсуждение прежде всего к случаю, где дополнительный поток данных - другой файл, так как это будет темой главного интереса большинству пользователей PC.

Обнаружение дополнительных потоков данных

Начиная с административного сервера не перечислены в обычных местах, как мы можем найти их? Самый простой путь состоит в том, чтобы загрузить одну из утилит, которые доступны для того, чтобы перечислить административный сервер. Я попробовал два. И "Потоки" от Microsoft Sysinternals и "ПАРНИ" от прекрасной работы Франка Хеина. Учитывая файл или папку, чтобы искать, будет отображен список любых потоков, которые найдены. Операции с административным сервером вообще выполнены в приглашении ко вводу команды, и каждая утилита - просто файл, который используется в командной строке. Поместите файл, где-нибудь удобный. Однако, папка, которая находится в среде пути обычно, делает вещи проще. Команда, используя "Streams" программы могла бы читать: streams somefolder\*Это перечислило бы любые потоки в указанной папке. Выключатель доступен для, перевынужденные действия подпапки. Отметьте, что распечатка административного сервера часто включает примечание, показывающее типу информационного наполнения. Таким образом распечатка могла бы читать:somefile:somestream:$DATAЗдесь $DATA указывает природу потока. Утилиты упоминали здесь список только названия административного сервера. Они не отображают информационные наполнения.

В Vista выключатель/R был добавлен к директивной команде, которая позволяет распечатку дополнительных потоков. Чтобы перечислить потоки, используйте команду dir /R somefolder

Рассмотрение или доступ к дополнительным потокам данных

Если Вы знаете название потока, некоторые приложения Windows могут рассмотреть или даже выполнить поток. Если поток состоит из текста, Вы можете вступить в командную строку: more < [path]somefile:somestreamВы тогда получите текст потока как выведено. Для текстовых потоков Вы можете также использовать Записную книжку в командной строке. Введите: notepad [path]somefile:somestreamЗаписная книжка откроет и отобразит текст. Для приложения как Записная книжка Вы должны использовать полностью компетентный путь для потока.

Поток может также иметь двойное информационное наполнение или даже быть исполняемым файлом. Например, поток мог бы быть изображением. Вспомогательная программа Paint может открыть поток изображения таким образом: mspaint [path]somefile:somepicture.gif Другие программы графики, возможно, не работают, как бы то ни было.

Отметьте, что у того же самого файла, у которого есть текстовый поток, мог также быть двойной поток (или несколько).

Выполнимые потоки

Даже исполняемый файл может быть потоком на текстовом файле. Невинно выглядящий текстовый файл на 1 Кбайт может фактически содержать скрытый (и большой) исполняемый файл, Если выполнимый поток присутствует, это может быть выполнено командой: start [path]somefile.txt:someprogram.exe Отметьте, что полный путь должен использоваться. (Это не работает в Vista.)

Создавание дополнительных потоков данных

Это очень просто добавить дополнительный поток данных к существующему файлу. Снова мы используем командную строку. Чтобы создать новый поток, содержащий некоторый текст, вводят команду: echo {some text} > [path]somefile:addedtext.txt Файл "somefile" будет тогда содержать поток с текстовым файлом, "addedtext.txt" содержащим текст от команды "эха".

Добавление всего файла, включая двоичные файлы, поскольку поток сделан командой: type [path]programfile.exe > [path]somefile:addedfile.exe

Дополнительные потоки данных могут также быть присоединены к каталогу с подобными командами.

Рассмотрения безопасности

Так как исполняемый файл может быть скрыт в иначе безопасном файле, злонамеренный файл мог быть скрыт этим методом. К счастью, главные антивирусные программы могут распознать дополнительные потоки. Кроме того, невидимый файл в потоке удален, когда содержание файла скопировано к передающей среде нефайловой системы NTFS как большинство дисков бегунка или послано по электронной почте как вложение. Далее, файл в потоке не будет переживать обычные методы загрузки. У "Streams" утилиты, обсуждаемого выше, есть выключатель для того, чтобы удалить административный сервер.

Дополнительная информация

• Wikipedia
• Писк компьютера
• ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ АДМИНИСТРАТИВНОГО СЕРВЕРА