2.46 使用 NTFS ADS 隱藏和讀取文字訊息

什麼是 NTFS ADS？NTFS(New Technology File System)是 Windows 系統使用的
檔案系統。除了普通的檔案屬性之外，NTFS 還支援一種稱為「替代資料流」
(Alternate Data Streams, ADS)的功能。這個功能允許在一個檔案內附加額外的資料
流，而這些資料流不會被普通的檔案檢視工具顯示出來。駭客可以利用 ADS 來
隱藏惡意程式或資料，使其不易被發現，因此了解和檢測 ADS 是網路安全的一
個重要課題。
1.
建立一個普通的文字檔案：
在命令提示字元 (Command Prompt) 中執行以下指令：
2.
在普通文字檔案的 ADS 中隱藏一段訊息：
在命令提示字元中執行以下指令：
3.
讀取隱藏訊息：
駭客可以使用 more 命令來讀取隱藏的訊息。命令提示字元中執行以下指令
4.
檢查檔案：
使用者使用 dir 命令檢查檔案，指出 dir 命令無法顯示 ADS 的存在，從而理解 ADS
的隱蔽性。在命令提示字元中執行以下指令：
151
5.
使用專門工具檢查 ADS：
鑑識人員使用 Sysinternals 提供的 streams 工具來檢查檔案中的 ADS。首先，下載
Sysinternals 套件，然後在命令提示字元中執行以下指令：
152