Альтернативные потоки. Часть 2.

Итак, в прошлом гайде по анонимности мы рассмотрели простейшие примеры использования альтернативных потоков с текстовыми файлами, сейчас же мы рассмотрим более сложные примеры.

После прочтения предыдущего гайда вам могло показаться, что применение альтернативных потоков ограничено текстовыми данными. Это совсем не так, и в альтернативных потоках можно хранить абсолютно любую информацию. Для примера создадим файл picture.txt и добавим к нему поток pic1.jpg, в который поместим одноименное изображение:

echo Picture>picture.txt
type cat.jpg>picture.txt:cat.jpg

Таким образом, внешне мы имеем обычный текстовый файл, а для открытия изображения из альтернативного потока в графическом редакторе Paint воспользуемся командой:

mspaint picture.txt:cat.jpg

Но так можно добавить и не только картинку. Можно добавлять к любым типам файлов любые данные - к текстовым файлам добавлять изображения, к медиафайлам добавлять текстовую информацию и т. п. Также преимуществом этого способа является невозможность определить по размеру исходного файла стороннее вмешательство в него - если добавить к файлу размером в 1 КБ вторым потоком 30-гигабайтное видео, проводник все равно покажет размер файла 1 КБ.

Еще в альтернативные потоки можно прятать исполняемые файлы. К примеру возьмем файл test.txt и добавим приложение Блокнот (notepad.exe) в альтернативный поток note.exe:

type notepad.exe>test.txt:note.exe

А для запуска скрытого блокнота воспользуемся командой:

start .\test.txt:note.exe

Этой возможностью пользуются некоторые вредоносные программы, добавляя исполняемый код в альтернативные потоки NTFS.

Как я уже написал, наличие альтернативных потоков у файла никак не отображается в Проводнике и других файловых менеджерах. Для того, чтобы их найти, самый простой способ — это воспользоваться командой dir /R, которая показывает все потоки данных, в том числе и альтернативные.

Но альтернативные потоки не всегда используются для сокрытия информации. Альтернативные потоки используется как самой Windows, так и некоторыми программами. К примеру, Internet Explorer делит сеть на 4 зоны безопасности и при загрузке файлов добавляет к ним метки, которые содержат информацию о зоне, из которой они были загружены.

INVISIBLE - Юмор и мануалы по анонимности!

HIDDEN_PEOPLE - Самый анонимный чат в Telegram!