NTFS Alternate Data Streams (ADS) 完全指南<\/h1>

1. ADS基础概念<\/h2>

ADS (Alternate Data Streams) 是NTFS磁盘格式的一个特性：<\/p>

在NTFS文件系统下，所有文件都是一个数据流<\/li>
默认都是未命名的流（主数据流）<\/li>

NTFS允许创建额外的命名数据流<\/li> <\/ul>

2. NTFS文件流命名规范<\/h2>

文件的完整名称格式：<\/p>

<filename>:<stream name>:<stream type>
<\/code><\/pre>

文件名：主文件名<\/li>
流名称：自定义的流名称<\/li>
类型：流类型（如$DATA）<\/li>
<\/ul>
例如：<\/p>

test.txt<\/code> 实际上是 test.txt::$DATA<\/code><\/li>
可以创建如 test.txt:secret:$DATA<\/code> 的命名流<\/li>
<\/ul>
3. ADS基本操作<\/h2>
创建ADS<\/h3>
使用重定向操作符创建命名流：<\/p>
echo<\/span> "隐藏内容"<\/span> > test.txt:secret
<\/span><\/span><\/code><\/pre>查看ADS<\/h3>
使用DIR命令查看流：<\/p>
DIR<\/span> \/R
<\/span><\/span><\/code><\/pre>这会显示文件及其所有数据流。<\/p>
删除ADS<\/h3>
使用PowerShell删除指定流：<\/p>
Remove-Item -Path test.txt -Stream secret
<\/span><\/span><\/code><\/pre>4. ADS高级操作<\/h2>
文件夹ADS<\/h3>
ADS特性同样适用于文件夹：<\/p>
echo<\/span> "文件夹隐藏内容"<\/span> > myfolder:secret
<\/span><\/span><\/code><\/pre>Windows API操作<\/h3>
使用Windows API操作ADS：<\/p>

CreateFile<\/code> 支持ADS操作<\/li>
可以使用 FindFirstStreamW<\/code> 和 FindNextStreamW<\/code> 枚举$DATA类型的流<\/li>
<\/ul>
读取ADS内容<\/h3>
使用重定向读取：<\/p>
more < test.txt:secret
<\/span><\/span><\/code><\/pre>5. ADS执行技术<\/h2>
执行PE程序<\/h3>
使用wmic执行ADS中的PE程序：<\/p>
wmic process call create "D:\path\to\file.exe:streamname"<\/span>
<\/span><\/span><\/code><\/pre>注意：必须使用绝对路径。<\/p>
执行DLL<\/h3>
使用control执行ADS中的DLL：<\/p>
control.exe c:\test\test.dll:test
<\/span><\/span><\/code><\/pre>不需要绝对路径。<\/p>
使用rundll32<\/h3>
rundll32也支持ADS：<\/p>
rundll32 c:\test\test.dll:test,EntryPoint
<\/span><\/span><\/code><\/pre>使用Forfiles<\/h3>
遍历执行命令：<\/p>
forfiles \/C "cmd \/c type @file"<\/span>
<\/span><\/span><\/code><\/pre>使用\/M参数指定搜索掩码：<\/p>
forfiles \/M *.txt \/C "cmd \/c type @file"<\/span>
<\/span><\/span><\/code><\/pre>使用AppVLP<\/h3>
AppVLP也可以用于执行ADS中的程序。<\/p>
6. 防御与检测<\/h2>
ADS检测方法<\/h3>

使用DIR \/R<\/code>命令<\/li>
使用PowerShell的Get-Item<\/code>和Get-Content<\/code>命令<\/li>
使用专门的ADS检测工具<\/li>
<\/ul>
ADS删除方法<\/h3>

如前所述使用PowerShell的Remove-Item<\/code><\/li>
将文件复制到非NTFS文件系统（如FAT32）会自动去除ADS<\/li>
使用type<\/code>命令将主数据流重定向到新文件<\/li>
<\/ul>
7. 实际应用场景<\/h2>

数据隐藏：将敏感信息存储在ADS中<\/li>
恶意软件：用于隐藏恶意代码<\/li>
文件元数据：存储额外文件信息<\/li>
版本控制：存储文件的不同版本<\/li>
<\/ul>
8. 安全注意事项<\/h2>

ADS可能被用于恶意目的，如隐藏恶意软件<\/li>
常规杀毒软件可能不扫描ADS内容<\/li>
文件完整性检查应考虑ADS<\/li>
跨文件系统传输时ADS可能丢失<\/li>
<\/ul>
9. 参考工具<\/h2>

Streams (Sysinternals工具)<\/li>
LADS (List Alternate Data Streams)<\/li>
NTFS Stream Explorer<\/li>
PowerShell ADS相关cmdlet<\/li>
<\/ul>
通过掌握这些知识，您可以充分利用NTFS ADS特性，同时也能有效防御潜在的恶意使用。<\/p>

NTFS Alternate Data Streams (ADS) 完全指南<\/h1>

3. ADS基本操作<\/h2>

4. ADS高级操作<\/h2>

5. ADS执行技术<\/h2>

使用AppVLP<\/h3> AppVLP也可以用于执行ADS中的程序。<\/p>

6. 防御与检测<\/h2>

9. 参考工具<\/h2> Streams (Sysinternals工具)<\/li> LADS (List Alternate Data Streams)<\/li> NTFS Stream Explorer<\/li> PowerShell ADS相关cmdlet<\/li> <\/ul> 通过掌握这些知识，您可以充分利用NTFS ADS特性，同时也能有效防御潜在的恶意使用。<\/p>

使用AppVLP<\/h3>
AppVLP也可以用于执行ADS中的程序。<\/p>

9. 参考工具<\/h2>

Streams (Sysinternals工具)<\/li>
LADS (List Alternate Data Streams)<\/li>
NTFS Stream Explorer<\/li>
PowerShell ADS相关cmdlet<\/li> <\/ul>
通过掌握这些知识，您可以充分利用NTFS ADS特性，同时也能有效防御潜在的恶意使用。<\/p>