1、什么是NTFS數據流文件？ ?????要了解NTFS流文件之前，你應該對NTFS文件系統有一定的了解，?NTFS是微軟Windows?NT內核的系列操作系統支持的、一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS比FAT文件系統更穩定，更安全，功能也更為強大。 這個NTFS數據流文件，也叫Alternate?data?streams，簡稱ADS，是NTFS文件系統的一個特性之一，允許單獨的數據流文件存在，同時也允許一個文件附著多個數據流，即除了主文件流之外還允許許多非主文件流寄生在主文件流之中，它使用資源派生的方式來維持與文件相關信息，并且這些寄生的數據流文件我們使用資源管理器是看不到的。 2、為什么NTFS有數據流這個特性？ 原意是為了和Macintosh的HFS文件系統兼容而設計的，使用這種技術可以在一個文件資源里寫入相關數據(并不是寫入文件中)，而且寫進去的數據可以使用很簡單的方法把它提取出來作為一個獨立文件讀取，甚至執行。? 3、為什么資源管理器里面看不到文件所帶的數據流文件呢？? 從網上找來的原因是：我們之所以無法在系統中看到NTFS數據流文件，是因為Windows中的很多工具對數據流文件的支持并不是很好，就像“資源管理器”，我們無法在“資源管理器”中看到有關數據流文件的變化。? 不過這個原因很奇怪，同樣是MS自己做的東西，"資源管理器都支持不好，還有啥工具能支持好呢？"?，后來再想，也可能是這樣一個原因：在當時寫有關NTFS文件系統的數據流存儲的時候很多WINDOWS工具沒有相應的更新，同時呢NTFS流的顯示與普通的文件不一樣，需要使用其他的枚舉方式來完成，再有NTFS對廣大普通用戶桌面用戶來說沒有必要去看到，更多的是被專業軟件所使用，即使顯示出來也沒意義。? 4、如何查看，創建，刪除NTFS流文件？ NTFS流文件分兩種情況，一種是附著于宿主文件，一種是單獨的數據流文件。這里將介紹兩種編輯流文件的方法，一是系統自帶的命令，一是使用工具。? 1)??系統命令編輯流文件實例： a)?創建單獨的數據流文件 命令行下使用下面的命令：echo?"this?is?a?stream?file"?>?:test1.txt OK，這樣創建了的流對于dir或者資源瀏覽器是完全不可見的，就是說是隱藏的，只有使用notepad?:test1.txt可以查看。而即使我們知道了它的存在也無法刪除，系統del命令不支持刪除流文件。 b)?關聯數據流文件 首先在C:\下創建一個主文件，打開記事本輸入this?is?the?main?file保存為test.txt，下面我們為它關聯一個流文件。 命令行下輸入：echo?"this?is?a?stream?file"?>?test.txt:stream.txt”。這樣我們就創建了一個名為stream.txt，內容為“this?is?a?stream?file”的數據流文件，并與宿主文件test.txt進行了關聯。當然你是沒法在C:\下找到steam.txt文件的，同時查看宿主文件test.txt文件，內容依然沒變，但是如果你前后關注下這個宿主文件大小，你會發現變化的。同樣只能通過命令行讓它現形，輸入：notepad?test.txt:stream.txt,是不是打開了你剛創建的流文件了，哈哈，我是看到了。 2)?使用NTFS?Streams?info工具： 經過前面的操作，可以發現系統命令對NTFS數據流文件的支持還是很不好的，那么我們使用工具吧，NTFS?Streams?info，通過它你可以查看，創建，刪除流文件。 a)?查看流文件 想知道你系統中到底哪些文件帶著流嗎？打開NTFS?Streams?info，在左窗口選擇你要查看目錄，切換到工具界面中間view標簽頁，單擊start?按鈕，右邊窗口將以紅色標記顯示帶著流的文件。如下圖： 同樣在訪問文件的過程中，也可以用工具processmonitor查看，如果文件帶了數據流文件，會被顯示出來，如C:\readme.html:UnNamed，表示readme.html文件帶了隱藏的數據流文件。 b)?創建流文件 右窗口選擇一文件，下面我們為該文件關聯數據流文件:?選擇菜單Folder--Create?new?Ads?from?file?，這時你就可以將任意文件作為流文件關聯在一個文件后面。 c)?刪除流文件 使用NTFS?Streams?info查看到某些文件有帶流文件后，再選擇菜單：?Folder--Remove?ADS或者Batch?Removeing即可刪除對應的流文件。 還有一種刪除方法，因為只有NTFS文件系統支持數據流文件，所以將文件轉移到FAT文件系統下，所帶的數據流文件自動就會被刪除掉了。 5、NTFS流文件如何執行，數據流病毒如何防范？ 雖然數據流可以插入，但你不能直接執行數據流文件，所以很多殺毒軟件對這數據流病毒的支持不太好。可是病毒制作者常常能把病毒代碼和執行的代碼--(簡單的調用和處理的命令)追加到流文件中，就有破壞系統的可能。 具體怎么執行的，那就需要好好分析下病毒技術了，鄙人才疏學淺，沒整明白，下面是一種比較常見到的數據流文件執行方法:是直接在注冊表中的run鍵下添加數據流文件的完整路徑:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，建立鍵值"123"?=?%filepath%:?%streamName%，下次系統啟動時就會自動運行該隱藏文件。 對于沒有使用過蘋果產品的我來說，NTFS數據流文件的好處，我沒發現，說說壞處吧，正如前面提到的，因為任何文件都可以作為數據流文件，因為NTFS流文件的隱藏功能，這正好被投機倒把的分子利用了，做啥？搞破壞，還做的神不知鬼不覺。很多惡意軟件可以使用數據流文件系統來隱藏惡意代碼以逃避病毒掃描程序的檢查。 那么如何防范呢？ a)?常見到的自解壓文件，不要雙擊直接運行，可以在自解壓文件上點擊鼠標右鍵，選擇“用Winrar打開”，如果發現其中的文件夾是空的，那么就要留個心眼了，很可能這就是一個數據流***陷阱。? b)?不管殺毒軟件是不是能查殺NTFS數據流***，***程序運行后，在內存中還是會還原出來的，一般的殺毒軟件都帶有內存監控功能，可以將***程序在內存中攔截下來。因此，勤升級殺毒軟件也是防范NTFS數據流***比較有效的辦法。 也有殺毒軟件利用數據流的特性,如卡巴斯基掃描過文件之后,就以數據流的形式標記為白名單,這樣卻導致用戶的硬盤空間被大量占用了,所謂的卡巴斯基吃硬盤就是這樣,造成多少用戶的困擾阿.

轉載于:https://blog.51cto.com/haobinnan/168456

總結

以上是生活随笔為你收集整理的谈谈NTFS数据流文件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。