NTFS隐写

------------恢复内容开始------------

总结下以前做题遇到的有趣的知识点，

Buuctf里的杂项漂流的马里奥，中NTFS隐写到NTFS在渗透过程的妙用。

NTFS交换数据流（Alternate DataStreams，简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流。通俗的理解，就是其它文件可以“寄宿”在某个文件身上。利用ADS数据流，我们可以做很多有趣的事情，同时对于企业安全来说这类问题也隐藏着巨大的风险。

利用：隐藏文件：

如下：输入 echo "hello world " -> 3.txt:flag.txt 而文件夹也找不到flag.txt的，

 

 而文件夹也找不到flag.txt的

 

 

我们利用dir/r 命令查看，发现了隐藏在3.txt后面的flag.txt

 

实验notepad 3.txt:flag.txt 可以进行编辑：

 

 

此类文件可以通过直接删除宿主文件清除

2.单独的ADS数据流文件

这类可以通过命令：echo hide > key.txt 来创建：

 

 

 

 

 创建之后在目录下无文件，也没有依赖的宿主文件，并且此类文件在当前目录命令行下是无法查看的，因为它是依赖于文件夹的ADS数据流文件：

因此需要退到上级目录进行查看：

 

可以用命令：

notepad test:key.txt 

 来进行编辑：

 

 

因此windows下的隐写还是蛮有意思的。

当然还有更有趣的用途，这种隐写在渗透中间也能用到，具体看下面的文章：

https://www.freebuf.com/articles/terminal/195721.html

 

 

 

 

 

 

 

------------恢复内容结束------------