Einem Link auf Orthy´s folgend bin ich bei der Computersicherheit der Uni Stuttgart gelandet. Dort werden Tools zum Checken "alternativer Datenstrome in NTFS-Dateisystemen" angeboten. Alternativ? Wie alternativ? Wozu alternativ?
http://cert.uni-stuttgart.de/forensics/
T-Rex
Tilo Nachdenklich
„Was sind alternative Datenströme in NTFS-Dateisystemen?“
Hi,
ich erinnere mich jatzt nicht an die genaue Syntax.
Du kannst ab NTFS 5 verschiedene Kanäle benutzen, um eine Datei zu beschreiben.
z.B. kannst Du eine Datei anlegen und über einen alternativen Kanal (beliebig große) Daten in die Datei schreiben. Im Explorer hat die Datei eine Größe von 0 Bytes, obwohl Unmengen an Daten drin stehen können.
Ist relativ sicher, weil Du den Namen des Datenstroms brauchst, um an die Daten ranzukommen. Ist also ganz gut für sensible Daten geeignet. Du mußt nur verhindern, daß der User 0-Byte-Files löscht.
Rika
Tilo Nachdenklich
„Was sind alternative Datenströme in NTFS-Dateisystemen?“
Der Syntax lautet Dateiname::AlternativerName und funzte auch schon auch NTFS 4.
Und es wird vor allem unter Win2K,XP und 2K3 dazu benutzt, solche Sachen wie Ersteller, Kommentare und Keys für EFS zu speichern. Und von Hackern, um ihre Spuren zu verwischen.
P.S.: Kennt jemand was, mit dem man die Namen der alternativen Datenströme zu einer Datei herausfinden kann?
thomas woelfer
Rika
„Der Syntax lautet Dateiname::AlternativerName und funzte auch schon auch NTFS 4....“
es gibt eine api zum enumerieren, aber erst ab 2003 srv.
WM_FYI
Tilo Nachdenklich
Nachtrag zu: „Was sind alternative Datenströme in NTFS-Dateisystemen?“
Doof. Nur einen Klick weiter hätte ich das Info gefunden:
http://www.heysoft.de/nt/dntfs-ads.htm
thomas woelfer
Tilo Nachdenklich
„Was sind alternative Datenströme in NTFS-Dateisystemen?“
versuch einfach mal:
notepad abc.txt:1
WM_FYI
Amenophis IV
Tilo Nachdenklich
„Was sind alternative Datenströme in NTFS-Dateisystemen?“
