傳送門:
首先來解答一下很多人問得問題:
這個ntfs資料流檔案,也叫alternate data streams,簡稱ads,是ntfs檔案系統的乙個特性之一,允許單獨的資料流檔案存在,同時也允許乙個檔案附著多個資料流,即除了主檔案流之外還允許許多非主檔案流寄生在主檔案流之中,它使用資源派生的方式來維持與檔案相關資訊,並且這些寄生的資料流檔案我們使用資源管理器是看不到的。
2、為什麼ntfs有資料流這個特性?
不過這個原因很奇怪,同樣是ms自己做的東西,"資源管理器都支援不好,還有啥工具能支援好呢?" ,後來再想,也可能是這樣乙個原因:在當時寫有關ntfs檔案系統的資料流儲存的時候很多windows工具沒有相應的更新,同時呢ntfs流的顯示與普通的檔案不一樣,需要使用其他的列舉方式來完成,再有ntfs對廣大普通使用者桌面使用者來說沒有必要去看到,更多的是被專業軟體所使用,即使顯示出來也沒意義。
ok,進入正題,那麼我們今天來分析下ntfs檔案流這個寄生蟲的一些「缺點」:
1.宿主需求,寄生蟲需要宿主才可以繁衍:
2.共存狀態。宿主死亡,寄生蟲隨之死亡。
侷限點突破:
1.宿主需求
2.共存狀態
咱們一次性把這兩個問題解決,首先我們來測試下:
測試1:
一開始我是這樣測試的,輸入命令:echo mstsec>>hiurlife.txt
後來想了下,windows資源管理器是可以隱藏檔案的,而預設的伺服器隱藏檔案是看不見的,也就是說,宿主是可以隱藏的:
解釋:attrib命令的意思,+s是為檔案新增系統檔案屬性,+h是新增隱藏屬性的意思。
反之使用命令attrib -s -h hi 即可顯示檔案:
這邊即使改變了也不會造成寄生蟲的死去:
此方法可行,在一定的程度上保護了咱們的寄生蟲。
但是我這個人吧,有乙個毛病,強迫症,就感覺不舒服,於是就開始了更隱蔽的測試。
測試3:
我重新理了一下思路,既然是無宿主,那麼就順著這個路線開始慢慢的推進,那就試試無宿主自體繁衍:
正常宿主寄生命令:echo gh0stkey>>www:hiourlife.txt
www是宿主檔案,無宿主就刪掉www唄~
修改後的命令:echo gh0stkey>>:hiourlife.txt
可以看見,無宿主寄生,完全是可以的。測試3成功。
echo gh0stkey>>/:hiourlife.txt
實際測試:
可以應用於許可權維持、bypasswaf等等(功能的靠你們自己的思維分散了)。除非是專殺方面的工具,不然沒辦法檢測的出來檔案流。而且據我了解一般的windowsserver的運維是不怎麼了解這方面的,倒是取證那一塊有這一方面的介紹,所以相對是安全隱蔽的。
治不好的垃圾簡訊,是「寄生蟲」還是「益生菌」?
垃圾簡訊,就像一塊無法 的牛皮癬一樣,一直牢牢的長在我們的手機之上。從移動手機開始興起之時,垃圾簡訊就已經長了出來,無時無刻不在騷擾著我們。它們與騷擾 一起,構成了當前最遭厭惡的 頑疾 為何垃圾簡訊會一直存在而無法被 垃圾簡訊究竟是依靠著什麼而一直存活著的呢?垃圾簡訊 進化史 垃圾簡訊和騷擾 是現代...
寄生式繼承
寄生式繼承是原型繼承密切相關的一種思路,寄生式繼承的思路與寄生建構函式和工廠模式類似,即建立乙個僅用於封裝繼承過程 的函式,該函式在內部以某種方式來增強物件,function object o f.prototype o f.name shalio function createanother or...
寄生組合繼承
核心 通過寄生方式,砍掉父類的例項屬性,這樣,在呼叫兩次父類的構造的時候,就不會初始化兩次例項方法 屬性,避免的組合繼承的缺點 既然要實現繼承定義乙個父類 定義乙個動物類 function animal name super.prototype animal.prototype 例項作為子類的原型 ...