wiki Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.
Рассмотрим один из альтернативных потоков данных Zone.Identifier. Файловая система NTFS может содержать в себе несколько альтернативных потоков данных и содержать дополнительную информацию про файл. Мы разберем только файл с секцией Zone.Identifier в которой указан идентификатор зоны передачи ZoneId, он принимает значения от "0" до "4", а так же свойство ZoneId определяет зону безопасности URL-адреса и помечает загрузку в соответствии с соответствующим уровнем доверия. Код ниже показывает перечисление URLZONE и соответствующие значения:
По данным Microsoft, они содержат все предопределенные зоны, используемые Windows Internet Explorer:
При загрузке файла браузеры присваивают идентификатор зоны ZoneId. Посмотрим интересующие нас файлы:
в ответ получим
нас интересует - когда не хороший человек скачал методом создания pdf файла и откуда
и результат:
Вывод: мы получили искомое. Так же есть программы автоматизирующая данный процесс - AlternateStreamView и ещё NTFS Stream Explorer220
Список всех доступных потоков и связанных свойств
Этот вывод показывает больше информации, чем нам действительно нужно, поэтому мы можем отформатировать его в столбцы и сделать его более понятным для просмотра с помощью следующей команды:
Мы можем исследовать данные, содержащиеся в потоке Zone.Identifier, один из вариантов - запустить Powershell и выполнить команду Get-Content , как показано ниже:
Структура потока также может меняться в зависимости от приложения, выполнявшего загрузку. В результате нашего анализа мы обнаружили следующие свойства:
На форуме статья - не обращайте внимание на название Подборка трюков для Windows NTFS [Часть 1] она то же про альтернативные потоки данных,
прям по следам статьи что я указал выше, но с уклоном hack.
СОФТ - Альтернативный поток данных (Zone.Identifier) в NTFS
Рассмотрим один из альтернативных потоков данных Zone.Identifier. Файловая система NTFS может содержать в себе несколько альтернативных потоков данных и содержать дополнительную информацию про файл. Мы разберем только файл с секцией Zone.Identifier в которой указан идентификатор зоны передачи ZoneId, он принимает значения от "0" до "4", а так же свойство ZoneId определяет зону безопасности URL-адреса и помечает загрузку в соответствии с соответствующим уровнем доверия. Код ниже показывает перечисление URLZONE и соответствующие значения:
Код:
typedef enum tagURLZONE {
URLZONE_INVALID = -1,
URLZONE_PREDEFINED_MIN = 0,
URLZONE_LOCAL_MACHINE = 0,
URLZONE_INTRANET,
URLZONE_TRUSTED,
URLZONE_INTERNET,
URLZONE_UNTRUSTED,
URLZONE_PREDEFINED_MAX = 999,
URLZONE_USER_MIN = 1000,
URLZONE_USER_MAX = 10000
} URLZONE;- URLZONE_INVALID — это недопустимая зона, которая используется только в том случае, если подходящая зона недоступна.
- URLZONE_LOCAL_MACHINE — эта зона используется для контента, который уже находится на локальном компьютере пользователя.
- URLZONE_INTRANET — эта зона используется для контента, найденного в интрасети.
- URLZONE_TRUSTED — эта зона используется для доверенных веб-сайтов в Интернете.
- URLZONE_INTERNET — эта зона предназначена для контента из Интернета, за исключением веб-сайтов, перечисленных в доверенных или ограниченных зонах.
- URLZONE_UNTRUSTED — эта зона используется для ненадежных веб-сайтов.
ZoneId=0: Local machine (PC local)
ZoneId=1: Local intranet (LAN)
ZoneId=2: Trusted sites (secure sites)
ZoneId=3: Internet (internet)
ZoneId=4: Restricted sites (Dangerous sites)
ZoneId=1: Local intranet (LAN)
ZoneId=2: Trusted sites (secure sites)
ZoneId=3: Internet (internet)
ZoneId=4: Restricted sites (Dangerous sites)
Код:
Win+R
cmd
//мой путь к интересующим файлам
// команда dir с ключем /R отображение альтернативных потоков данных этого файла
C:\Users\Toor\Downloads>dir /Rнас интересует - когда не хороший человек скачал методом создания pdf файла и откуда
Код:
C:\Users\Toor\Downloads>Notepad.exe [Шпаргалка] Разведка и аудит сервера. yg140.servegame.com.pdf:Zone.IdentifierРассмотрим использование команд Windows PowerShell
В примере мы используем команду Get-Item , чтобы вывести список всех доступных потоков для определенного VHD-файла, хранящегося в папке «Downloads». Этот файл был загружен с помощью google chrome:
Код:
Get-Item -path C:\Users\anonymous\Downloads\FAT.vhd -stream *Этот вывод показывает больше информации, чем нам действительно нужно, поэтому мы можем отформатировать его в столбцы и сделать его более понятным для просмотра с помощью следующей команды:
Код:
Get-Item -path C:\Users\anonymous\Downloads\FAT.vhd -stream * | Select-Object -Property Filename, Stream, LengthМы можем исследовать данные, содержащиеся в потоке Zone.Identifier, один из вариантов - запустить Powershell и выполнить команду Get-Content , как показано ниже:
Код:
C:\Users\anonymous\Downloads> Get-Content -path C:\Users\anonymous\Downloads\fat.vhd -stream Zone.IdentifierСтруктура потока также может меняться в зависимости от приложения, выполнявшего загрузку. В результате нашего анализа мы обнаружили следующие свойства:
- AppZoneId
- IP-адрес хоста
- URL-адрес хоста
- LastWriterPackageFamilyName
- ReferrerUrl
- идентификатор зоны
И пока мы используем PowerShell то как положено сразу можем посчитать контрольную сумму ;-)
P:S
Есть ещё интересная статья (копировать её не вижу смысла) Альтернативные потоки данных в NTFS или как спрятать блокнот
Код:
C:\Users\anonymous\Downloads> get-filehash -alg sha1 -path C:\Users\anonymous\Downloads\FAT.vhdP:S
На форуме статья - не обращайте внимание на название Подборка трюков для Windows NTFS [Часть 1] она то же про альтернативные потоки данных,
прям по следам статьи что я указал выше, но с уклоном hack.
СОФТ - Альтернативный поток данных (Zone.Identifier) в NTFS
Последнее редактирование модератором:
