Windows магия, или как спрятать файлы
![sovershenno_sekretno sovershenno_sekretno](http://lh4.ggpht.com/-t3y0T1KsIGw/TwV8dQjBnlI/AAAAAAAAD7Y/Z-9vva4vLII/sovershenno_sekretno_thumb%25255B1%25255D.png?imgmax=800)
Входящие данные
У нас есть папка H:\magic\content в ней находятся приватные данные и приложения![content-2012-01-05_16.50.55 content-2012-01-05_16.50.55](http://lh3.ggpht.com/-XfuUdAN8WQg/TwV53Qvcw2I/AAAAAAAAD6s/IU5auVSEoqc/content-2012-01-05_16.50.55_thumb%25255B5%25255D.png?imgmax=800)
![content_Properties-2012-01-05_16.42.31-crop content_Properties-2012-01-05_16.42.31-crop](http://lh6.ggpht.com/-mHzN2OOZoQ0/TwV6iZ63aTI/AAAAAAAAD64/KuAdpxfqj6U/content_Properties-2012-01-05_16.42.31-crop_thumb.png?imgmax=800)
Процедура
Копируем любой файл в папку h:\magic, в нашем случае это будет smile.jpgНыкаем:
type h:\magic\content\guro_hentai_01.mkv > h:\magic\smile.jpg:guro_hentai_01.mkv
type h:\magic\content\hack_tools.exe > h:\magic\smile.jpg:hack_tools.exe
type h:\magic\content\my_sexy_photo.jpg > h:\magic\smile.jpg:my_sexy_photo.jpg
type h:\magic\content\secret.txt > h:\magic\smile.jpg:secret.txt
Удаляем папку H:\magic\content и видим, что у нас остался только наша картинка smile.jpg и размер его соответствует первоначальному, что никак не выдает наши данные.
![magic-2012-01-05_17.00.32 magic-2012-01-05_17.00.32](http://lh5.ggpht.com/-P0jaM3CqYKU/TwV55WtSPdI/AAAAAAAAD5g/QfuCEHDwY5o/magic-2012-01-05_17.00.32_thumb%25255B2%25255D.png?imgmax=800)
![magic_Properties-2012-01-05_17.00.43--crop magic_Properties-2012-01-05_17.00.43--crop](http://lh3.ggpht.com/-IEK_jIvCPxA/TwV6j_1KT-I/AAAAAAAAD7E/XIacBRtFByc/magic_Properties-2012-01-05_17.00.43--crop_thumb.png?imgmax=800)
Достаем:
"%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe" h:\magic\smile.jpg:guro_hentai_01.mkv
![Windows_Media_Player-2012-01-05_16.02.58 Windows_Media_Player-2012-01-05_16.02.58](http://lh4.ggpht.com/-RjZIibbnU6g/TwV566wb5OI/AAAAAAAAD5w/uyjhbIgpkQw/Windows_Media_Player-2012-01-05_16.02.58_thumb%25255B3%25255D.jpg?imgmax=800)
start h:\magic\smile.jpg:hack_tools.exe (в Windows 7 убрали возможность запуска приложений из альтернативных потоков)
![Process_Explorer_-_Sysinternals_www.sysinternals.com_lifesongURANUS-2012-01-05_16.51.31 Process_Explorer_-_Sysinternals_www.sysinternals.com_lifesongURANUS-2012-01-05_16.51.31](http://lh6.ggpht.com/-PsbmjJSch3s/TwV5884xD5I/AAAAAAAAD6A/fTuf5BMRWp8/Process_Explorer_-_Sysinternals_www.sysinternals.com_lifesongURANUS-2012-01-05_16.51.31_thumb%25255B2%25255D.png?imgmax=800)
mspaint h:\magic\smile.jpg:my_sexy_photo.jpg
![smile.jpgmy_sexy_photo_-_Paint-2012-01-05_17.05.45 smile.jpgmy_sexy_photo_-_Paint-2012-01-05_17.05.45](http://lh6.ggpht.com/-p-YIAD0BrrE/TwV5-U0Hh9I/AAAAAAAAD6M/oH7QKpUEoKU/smile.jpgmy_sexy_photo_-_Paint-2012-01-05_17.05.45_thumb%25255B1%25255D.jpg?imgmax=800)
notepad h:\magic\smile.jpg:secret.txt
![smile.jpgsecret_-_Notepad-2012-01-05_17.06.41 smile.jpgsecret_-_Notepad-2012-01-05_17.06.41](http://lh5.ggpht.com/-BC1BJDimNIg/TwV5_8MoXMI/AAAAAAAAD6g/idGGFD5q9Og/smile.jpgsecret_-_Notepad-2012-01-05_17.06.41_thumb%25255B1%25255D.png?imgmax=800)
Можно было обойтись и без файла, используя просто папку h:\magic
type h:\magic\content\guro_hentai_01.mkv > h:\magic:guro_hentai_01.mkv
"%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe" h:\magic:guro_hentai_01.mkv
Весь фокус основывается на использовании альтернативных потоков данных файловой системы NTFS. Есть утилиты, которые позволяют подглядывать в альтернативные потоки, но, от нецелевого любопытства, данный способ вполне может уберечь.
Большинство утилит аудита ПО (SCCM, Audit Pro) просто не умеют с ними работать, следовательно, не видят содержимое и не запятнают вашу репутацию перед начальством.