Windows магия, или как спрятать файлы

sovershenno_sekretnoБывают ситуации, когда необходимо спрятать некое содержимое от любопытных глаз. К примеру, вы не имеете прав администратора на компьютере, но не хотите, чтобы о вашем приватном содержимом узнали родственники или администратор компании.

Входящие данные

У нас есть папка H:\magic\content в ней находятся приватные данные и приложения
content-2012-01-05_16.50.55content_Properties-2012-01-05_16.42.31-crop

Процедура

Копируем любой файл в папку h:\magic, в нашем случае это будет smile.jpg
Ныкаем:
type h:\magic\content\guro_hentai_01.mkv > h:\magic\smile.jpg:guro_hentai_01.mkv
type h:\magic\content\hack_tools.exe > h:\magic\smile.jpg:hack_tools.exe
type h:\magic\content\my_sexy_photo.jpg > h:\magic\smile.jpg:my_sexy_photo.jpg
type h:\magic\content\secret.txt > h:\magic\smile.jpg:secret.txt
Удаляем папку H:\magic\content и видим, что у нас остался только наша картинка smile.jpg и размер его соответствует первоначальному, что никак не выдает наши данные.
magic-2012-01-05_17.00.32magic_Properties-2012-01-05_17.00.43--crop
Достаем:
"%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe" h:\magic\smile.jpg:guro_hentai_01.mkv
Windows_Media_Player-2012-01-05_16.02.58
start h:\magic\smile.jpg:hack_tools.exe (в Windows 7 убрали возможность запуска приложений из альтернативных потоков)
Process_Explorer_-_Sysinternals_www.sysinternals.com_lifesongURANUS-2012-01-05_16.51.31
mspaint h:\magic\smile.jpg:my_sexy_photo.jpg
smile.jpgmy_sexy_photo_-_Paint-2012-01-05_17.05.45
notepad h:\magic\smile.jpg:secret.txt
smile.jpgsecret_-_Notepad-2012-01-05_17.06.41
Можно было обойтись и без файла, используя просто папку h:\magic
type h:\magic\content\guro_hentai_01.mkv > h:\magic:guro_hentai_01.mkv
"%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe" h:\magic:guro_hentai_01.mkv
Весь фокус основывается на использовании альтернативных потоков данных файловой системы NTFS. Есть утилиты, которые позволяют подглядывать в альтернативные потоки, но, от нецелевого любопытства, данный способ вполне может уберечь.
Большинство утилит аудита ПО (SCCM, Audit Pro) просто не умеют с ними работать, следовательно, не видят содержимое и не запятнают вашу репутацию перед начальством.

Популярные сообщения из этого блога

Компьютер просыпается сразу после ухода в спящий режим

Добавление файлов FLAC в библиотеку Windows Media Player