Альтернативные потоки данных
Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.
В файловой системе NTFS файл, кроме основных данных, может также быть связан с одним или несколькими дополнительными потоками данных. При этом дополнительный поток может быть произвольного размера, в том числе может превышать размер основного файла.
В 1993 году Microsoft выпустила первую версию операционной системы Windows NT, в которой была реализована файловая система NTFS. Эта файловая система может работать с несколькими именованными потоками, получившими название «Альтернативные потоки данных». Поддержка ADS была реализована для совместимости с уже существующими операционными системами, позволяющими хранить метаданные для файлов (например, файловая система HFS). В операционной системе Windows 2000 альтернативные потоки данных используются для хранения таких атрибутов, как сведения об авторе, название и иконка файла. Начиная с Service Pack 2 для Windows XP, Microsoft представила службу Attachment Execution Service, которая сохраняет в альтернативных потоках данных подробную информацию о происхождении загруженных файлов в целях повышения безопасности.
Операционные системы Windows, начиная с Windows NT, позволяют получать доступ к ADS через API, а также через некоторые утилиты командной строки. Однако альтернативные потоки данных игнорируются большинством программ, включая Windows Explorer и консольную команду DIR. Windows Explorer позволяет копировать альтернативные потоки и выдает предупреждение, если целевая файловая система их не поддерживает. Но при этом Windows Explorer не подсчитывает размер и не отображает список альтернативных потоков. Команда DIR была обновлена в операционной системе Windows Vista: в команду добавлен флаг «/R» для построения списка ADS.
Отсутствие полноценной поддержки ADS со стороны операционной системы и приложений, а также других файловых систем может приводить к утере информации, хранящейся в альтернативных потоках (например, при копировании файла на том с FAT или при отправке его по электронной почте). Надо также принимать во внимание, что ADS являются потенциальными «дырами» в безопасности компьютера. Возможность сокрытия в альтернативных потоках данных любой информации достаточно широко используется вредоносными программами для маскировки своего присутствия в системе.
Ссылки
- How To Use NTFS Alternate Data Streams (англ.) (недоступная ссылка). Microsoft Support (21 ноября 2006). Дата обращения: 21 декабря 2020. Архивировано 3 апреля 2015 года.
- File Streams (Local File Systems) (англ.). Microsoft Docs | Windows Developer (31 мая 2018). Дата обращения: 21 декабря 2020. Архивировано 21 января 2020 года.
- Альтернативные потоки данных NTFS. SecurityLab.ru (8 марта 2005). Дата обращения: 21 декабря 2020. Архивировано 3 июля 2017 года.
- Mark Russinovich. Streams — программа для работы с потоками NTFS (англ.). Microsoft Docs | Sysinternals (4 июня 2016). Дата обращения: 21 декабря 2020. Архивировано 5 декабря 2020 года.
- 5 Appendix A: NTFS Alternate Streams (англ.). Microsoft Docs | Open Specification (14 февраля 2019). Дата обращения: 21 декабря 2020. Архивировано 24 мая 2019 года.