压缩包解压后直接被远控?NTFS备份数据流隐藏木马了解一下

相关知识

NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息。

前言

大家可能听说过以下几种文件隐藏方法(参考):

  1. 用“回收站”隐藏文件

  2. 图标变为“回收站”图标

  3. 不显示隐藏文件

  4. 隐藏个人驱动器

但还有一种方法,知道的人很少,它不可以在文件管理中被查看,它就是NTFS(备份)数据流文件,它只能在NTFS文件系统中生成,或者说只能在主流的Windows系统中生成。我们系统中的每一个文件,都相当于一个数据流文件,我们可以往这个数据流文件中,写入多个备份数据流文件(每一个文件看作主数据流,每个主数据流可以附加多个备份数据流),而这个备份数据流文件呢,就是不能被文件系统所显示的,接下来我们就一起学习一下如何生成或者创建一个具有备份数据流的文件。

基本学习

首先来举一个最简单的例子,我们在一个文本中附加另外一个文本,这里我新建一个文本将它的名字命名为1,然后我们在里面输入一些内容比如“猪哥真帅”

img

然后我们保存一下,查看一下这个文本的属性,大小是12个字节,占用空间零字节

img

现在我们把这个文本1移动到C盘,我们要从里面添加一个备份数据流文件,首先打开一个管理员权限的CMD窗口,然后呢使用CD这条命令CD到C盘的根目录,然后输入NOTEPAD.EXE,输入我们新建文档的名称1.txt,输入我们新的备份数据流文件的名称,就是一个新的名称,比如输入一个PIGYYDS,然后回车运行

CD ..\..
​
NOTEPAD.EXE 1.txt:PIGYYDS

img

运行之后弹出一个新窗口,说找不到文件:C:\1.txt:PIGYYDS.是否要创建新文件,我们点击是,然后在这个文本窗口中,我们输入新的内容:猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼猪哥牛逼

大概一百个字,保存一下,然后关掉这个窗口,回到C盘根目录查看一下

imgimg

除了原来的1.txt并没有多出来我们刚才创建的新文本,而我们已经开启了显示隐藏文件和显示操作系统保护的文件,这一个文件实际上它就附加在这个1.txt上面,我们看一下这个文本的属性,原来的是12个字节,占用空间零字节,现在看到占用空间显示1KB

img

我们打开这个文本看一下 里面还是只有猪哥真帅四个字,并没有我们刚才输入的猪哥牛逼这些字,所以呢它是一个隐藏的备份数据流文件。

img

那么怎么查看这个数据的文件呢?我们只需要在CMD的命令中再次运行一下刚才我们输入的这个命令回车运行:

NOTEPAD.EXE 1.txt:PIGYYDS

BINGO!出来了它出来了!

img

惊不惊喜,意不意外?

这样就可以打开隐藏的这个备份数据流文本了,而且一个文件中不只可以附加一个数据的文件,我们可以附加很多个,只需要这个名字不同就可以,比如说:

NOTEPAD.EXE 1.txt:PIGYYDS

NOTEPAD.EXE 1.txt:猪哥牛皮

NOTEPAD.EXE 1.txt:我爱猪哥

NOTEPAD.EXE 1.txt:烤猪真香

这样子就可以多次隐藏不一样的文本,要打开的时候只需要输入对应的命令即可。

这是最简单的一个例子,我们接下来举一些高端的例子

深入学习

现在有一张图片和一个视频,我要把这个图片附加到这个视频里面去,或者我要把这个视频附加到这个图片里面去。

img

回到CMD中输入:

type 1.mp4 > 1.png:123

1.png:承载备份数据流文件的名称,也就是图片

123:备份数据流名称

这条命令就是将类型为1.mp4的这个文件附加到1.png这张图片里面,备份数据流的名称是123,回车运行。

如果视频比较大,写入就要等一会,写入完成后这个视频就实际上已经附加到这张图片里面了。

现在将视频删除,然后看一下这张图片的属性。

img

它的大小是426KB,但是占用空间是6.11MB,多了的占用空间就是这个视频。

那么我们怎么去查看这个视频呢?因为当前它是一个不可见的文件。

接下来我们回到CMD中,输入:

expand 1.png:123 fancypig.mp4

格式:expand 承载备份数据流文件的名称:备份数据流名称 释放出来的文件名称(释放出来的文件名称可自定义)

然后回车运行

img

它提示:

已经将 1.png:123 复制到 fancypig.mp4。 1.png:123: 复制了 6205179 字节。

我们回到C盘根目录看一下,我们看到多出来了一个视频文件:fancypig.mp4

img

打开可以正常播放,这就是从1.png里面剥离出来的那个视频

但这只是剥离出来的,并没有删除图片里的视频,只是相当于拷贝了一份在C盘,图片大小仍然是不正常的

那么怎么去查看和删除这个数据流文件呢?方法适用于所有格式

不过首先要重温一下:

我们可以将图片添加到视频中,将图片添加到文本中,甚至可以将图片添加到一个文件夹上面。

比如说我们将这张图片添加到Windows文件夹

输入:

type 1.png > Windows:1233

这张图片就附加到了这个Windows文件夹上面

剥离:

expand Windows:1233 123.png

查看:

我们输入:

dir /r

就可以看见了,$DATA是备份数据流文件的标识

接下来就是删除了,需要用到一个特殊的软件AlternateStreamView,有很多人并不知道

下载链接:https://pan.iculture.cc/s/V3ZJiK

打开这个软件,选择一下要扫描备份数据流的文件的一个分区,或者是指定一个文件夹,选择C盘,扫描的过程中可以随时点击左上角的stop暂停,这是扫描出来一些备份数据流的文件,这里可以看到文件的原名,以及备份数据流的文件的名称,以及它的大小

我们可以选中这个备份数据流的文件,然后呢右键选择第二个选项删除掉,这个备份数据流文件就被删除了

你可能会在扫描的时候发现,有文件的stream name有Zone.Identifier开头的,这些数据流文件呢,就是这个文件的区域标识符,是有作用的,不能随便去删除,可能会导致安装包打不开等问题

好的,那么现在我们已经学会了如何创建和附加一个备份数据流的文件,以及它们的查看和删除,但是用法永远不止这些(藏学习资料),支持的格式呢也不止,大家可以去慢慢的实验~

实践开始

以下摘自:隐形的敌人——NTFS数据流木马

NTFS数据流原理看似很复杂,但是利用起来却很简单,这里我们要用到一款使用率极高的软件Winrar,用它将NTFS数据流打造成最恐怖的黑客武器。
首先创建一个文件夹test,和我们准备好的木马程序muma.exe,CD到上级目录打开“命令提示符”,输入命令“

type muma.exe > test:1233

”返回到上一级目录,在test文件夹上单击右键,在出现的菜单中选择“添加到test.rar”。
小贴士:如果没有该选项,表示你没有安装Winrar。
双击刚才创建的test.rar,点击Winrar工具栏上的“添加”按钮,浏览选中test文件夹。在出现的“压缩文件名和参数”面板中切换到“高级”选项卡,选中其中的“保存文件数据”选项,点击“确定”即可。

在Winrar中选中test文件夹,点击Winrar工具栏上的“自解压格式”按钮。在“自解压格式”标签的“自解压模块”中选中“Default.SFX”,然后点击“高级自解压选项”按钮。出现高级自解压面板后,在其“常规”标签的“解压后运行”中填入“test:muma.exe”。切换到“模式”标签,勾选其中的“全部隐藏”。全部设置完成后点击“确定”,这样就创建了一个极为隐蔽的自解压木马,甚至可以躲过杀毒软件的查杀,当用户双击这个自解压文件后,就会运行里面的数据流木马。

结语

现在杀软如火绒都具备了扫描这种木马的能力。但如果你是裸奔,还是很危险的,加上免杀可能要过大部分杀软。

非常感谢西瓜视频UP主爱比较的视频:Windows系统中的”超级隐藏文件”,杀毒软件都无法识别,你知道吗?

此文章的文案都是借鉴此视频的,(他把我想说的全都说了并且比我全比我明白比我有条理)

非常推荐电脑初学者去他的个人主页看看视频学习一些电脑的基础知识,大部分都是关于病毒的手动杀毒技巧

这篇文章就相当于做了个这个视频的图文教程而已啦,并且这个知识点还是很简单的,对于打CTF比赛的热心网友来说就是一道简单的题目而已

© 版权声明
THE END
喜欢就支持一下吧
点赞16 分享
评论 共25条

请登录后发表评论

          • Xiaonuo的头像-FancyPig's blog汉堡会员Xiaonuo徽章-备受瞩目-FancyPig's blog等级-LV10-FancyPig's blog作者0
          • Xiaonuo的头像-FancyPig's blog汉堡会员Xiaonuo徽章-备受瞩目-FancyPig's blog等级-LV10-FancyPig's blog作者0
    • Xiaonuo的头像-FancyPig's blog汉堡会员Xiaonuo徽章-备受瞩目-FancyPig's blog等级-LV10-FancyPig's blog作者3