隐写:NTFS STREAM

TFS文件流(ADS)的利用
一、隐藏信息
在任一NTFS分区下打开CMD命令提示符，输入echo abcde>>a.txt:b.txt，则在当前目录下会生成一个名为a.txt的文件，但 文件的大小只有0字节，打开后也无任何内容，只有当我们键入命令notepad a.txt:b.txt才能看见写入的abcde。
在上边的命令中，a.txt可以不存在。也可以是某个已存在的文件，文件格式无所谓，无论是.txt还是jpg,bmp,com,exe都行，b.txt也可以任意指定文件名以及后缀名。这样就可以将任意文本信息隐藏于任意文件中，只要不泄露冒号后的虚拟文件名（即b.txt），别人是根本不会查看到隐藏信息的。而且在已经使用NTFS文件流制造了隐藏信息后，包含隐藏信息的文件仍然可以继续隐藏其他的内容，例如abcde已经包含在a.txt:b.txt中，我们仍然可以使用命令echo 12345>>a.txt:c.txt建立新的包含隐藏信息的流文件，在命令行下使用notepad a.txt:c.txt打开后会发现12345这段信息，而abcde仍然存在于a.txt:b.txt中丝毫不受影响。
二、隐藏文件
我们要使用到的命令跟上面的大同小异，命令格式为type 文件名+后缀>>任意文件名+原文件后缀，比如type 1.jpg>>abc.def:2.jpg，就是将1.jpg的内容写入到abc.def:2.jpg这个流文件中，abc.def可以随便换，最好是使用正常的文件，这样隐蔽性会更强。
打开隐藏文件时就要致意了，如果用来打开文件的程序是系统自带的（位于系统目录下），直接输入程序名就可以了：但如果是使用另外的程序打开的话就要是加上完整的路径，且流文件也要带上完整的路径。例如使用画图工具打开abc.def:2.jpg，命令格式应该是mapaint abc.def:2.jpg，而如果使用ACDSee9打开的话，命令格式就应该是D:\ACDSee9\ACDSee8.exe D:\abc.def:2.jpg 注意上面的2.jpg，后缀最好跟原文件一致，不然使用第三方软件打开时可能会出错。比如type 1.jpg>>abc.def:2.jjj，使用Windows自带的画图工具可以顺利打开，但使用ACDSee9打开时却提示数据格式不可识别，必须改成.jpg后缀才可以打开。
同理，其他文件也可以这样隐藏，只要打开时根据后缀名找对应的程序就行了，而且也可以像隐藏信息那样隐藏多个文件。
三、捆绑木马
仍然是使用上面隐藏文件的方法，运行的命令格式为start 流文件路径，需要带上完整的路径，不然会提示参数不正确
四、注意事项
1.流文件不能直接通过网络传输，也不能使用WinRAR进行普通压缩后传输，那样会丢失信息，必须在压缩时选择高级选项里的“保存文件流数据“才行
2.制作好的流文件大小跟用来隐藏原文件的那个文件是一样的，但压缩后的文件还是包括了隐藏文件的大小，这说明NTFS文件流仍然会占用磁盘空间，这是判断文件是否包含流文件的重要方法，对比解压后的文件大小和压缩包的大小，如果前者小于后者那就说明这个压缩包里有猫腻
3.流文件必须要在NTFS分区下才能运行，一旦放到其他的文件系统分区中，即使再放回来，也会造成NTFS数据流的丢失