NTFS 数据流隐写学习

最新推荐文章于 2026-03-28 09:50:56 发布
原创 最新推荐文章于 2026-03-28 09:50:56 发布 · 3.4k 阅读 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
cknow-ai Goodric

cknow-ai 关注

标签
#ntfs流 #隐写
分类 操作系统

NTFS 数据流隐写学习

——

概念学习:

  • NTFS文件系统中存在NTFS数据流文件也被称为 Alternate data streams(ADS), 是NTFS磁盘格式的一个特性之一
  • 每个文件都有主文件流非主文件流,主文件流能够直接看到;而非主文件流寄宿于主文件流中,无法直接读取,这个非主文件流就是NTFS交换数据流。
  • 也就是说非主文件流是真实存在于我们系统的,但是我们看不到,可以通过创建这样的数据交换流文件,达到隐写的效果。

——

应用:

  • 隐藏后门文件(恶意文件木马病毒)
  • web实战中隐藏写入的webshell

——

关联文件流隐藏

先在test 文件夹下创建一个 test.txt 文本,内容为 123
请添加图片描述

现在写一个隐藏 txt 文本进去,通过命令行执行写入内容命令:

echo "abc" > test.txt:hide.txt

可以看到执行完命令,dir 查询文件列表还是只有原来的一个 test.txt 文本,但是文本的最后修改时间变化了。
请添加图片描述

可以用Windows 自带的 notepad 查看这个隐藏文件,局限性是需要知道全称,所以在实际情况下还是能达到隐藏。

notepad test.txt:hide.txt

请添加图片描述

————
也可以用 type 命令,将创建好的文件附加在另一个文件上。
在另一个文件夹下创建好一个 hide2.txt 文本

type e:/desktop/hide2.txt > text2.txt:hide2.txt

执行完之后,文件夹下就多了一个 text2.txt 文件,并且里面没有写内容。
这里不知道为啥用 notepad 无法查看隐藏信息,显示找不到文件。
请添加图片描述

除了这里演示的附加上 txt 文本外,还可以附加 .exe .jpg 文件等等进行隐藏

——

单文件流隐藏

上面进行的是把隐藏文件附加在另一个文件上。也可以直接创建隐藏文件流,不附加在其它文件上。
还是在 /test 这个文件夹下。

echo "hide3" > :hide3.txt

查看文件夹下文件并没有变化。
请添加图片描述

——

工具扫描 ntfs 数据流隐藏文件

有很多种工具可以扫描出隐藏的NTFS 数据流文件。
这里测试 NtfsStramsEditor

选择文件夹路径,点击搜索,可以看到前面创建的三个隐藏文件都显示出来了,并且点击可以查看内容。
请添加图片描述

——
在 CTF 题目中,给的 ntfs 隐写文件是在 压缩包内的,需要用 WinRAR 进行提取,不然会造成数据流丢失。

点赞 点赞 6
评论 1
书签 书签 23
NTFS数据流工具
08-20
ntfsstreamseditor是一款针对ctf中ntfs数据流题型的工具
NtfsStreamsEditor.zip
05-05
NTFSStreamEditor,著名的NTFS分析工具,可用于解决CTF比赛中NTFS的内容。这是2.0版本,功能更强大
NTFS数据流
m0re's blog
12-12 8222
前言 最近做题遇到了几个是NTFS数据流的题目,感觉很有趣,就深入的学习一下。知识面较浅。 什么是NTFS数据流NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件之外还可以有许多非主文件寄宿在主文件中。它使用资源派生来维持与文件相关的信息。————百度百科 NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,
别再只会用WinRAR了!NtfsStreamsEditor工具详解与CTF中NTFS数据流的挖掘技巧
最新发布
weixin_28335283的博客
03-28 194
本文深入解析NTFS交换数据流(ADS)的原理与应用,重点介绍专业工具NtfsStreamsEditor在CTF比赛中的实战技巧。通过对比命令行与图形化工具的效率差异,提供批量扫描、内容预览和导出等核心功能详解,并总结CTF中ADS的常见套路与解题checklist,帮助安全分析人员高效挖掘藏数据。
:NTFS STREAM
Bright's Blog
03-11 5179
TFS文件(ADS)的利用 一、藏信息 在任一NTFS分区下打开CMD命令提示符,输入echo abcde>>a.txt:b.txt,则在当前目录下会生成一个名为a.txt的文件,但 文件的大小只有0字节,打开后也无任何内容,只有当我们键入命令notepad a.txt:b.txt才能看见入的abcde。 在上边的命令中,a.txt可以不存在。也可以是某个已存在的文件,文件格式无所谓,
【数据加解密篇】利用NTFS数据流(ADS)加密取证分析
蘇小沐的电子数据取证博客
11-06 2465
数据的价值远超案件,很多数据的价值没在当前的案件中发挥作用,并不代表着它就没有用。 在 NTFS 文件系统中,可以通过来将一些不为人知的、甚至是恶意的程序、代码藏在"NTFS 数据流(ADS)"等特殊文件中,一般的文件管理器和工具是无法发现和对其处理的,本文通过一些介绍,来初步认识下常用的Windows操作系统NTFS文件系统数据流\---【蘇小沐】
CTF之misc杂项解题技巧总结(1)——
若谷的博客
12-22 3358
术Steganography(一)NTFS数据流(二)base64(三)图像(四)零宽字符(五)word(六)PYC(七)音频(八)文件合成与分离(九)BMP/PDF【附】检测工具。
CTF之misc杂项解题技巧总结(二)——
wananxuexihu的博客
10-21 1268
术Steganography(一)NTFS数据流(二)base64(三)图像(四)零宽字符(五)word(六)PYC(七)音频(八)文件合成与分离(九)BMP/PDF【附】检测工具。
windows 查看ntfs命令_NTFS数据流
weixin_42355665的博客
01-03 1946
沙漏安全团队欢迎真正热爱技术的你!前言最近做题遇到了几个是NTFS数据流的题目,感觉很有趣,就深入的学习一下。知识面较浅。什么是NTFS数据流NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件之外还可以有许多非主文件寄宿在主文件中。它使用资源派生来维持...
关于NTFS数据流ADS的详细介绍
AmrYu的博客
02-02 6426
ADS数据流能否脱离文件单独存在?将一个文件设置为另一个宿主文件的ADS数据流之后,源文件能否删除?
NTFS数据流:利用交换数据流藏压缩包密码的取证方法.pdf
06-18
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 从术到编码转换,从音频到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB ,在虚拟战场中提升网络安全意识与技术能力。记住:所有技术仅用于学习与竞赛!
NtfsStreamsEditor下载使用
EaSoNgo111的博客
05-09 8314
NtfsStreamsEditor 是一款免费的 NTFS 编辑器,它可以帮助用户查看和编辑 NTFS 文件系统中的备用数据流。备用数据流是一种特殊的 NTFS 文件数据结构,允许用户在单个文件中存储多个数据流NtfsStreamsEditor 的使用非常简单,打开软件后,选择要操作的文件,然后选择对应的备用数据流进行编辑。在弹出的对话框中,列出了该文件的所有备用数据流,包括默认数据流。在文件列表中,右键单击要查看/编辑备用数据流的文件,选择“Show NTFS Streams”选项。
[硬盘取证]NTFS
qq_63811773的博客
12-29 669
[硬盘取证]NTFS
NTFS文件
欢迎来到神林的博客
11-07 4824
NTFS文件 NTFS文件是什么 NTFS文件系统时windows NT内核系列操作系统支持的、专门为网络和磁盘配额的,文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更加稳定,更能也更为强大。NTFS数据流文件也被称为 Alternate data streams,简称ADS,是NTFS文件系统的一个特性之一,允许单独的数据流文件存在,同时也允许文件附着多个数据流,除了主文件...
buu-misc进阶
qq_61109509的博客
07-17 1720
使用mimikatz分析.dmp文件,使用管理员权限打开命令提示符,cd进去存放mimikatz.exe文件夹中,使用mimikatz.exe。这里猜测有NTFS文件,将flag.txt解压到一个新建的文件夹内,利用NtfsStreamsEditor。将lsass.dmp提取出来,选择文件-导出对象-HTTP,搜索.dmp文件-save保存提出。重新分析量包,搜索查看常用协议,发现在http协议中存在lsass.dmp。打开图片010,看图片结尾搜索IEND,看到bpg文件,打开即可。...
谈谈NTFS数据流文件
热门推荐
梦涵飞雨de学习专栏
01-20 1万+
 1、什么是NTFS数据流文件?要了解NTFS文件之前,你应该对NTFS文件系统有一定的了解, NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。这个NTFS数据流文件,也叫Alternate data streams,简称ADS,是NTFS文件系统的一个
文件(CTF)
qq_62365068的博客
04-16 3189
细微的颜色差别GIF图的多帧藏颜色通道藏不同帧图信息藏不同帧对比藏Exif信息藏图片修复图片头修复图片尾修复CRC校验修复长,宽,高度修复最低有效位LSB图片加密StegdetectoutguessJphideF5。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值