Hinet網頁也Yahoo化了...

剛剛不知道怎麼連的,連到了Hinet網頁,有很奇妙的事情

先來看一下台灣Yahoo 首頁

image

 

上面有不同搜尋的

image

 

左邊是服務list

image

 

也可以看到一些廣告和新聞

image

 

反正大概是這個樣子

然後可以先來看一下pchome  http://www.pchome.com.tw

image

 

他改版很久了,很久之前就Yahoo化了

聽說Hinet是今天才改的

來看一下

image

搜尋列/ 廣告 / 服務清單... 好像都差不多耶

沒錯...看來Hinet 的版面也Yahoo 化了

 

左右排起來看一下吧

image image

 

記得以前蕃薯藤還是奇摩之間好像因為抄襲版面告來告去,現在似乎已經沒什麼了....What is the next ?

NTFS的 ADS (續)

照上篇所說

可以使用一般文字

echo This is a test file > myfile:hidden

 

也可以使用建好的文字檔

type text.txt > myfile:hidden

 

另外也可以使用notepad 來寫入 (不過跟console寫入的資料好像不同步?)

notepad.exe myfile.txt:hidden

image

 

此時不能另存檔,他會說對話視窗錯誤(當然因為裡面有 :)

 image

 

另外也可以對資料夾寫入ADS

c:\ads>echo This ADS is tied to the directory listing > :hidden

也就是不要加檔名

 

接著....不只能塞文字,甚至你可以塞一個二進制檔案

這邊我們塞入了 notepad 

D:\>type c:\WINDOWS\NOTEPAD.EXE > myfile.txt:np.exe

 

另外在一般檔案右鍵內容中會有一個 Summary 的Tab ,這些資料也是寫進ADS 的,如果你本身沒有權限當然就不能寫入該檔,另外談到的是 Window File Protection 在你將同一個檔案覆蓋的時候,windows會問你要不要覆蓋,不過....他並不會考慮到ADS

(The System File Checker (sfc.exe) will verify that protected system files have not been overwritten, but will not detect ADSs.)

 

然而目前Window本身並沒有提供任何工具來處理這些事情,http://www.heysoft.de/Frames/f_sw_la_en.htm 這邊有一個工具是console模式的程式,可以使用這個程式來找出目錄或者檔案的ADS資訊

image

 

而ADS是一個NTFS 的檔案系統的介面之ㄧ,因此如果你將檔案移動到FAT32 or FAT 之類的檔案系統,這些ads 將會被移除,那該怎麼移除這些資訊呢 ?

 

當檔案使用 rename 或者 type 產生新的檔案都不會有ADS資訊

c:\ads>type myfile.txt > myfile.bat

c:\ads>del myfile.txt

c:\ads>ren myfile.bat myfile.txt

 

之後使用 lads 查看

image

 

果然del後ads也會隨檔案不見

 

執行ADSs ?!

剛剛塞了一個notepad 進去,那可以拿來執行嗎 ? 可以的,使用console裡面的start 指令(自行/?查一下)

他可以產生另一個console來執行

start myfile.txt:np.exe

 

oop! 你會發現我在唬爛....會產生錯誤阿!?

image

 

原來在 非NT 主機上需要完整的路徑

start d:\myfile.txt:np.exe

 

然而很有趣的你可以從工作管理員看到

image

他的執行檔就是這個名稱

 

接著再桌面建立一個捷徑並且指向剛剛那個檔案 myfile.txt ,然後再把它的內容改為

d:\myfile.txt:np.exe ,原網站是說這樣就會成功執行,不過經過我的測試似乎是有問題的

作業系統會再將它改為來

image

 

另外也有說到可以在開始->執行當中使用

file:///D:/myfile.txt:np.exe

不過還是一樣的會有錯誤產生

image

 

我猜是不是微軟有修補這個問題 ?? 沒去查,不過應該是

 

接著使用wscript 來測試

wscript -> window script

cscript -> console script

 

先寫一段script ,

MsgBox "This is VBS"

(原網站使用 ' 是錯誤的 )

 

接著寫入 myfile.txt:ads.vbs

 

來執行它吧

wscript myfile.txt:ads.vbs

image

是可以的(當然這是個文字而已)

 

以上參考 "The Dark Side of NTFS " by H. Carvery on 10/10/02

http://www.infosecwriters.com/texts.php?op=display&id=53

只是自己好奇查到這個,一邊測試順便寫一下結果

 

看起來 ADS 可以拿來藏資訊 ? 密碼 ?或者一些資料...

另一方面可以拿來幹壞事,不過不建議這麼做就是了

 

不過我還是不曉得為什麼要有這個功能(ADS),還是沒看到他是主要幹麻的 ? 只是為了寫入一些資訊給每個檔案 ? 類似檔頭的東西...

 

也可能 !! 因為這是NTFS檔案系統的特性,可能需要一些資訊來做為依據 ,下次有查到在po囉...

NTFS 的ADS(Alternate Directory Stream)

剛在分類一下 Sysinternal 的一些工具

並且想熟悉一下這些工具

看到一個Streams.exe , 很好奇跟串流有什麼關係...

後來查來查去...

 

原來是NTFS的檔案系統

一個檔案會有兩種stream ,也可以講是資料

一種是(real data) 就是實際的資料,也就是 explorer 列出的檔案大小和檔案

另一種是資全性的資訊,explorer 或者dir 都不會把它列出,

(

In NTFS, a file consists of different data streams. One stream holds the security information (access rights and such things), another one holds the "real data" you expect to be in a file. There may be another stream with link information instead of the real data stream, if the file actually is a link. And there may be alternate data streams, holding data the same way the standard data stream does.

http://www.heysoft.de/nt/ntfs-ads.htm

)

 

另外上面那個網址講的很清楚易懂

接著可以有另一種解釋是,可以讓檔案有 ":" 的檔名 , explorer 不能有 : 的檔名

例如 hello.txt:stream 這樣是一個檔案

那要如何產生這樣的檔案,其實 streams.exe 有講到,簡單的方式是在console模式下(in ntfs system)

 

echo helloTxt > hello.txt:textData

 

這樣就會在你的磁碟產生一個 0kb 的檔案, 你用文字編輯器去看也是沒有資料

但是透過下列指令可以把資料列出

 

more < hello.txt:textData

 

helloTxt

 

很奇妙就是,他實際還是有資料的,但是檔案管理員不會把它的資料量列在裡面

 

另外就是你不僅可以塞文字, 還可以塞圖片或者 exe !!

image

重點就來了,透過一些方式你就可以把 hello.txt 當作一個執行檔

hello.txt:exeMyfile.exe

接著你就可以做一些事情,但是一般的使用者只會知道它是個文字檔

不過實際我還沒跑過這段

改天再來實驗看看

下面是一些找到的資料

http://www.ntfs.com/

http://www.heysoft.de/nt/ntfs-ads.htm

http://support.microsoft.com/kb/105763

http://www.auditmypc.com/freescan/readingroom/ntfsstreams.asp

下面這個網址有詳細的exe 使用方式

http://www.infosecwriters.com/texts.php?op=display&id=53