NTFS 备用数据流
NTFS 是 Windows 系统默认使用的文件系统,但就像 Windows 系统一样,存在一些早已废弃,只是为了兼容而存在的包袱功能。
备用数据流(alternate data streams,ADS)原本是 NTFS 为 fork 功能设计。fork 是文件的扩展属性,类似于元数据,但无需写入源文件。但也因为不写入,只要将文件发送到网络,或是转移到其他文件系统,ADS 也就会消失。
比如 Windows 2000 曾使用 ADS,为图片文件添加缩略图,但将文件传输到不支持的文件系统里,ADS(缩略图)就会丢失,于是后续 Windows 版本逐渐不用 ADS 添加缩略图了。
现在人均多部智能设备(如果不是苹果全家桶,可能还是碎片化的),各种云端服务,都让 ADS 非常局限。所以微软几乎不再使用 ADS,除了一个地方。
通过浏览器下载的一些文件,初次打开时会弹出警告窗口,可能就是 ADS 提供的保护。原理是浏览器下载一些文件时,会在 ADS 加入
但在过去,ADS 提供的保护,反而带来了一些危险。Windows 10 早期,浏览器会写入文件来源的 URL,虽然给溯源留下了标记,但如果有恶意软件读取这些元数据,也会泄漏隐私,所以现在仅写入
附言:如果不喜欢下载的文件被加入标记,可以修改 Windows 的策略或注册表关闭,具体操作可参考 ericlaw 的博文。如果有大量被添加
附言 2:ADS 也能当作 隐写术 使用,ADS 能附加任意大小的文件,而该大小不会显示在资源管理器里,方法可以参考 Nihad Hassan 的博文。在过去可能有较高的隐写效果,因为知晓该功能的人较少,常见杀毒软件或者部分取证软件都忽略了 ADS。(不过现在应该会被注意到了)
#历史 #考据 #隐私
NTFS 是 Windows 系统默认使用的文件系统,但就像 Windows 系统一样,存在一些早已废弃,只是为了兼容而存在的包袱功能。
备用数据流(alternate data streams,ADS)原本是 NTFS 为 fork 功能设计。fork 是文件的扩展属性,类似于元数据,但无需写入源文件。但也因为不写入,只要将文件发送到网络,或是转移到其他文件系统,ADS 也就会消失。
比如 Windows 2000 曾使用 ADS,为图片文件添加缩略图,但将文件传输到不支持的文件系统里,ADS(缩略图)就会丢失,于是后续 Windows 版本逐渐不用 ADS 添加缩略图了。
现在人均多部智能设备(如果不是苹果全家桶,可能还是碎片化的),各种云端服务,都让 ADS 非常局限。所以微软几乎不再使用 ADS,除了一个地方。
通过浏览器下载的一些文件,初次打开时会弹出警告窗口,可能就是 ADS 提供的保护。原理是浏览器下载一些文件时,会在 ADS 加入
Zone.Identifer 字段。当资源管理器读取到这段 ADS,就能做出保护性措施,Windows 将该功能称为 Mark of the Web。但在过去,ADS 提供的保护,反而带来了一些危险。Windows 10 早期,浏览器会写入文件来源的 URL,虽然给溯源留下了标记,但如果有恶意软件读取这些元数据,也会泄漏隐私,所以现在仅写入
Zone.Identifer 字段。附言:如果不喜欢下载的文件被加入标记,可以修改 Windows 的策略或注册表关闭,具体操作可参考 ericlaw 的博文。如果有大量被添加
Zone.Identifer 的文件,可以用开源软件 ZoneStripper 来批量移除。附言 2:ADS 也能当作 隐写术 使用,ADS 能附加任意大小的文件,而该大小不会显示在资源管理器里,方法可以参考 Nihad Hassan 的博文。在过去可能有较高的隐写效果,因为知晓该功能的人较少,常见杀毒软件或者部分取证软件都忽略了 ADS。(不过现在应该会被注意到了)
#历史 #考据 #隐私
