NTFS的交换数据流ADS应用

NTFS是Windows常用的文件系统格式。该格式支持交换数据流(Alternate Data Streams,缩写ADS)特性。该特性可以让多个文件流使用同一个文件名,便于系统管理和使用文件。这样,一个文件名可以包含一个主文件流和多个非主文件流。其中,主文件流可以以文件名直接访问,而其他文件流需要以“文件名:文件流名”进行访问。

对于这类文件,文件管理器只能看到主文件流,而无法看到其余的文件流。使用这种方式,可以把一个或者多个文件隐藏到另外一个文件中。例如,网络常见的图片中藏种子,就是利用这种机制。同时,很多木马也是利用这种机制躲避杀毒软件的查杀。

Tags: