暗藏危机的NTFS数据流

   NTFS交换数据流（alternate data streams，简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流，就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息，虽然我们无法看到数据流文件，但是它却是真实存在于我们的系统中的。

    既然NTFS数据流是NTFS磁盘格式的一种特性，那么对我们有什么危害呢？从上文的定义中我们可以知道NTFS系统中的一个普通文件是可以拥有多个数据流文件的，而数据流文件的格式却没有限制，并且当我们运行这个文件时，其附带的数据流文件也会运行，这说明什么呢？这就表示如果黑客将木马程序作为数据流文件捆绑于正常的文件中，当用户运行这个文件，就会同时运行木马程序。

    NTFS数据流一旦被黑客利用，还有一个更恐怖的地方，因为它在系统中是完全隐形的！在“资源管理器”中是根本不可能发现它的存在的，即使是其他一些专业的文件管理软件也无法找到其蛛丝马迹。因此，NTFS数据流木马将是最具杀伤力的黑客攻击手段。

    NTFS数据流的创建

    关于NTFS数据流文件，我们可以选择创建或者关联，前者会创建一个独立的数据流文件，该文件和其他任何文件无关，是一个独立的、隐藏的文件。而关联则是将创建的数据流文件与一个正常的文件进行关联，数据流文件以这个正常的存在而存在。NTFS数据流文件是不可能通过“资源管理器”来创建的，因为它对数据流文件支持不够好，数据流文件之所以能够在“资源管理器”中隐形，正是这个原因。因此我们只能在“命令提示符”中进行创建，下面让我们来举例说明NTFS数据流文件的创建。

    独立的数据流文件：点击“开始”→“运行”，输入“cmd”运行“命令提示符”，切换到c盘根目录，输入命令“echo "123456" > :test.txt”。回车后我们即可成功创建一个内容为123456，名为test.txt的NTFS数据流文件，我们会发现c盘根目录根本没有这个文件，那么如何我确定我们成功创建了呢？在“命令提示符”中接着输入命令“notepad :test.txt”，即可查看到test.txt的内容。

    关联的数据流文件：假设已存在一个正常的图片文件photo.jpg，在“命令提示符”中输入“echo "123456" > photo.jpg:test.txt”，同样，我们创建了一个内容为123456，名为test.txt的NTFS数据流文件，只不过它是依赖于photo.jpg而存在的。

    因为NTFS数据流文件的特性，它不可能通过网络传播，目前黑客通常是使用Winrar将数据流文件进行打包来进行攻击的。首先黑客会利用Winrar创建一个自解压文件，然后在自解压文件的高级选项中勾选“保存文件数据流”，并在其“常规”标签的“解压后运行”中填入数据流文件的名称。这样就能让数据流木马与正常的文件同时运行了。

    数据流木马的防范

    数据流木马虽然隐蔽，但是防范的方法还是有的，首先对于Winrar的自解压文件我们一定要小心，可以选择用Winrar打开自解压文件而不是双击打开。此外，目前很多杀毒软件已经支持数据流文件的查杀，例如卡巴斯基、瑞星等，都能够有效地检测文件中附加的数据流文件。最重要的就是及时升级杀毒软件的病毒库，即使数据流能够隐藏木马，也只是一种手段，数据流并不具有危害。当木马运行后会还原到内存中的，如果杀毒软件能够在内存中拦截到木马，那么即使其再怎么隐藏也是徒劳的。