Альтернативные потоки в NTFS или как в свойствах файла спрятать необходимую информацию
Не будем тратить время и начнем сразу с примера: в обычный блокнот (.txt) с текстом (с объемом информации 1 КБ) мы спрячем pdf-файл (по сути можно спрятать и целый фильм весом несколько ГБ). При просмотре его свойств, открытии, изменении содержимого, переименовании или перемещении внутри ПК Вы не потеряете свой спрятанный файл. Никакие косвенные признаки Вас не выдадут, блокнот так и будет весить свой 1КБ.
Только использование специальной команды в командной строке и несколько утилит способны разоблачить нашу хитрость...НО...до этого еще нужно додуматься.
Для большего понимая немного теории
Большинство из нас пользуются ОС Windows, файловой системой (ФС) которой по умолчанию является NTFS.Наглядный пример про ФС: если вы хоть раз форматировали флешки, жесткие диски Вам система предлагала выбор в какую ФС их отформатировать - NTFS, FAT32 или exFAT.
Так вот, в ФС NTFS файл кроме основных данных, может также быть связан с одним или несколькими дополнительными потоками данных. При этом дополнительный поток может быть произвольного размера, в том числе может превышать размер основного файла. Такие потоки называют альтернативными.
Итак, от теории к практике. Как же спрятать файлы?
Существует 2 способа:
1. С помощью командной строки (cmd).
2. С помощью специальной программы.
Сразу расскажу про 2 способ, чтобы не напрягать Вас техническими деталями.
Итак, начнем:
- Скачиваем NTFS Stream Explorer. Открываем архив => папку nsx-2.2.0 => запускаем приложение nsx.exe.
- Выбираете файл для открытия.
3. Внизу как Вы видите есть кнопка Добавить и выбираем Файловый поток.
4. Заходим в подраздел Потоки => нажимаем зеленый плюс (добавляем файл, который необходимо спрятать). И присваиваем имя данному потоку (справа).
5. Например в своем примере я решил спрятать файл pdf.
6. Сохраняем изменения и выходим из программы. ДЕЛО СДЕЛАНО.
Выявить спрятанный таким образом файл - очень нетривиальная задача. Он себя никак не проявит и не самовоспроизводится.
Кроме того, как мы уже упоминали, какой бы не был альтернативный поток, свойства файла не изменятся. Система будет упорно показывать размер основного файла.
Но флешка и жёсткий диск не резиновые, т.е. Вы не сможете записать на флешку/диск файл с альтернативным потоком превышающем реальное свободное пространство.
Также учтите, что спрятанный файл будет доступен, если вы его копируете только на ФС NTFS., т.е. на флешку с ФС Fat32 запишется только основной файл, а все что было в альтернативных потоках будет утеряно.P.S. Это логично, но все же. При передача файлов по Интернету альтернативные потоки к ним не привязываются.
P.P.S. Кстати, возможность сокрытия в альтернативных потоках данных любой информации достаточно широко используется вредоносными программами для маскировки своего присутствия в системе.
С Вами @KRIncognito