Форензика альтернативного потока данных (Zone.Identifier) в NTFS
@webwarewiki Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.
Рассмотрим один из альтернативных потоков данных Zone.Identifier. Файловая система NTFS может содержать в себе несколько альтернативных потоков данных и содержать дополнительную информацию про файл. Мы разберем только файл с секцией Zone.Identifier в которой указан идентификатор зоны передачи ZoneId, он принимает значения от "0" до "4".
Значения ZoneId:
ZoneId=0: Local machine (PC local)
ZoneId=1: Local intranet (LAN)
ZoneId=2: Trusted sites (secure sites)
ZoneId=3: Internet (internet)
ZoneId=4: Restricted sites (Dangerous sites)
При загрузке файла браузеры присваивают идентификатор зоны ZoneId. Посмотрим интересующие нас файлы:
Win+R cmd //мой путь к интересующим файлам // команда dir с ключем /R отображение альтернативных потоков данных этого файла C:\Users\Toor\Downloads>dir /R
в ответ получим
нас интересует - когда не хороший человек скачал методом создания pdf файла и откуда
C:\Users\Toor\Downloads>Notepad.exe [Шпаргалка] Разведка и аудит сервера. Codeby.net.pdf:Zone.Identifier
и результат:
Вывод: мы получили искомое. Так же есть программы автоматизирующая данный процесс - AlternateStreamView и ещё NTFS Stream Explorer220
P:S
Есть ещё интересная статья (копировать её не вижу смысла) Альтернативные потоки данных в NTFS или как спрятать блокнот
На форуме статья - не обращайте внимание на название Подборка трюков для Windows NTFS [Часть 1] она то же про альтернативные потоки данных,
прям по следам статьи что я указал выше, но с уклоном hack.