Ссылка скрыта от гостей
Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.
Рассмотрим один из альтернативных потоков данных Zone.Identifier. Файловая система NTFS может содержать в себе несколько альтернативных потоков данных и содержать дополнительную информацию про файл. Мы разберем только файл с секцией Zone.Identifier в которой указан идентификатор зоны передачи ZoneId, он принимает значения от "0" до "4", а так же свойство ZoneId определяет
Ссылка скрыта от гостей
и помечает загрузку в соответствии с соответствующим уровнем доверия. Код ниже показывает перечисление
Ссылка скрыта от гостей
и соответствующие значения:
Код:
typedef enum tagURLZONE {
URLZONE_INVALID = -1,
URLZONE_PREDEFINED_MIN = 0,
URLZONE_LOCAL_MACHINE = 0,
URLZONE_INTRANET,
URLZONE_TRUSTED,
URLZONE_INTERNET,
URLZONE_UNTRUSTED,
URLZONE_PREDEFINED_MAX = 999,
URLZONE_USER_MIN = 1000,
URLZONE_USER_MAX = 10000
} URLZONE;- URLZONE_INVALID — это недопустимая зона, которая используется только в том случае, если подходящая зона недоступна.
- URLZONE_LOCAL_MACHINE — эта зона используется для контента, который уже находится на локальном компьютере пользователя.
- URLZONE_INTRANET — эта зона используется для контента, найденного в интрасети.
- URLZONE_TRUSTED — эта зона используется для доверенных веб-сайтов в Интернете.
- URLZONE_INTERNET — эта зона предназначена для контента из Интернета, за исключением веб-сайтов, перечисленных в доверенных или ограниченных зонах.
- URLZONE_UNTRUSTED — эта зона используется для ненадежных веб-сайтов.
ZoneId=0: Local machine (PC local)
ZoneId=1: Local intranet (LAN)
ZoneId=2: Trusted sites (secure sites)
ZoneId=3: Internet (internet)
ZoneId=4: Restricted sites (Dangerous sites)
ZoneId=1: Local intranet (LAN)
ZoneId=2: Trusted sites (secure sites)
ZoneId=3: Internet (internet)
ZoneId=4: Restricted sites (Dangerous sites)
Код:
Win+R
cmd
//мой путь к интересующим файлам
// команда dir с ключем /R отображение альтернативных потоков данных этого файла
C:\Users\Toor\Downloads>dir /R
нас интересует - когда не хороший человек скачал методом создания pdf файла и откуда
Код:
C:\Users\Toor\Downloads>Notepad.exe [Шпаргалка] Разведка и аудит сервера. Codeby.net.pdf:Zone.Identifier
Рассмотрим использование команд Windows PowerShell
В примере мы используем команду
Ссылка скрыта от гостей
, чтобы вывести список всех доступных потоков для определенного VHD-файла, хранящегося в папке «Downloads». Этот файл был загружен с помощью google chrome:
Код:
Get-Item -path C:\Users\anonymous\Downloads\FAT.vhd -stream *
Этот вывод показывает больше информации, чем нам действительно нужно, поэтому мы можем отформатировать его в столбцы и сделать его более понятным для просмотра с помощью следующей команды:
Код:
Get-Item -path C:\Users\anonymous\Downloads\FAT.vhd -stream * | Select-Object -Property Filename, Stream, Length
Мы можем исследовать данные, содержащиеся в потоке Zone.Identifier, один из вариантов - запустить Powershell и выполнить команду
Ссылка скрыта от гостей
, как показано ниже:
Код:
C:\Users\anonymous\Downloads> Get-Content -path C:\Users\anonymous\Downloads\fat.vhd -stream Zone.Identifier
Структура потока также может меняться в зависимости от приложения, выполнявшего загрузку. В результате нашего анализа мы обнаружили следующие свойства:
- AppZoneId
- IP-адрес хоста
- URL-адрес хоста
- LastWriterPackageFamilyName
- ReferrerUrl
- идентификатор зоны
И пока мы используем PowerShell то как положено сразу можем посчитать контрольную сумму ;-)
P:S
Есть ещё интересная статья (копировать её не вижу смысла) Альтернативные потоки данных в NTFS или как спрятать блокнот
Код:
C:\Users\anonymous\Downloads> get-filehash -alg sha1 -path C:\Users\anonymous\Downloads\FAT.vhdP:S
На форуме статья - не обращайте внимание на название Подборка трюков для Windows NTFS [Часть 1] она то же про альтернативные потоки данных,
прям по следам статьи что я указал выше, но с уклоном hack.
СОФТ - Альтернативный поток данных (Zone.Identifier) в NTFS
Последнее редактирование модератором:
