为什么NTFS允许隐藏的可执行文件？

您可以通过键入以下命令将任何文件隐藏在另一个文件中：

type sol.exe > container.txt:sol.exe

并运行文件隐藏文件，只需使用：

start c:\hide\container.txt:sol.exe

但是，与此有关的疯狂的部分是它不会增加文件的大小（因此它是完全隐藏的）。

而且，如果您删除了其中包含隐藏内容的文件，则隐藏内容不会被删除。只需使用：

more <  container.txt:sol.exe > sol.exe

为什么NTFS允许这样做？这似乎是隐藏病毒的最佳方法。

这个问题有两个方面。第一个是为什么此功能完全存在，第二个是为什么GUI（或命令提示符）使查看和管理该功能更容易的原因。

之所以存在是因为它很有用。其他几个平台支持每个文件多个数据流。例如，在Mac上，它们称为forks。我有把握地确定大型机世界中也存在类似的情况，但是今天我不能指望任何明确的例子。

在现代Windows上，它用于保存文件的其他属性。您可能会注意到，Windows资源管理器中的“属性”框具有“摘要”选项卡，在“简单”视图中（我使用的是Windows XP，您的里程在其他版本上会有所不同）包括一堆有用的字段，例如“标题”，“主题”，“作者”和“等等。该数据存储在备用流中，而不是创建某种形式的副车数据库来保存所有将太容易与文件分离的数据。

备用流还用于保存标记，该标记表示文件来自不受信任的网络源，Internet Explorer和Firefox均在下载时将其应用。

困难的问题是，为什么没有更好的用户界面来通知流完全存在，以及为什么可以将可执行内容放入其中，而更糟的是稍后执行。如果这里存在错误和安全风险，就是这样。

编辑：

受到对另一个答案的评论的启发，这是一种找出反病毒和/或反恶意软件保护是否意识到备用流的方法。

获取EICAR测试文件的副本。它是68字节的ASCII文本，恰好也是有效的x86可执行文件。尽管完全无害，但防病毒行业已同意将其检测为真实病毒。发起人认为使用真实病毒测试AV软件有点像通过将废纸ket着火来测试火灾报警器...

EICAR文件为：

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

使用扩展名保存它，.COM它将执行（除非您的AV正在关注）并打印问候语。

将其保存在备用数据流中并运行扫描将很有帮助。

Windows Server的跨平台功能：mac的服务需要此功能。

这允许在NTFS上运行的Windows服务器通过AFP与Mac共享。为了使此功能正常运行，NTFS文件系统必须支持分叉，并且从第一天开始。

在您问之前，该功能仍在使用吗？是的，是我每天在支持的客户端的服务器上运行和使用它。

当人们和应用程序忘记或没有意识到它存在时，就会出现主要的安全问题。

虽然可能应该有一个选择，将分叉包括在文件总大小中或在Windows资源管理器中显示它们。

我以为主要用途之一（也许甚至是预期用途）是透明地允许向文件中添加任何类型的元数据。文件大小不变的原因是在这种情况下，您不希望文件外观或行为有所不同，以免原始应用程序依赖文件外观的某些方面。

我可以想象在IDE中有趣的用途，例如，有时涉及多个文件以形成一个单元（代码文件/表单文件等），可以通过这种方式将其附加到原始文件上，以免意外分离。

我还相信，有一个命令可以在给定的目录树中找到所有此类“附件”，因此它们实际上并未完全隐藏。如果更好的病毒扫描程序不知道这一点并检查这些“隐藏”区域，这也将令我感到惊讶，但是您可以通过有意将受感染的可执行文件附加到文本文件并查看是否被拾取来进行检查。

这是一篇有关Alternate Data Streams造成的潜在安全漏洞的好文章。

好问题，直到去年我才对ADS有所了解，并且我已经成为Windows开发人员很多年了。我可以保证我并不孤单。

关于能够检查文件上的备用数据，我发现Frank Heyne软件提供了有用的称为Lads的小工具。它可以在给定目录中的所有文件上列出ADS，甚至在加密文件上（以及子目录中）也可以列出ADS。