مخفی کردن فایل ها با استفاده از جریان های  NTFS

یک جریان شامل داده هایی است که با یک پوشه یا فایل اصلی پیوند خورده است . هر فایل یا پوشه در NTFS می تواند چندین جریان مخفی داشته باشد که کاملا از کاربر مخفی باشد. وقتی که هکر به صورت کامل سیستم محلی را هک کرد و بکدورها را بر روی سیستم نصب کرد و همه اطلاعات لازم را بدست آورد و شروع به هک کردن دیگر سیستم های موجود در شبکه می کند . اغلب اوقات سرویس های مشابه و اکانت های ادمین در سیستم ها وجود دارد که حمله بر روی هر سیستم در زمانی کوتاه را آسان می کند . هر سیستم جدیدی که هک شد هکر اطلاعات بیشتری شامل پسورد ها و اکانت ها بدست می آورد که کار را برای وی آسان تر می کند . به منظور اینکه در زمینه تست نفوذ مهارت کسب کنید بایستی بفهمیم که چگونه با استفاده از جریان های NTFS فایل ها را مخفی کنیم .

NTFS سیستم فایل جدید است که جایگزین FAT شده و مایکروسافت آن را برای سیستم عامل ویندوز ترجیح داده است.  NTFS چندین برتری نسب به FAT و HPFS دارد مثل پشتیبانی بهینه شده برای متاداده ها و استفاده از ساختارهای پیشرفته داده . در این آزمایش شما خواهید آموخت که چگونه با استفاده از جریان NTFS داده فایل ها را مخفی کنیم .

• برای انجام این کار به یکی از درایو های ویندوز خود رفته و به دلخواه یک پوشه در داخل آن ایجاد کنید.
  به طور مثال من وارد درایو E می شوم و یک پوشه بنام techtik ایجاد میکنم.

• حال به مسیر C:\windowsws\system32 رفته و فایل exe را از آن به داخل پوشه ای که ایجاد کرده بودید چند لحظه پیش کپی کنید.

• خط فرمان ویندوز (CMD) را باز کنید و به مسیر پوشه ای که ایجاد کرده بودید رفته و دستور زیر را وارد کنید .

Notepad readme.txt

• در صورتی که با پیامی مواجه شدید بر روی Yes کلیک کنید.

• یک متن دلخواه در داخل فایل وارد و سپس فایل را ذخیره کنید.

• اکنون به خط فرمان CMD باز گردید و دستور dir را وارد کنید تا حجم فایل متنی نمایش داده شود.
• دستور زیر را وارد کنید تا فایل ماشین حساب را در داخل فایل متنی مخفی کنید.

Type e:\techtik\calc.exe > e:\techtik\readme.txt:calc.exe

• بار دیگر دستور dir را در خط فرمان وارد کنید تا مطمئن شوید که حجم فایل متنی تغییر نکرده است.
• حالا به پوشه techtik رفته و فایل ماشین حساب exe را که کپی کرده بودید حذف کنید.
• به خط فرمان بازگردید و دستور زیر را اجرا کنید تا یک بکدور به فایل اجرای ماشین حسای که در داخل فایل متنی مخفی کرده اید ایجاد کنید.

Mklink backdoor.exe readme.txt:calc.exe

• اکنون در خط فرمان backdoor را تایپ کنید. مشاهده می کنید که ماشین حساب باز می شود و بکدور ایجاد شده. شما از طریق یک کپی از ماشین حساب ویندوز را در داخل یک فایل متنمی با استفاده از جریان NTFS ایجاد کرده اید.