مخفی کردن فایل ها با استفاده از جریان های  NTFS

یک جریان شامل داده هایی است که با یک پوشه یا فایل اصلی پیوند خورده است . هر فایل یا پوشه در NTFS می تواند چندین جریان مخفی داشته باشد که کاملا از کاربر مخفی باشد. وقتی که هکر به صورت کامل سیستم محلی را هک کرد و بکدورها را بر روی سیستم نصب کرد و همه اطلاعات لازم را بدست آورد و شروع به هک کردن دیگر سیستم های موجود در شبکه می کند . اغلب اوقات سرویس های مشابه و اکانت های ادمین در سیستم ها وجود دارد که حمله بر روی هر سیستم در زمانی کوتاه را آسان می کند . هر سیستم جدیدی که هک شد هکر اطلاعات بیشتری شامل پسورد ها و اکانت ها بدست می آورد که کار را برای وی آسان تر می کند . به منظور اینکه در زمینه تست نفوذ مهارت کسب کنید بایستی بفهمیم که چگونه با استفاده از جریان های NTFS فایل ها را مخفی کنیم .

NTFS سیستم فایل جدید است که جایگزین FAT شده و مایکروسافت آن را برای سیستم عامل ویندوز ترجیح داده است.  NTFS چندین برتری نسب به FAT و HPFS دارد مثل پشتیبانی بهینه شده برای متاداده ها و استفاده از ساختارهای پیشرفته داده . در این آزمایش شما خواهید آموخت که چگونه با استفاده از جریان NTFS داده فایل ها را مخفی کنیم .

  • برای انجام این کار به یکی از درایو های ویندوز خود رفته و به دلخواه یک پوشه در داخل آن ایجاد کنید.
    به طور مثال من وارد درایو E می شوم و یک پوشه بنام techtik ایجاد میکنم.

  • حال به مسیر C:\windowsws\system32 رفته و فایل exe را از آن به داخل پوشه ای که ایجاد کرده بودید چند لحظه پیش کپی کنید.

  • خط فرمان ویندوز (CMD) را باز کنید و به مسیر پوشه ای که ایجاد کرده بودید رفته و دستور زیر را وارد کنید .

Notepad readme.txt

  • در صورتی که با پیامی مواجه شدید بر روی Yes کلیک کنید.

  • یک متن دلخواه در داخل فایل وارد و سپس فایل را ذخیره کنید.

  • اکنون به خط فرمان CMD باز گردید و دستور dir را وارد کنید تا حجم فایل متنی نمایش داده شود.
  • دستور زیر را وارد کنید تا فایل ماشین حساب را در داخل فایل متنی مخفی کنید.

Type e:\techtik\calc.exe > e:\techtik\readme.txt:calc.exe

  • بار دیگر دستور dir را در خط فرمان وارد کنید تا مطمئن شوید که حجم فایل متنی تغییر نکرده است.
  • حالا به پوشه techtik رفته و فایل ماشین حساب exe را که کپی کرده بودید حذف کنید.
  • به خط فرمان بازگردید و دستور زیر را اجرا کنید تا یک بکدور به فایل اجرای ماشین حسای که در داخل فایل متنی مخفی کرده اید ایجاد کنید.

Mklink backdoor.exe readme.txt:calc.exe

  • اکنون در خط فرمان backdoor را تایپ کنید. مشاهده می کنید که ماشین حساب باز می شود و بکدور ایجاد شده. شما از طریق یک کپی از ماشین حساب ویندوز را در داخل یک فایل متنمی با استفاده از جریان NTFS ایجاد کرده اید.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.