مخفی کردن فایل ها با استفاده از جریان های NTFS
یک جریان شامل داده هایی است که با یک پوشه یا فایل اصلی پیوند خورده است . هر فایل یا پوشه در NTFS می تواند چندین جریان مخفی داشته باشد که کاملا از کاربر مخفی باشد. وقتی که هکر به صورت کامل سیستم محلی را هک کرد و بکدورها را بر روی سیستم نصب کرد و همه اطلاعات لازم را بدست آورد و شروع به هک کردن دیگر سیستم های موجود در شبکه می کند . اغلب اوقات سرویس های مشابه و اکانت های ادمین در سیستم ها وجود دارد که حمله بر روی هر سیستم در زمانی کوتاه را آسان می کند . هر سیستم جدیدی که هک شد هکر اطلاعات بیشتری شامل پسورد ها و اکانت ها بدست می آورد که کار را برای وی آسان تر می کند . به منظور اینکه در زمینه تست نفوذ مهارت کسب کنید بایستی بفهمیم که چگونه با استفاده از جریان های NTFS فایل ها را مخفی کنیم .
NTFS سیستم فایل جدید است که جایگزین FAT شده و مایکروسافت آن را برای سیستم عامل ویندوز ترجیح داده است. NTFS چندین برتری نسب به FAT و HPFS دارد مثل پشتیبانی بهینه شده برای متاداده ها و استفاده از ساختارهای پیشرفته داده . در این آزمایش شما خواهید آموخت که چگونه با استفاده از جریان NTFS داده فایل ها را مخفی کنیم .
- برای انجام این کار به یکی از درایو های ویندوز خود رفته و به دلخواه یک پوشه در داخل آن ایجاد کنید.
به طور مثال من وارد درایو E می شوم و یک پوشه بنام techtik ایجاد میکنم.
Click here to preview your posts with PRO themes ››
- حال به مسیر C:\windowsws\system32 رفته و فایل exe را از آن به داخل پوشه ای که ایجاد کرده بودید چند لحظه پیش کپی کنید.
- خط فرمان ویندوز (CMD) را باز کنید و به مسیر پوشه ای که ایجاد کرده بودید رفته و دستور زیر را وارد کنید .
Notepad readme.txt
- در صورتی که با پیامی مواجه شدید بر روی Yes کلیک کنید.
- یک متن دلخواه در داخل فایل وارد و سپس فایل را ذخیره کنید.
- اکنون به خط فرمان CMD باز گردید و دستور dir را وارد کنید تا حجم فایل متنی نمایش داده شود.
- دستور زیر را وارد کنید تا فایل ماشین حساب را در داخل فایل متنی مخفی کنید.
Type e:\techtik\calc.exe > e:\techtik\readme.txt:calc.exe
- بار دیگر دستور dir را در خط فرمان وارد کنید تا مطمئن شوید که حجم فایل متنی تغییر نکرده است.
- حالا به پوشه techtik رفته و فایل ماشین حساب exe را که کپی کرده بودید حذف کنید.
- به خط فرمان بازگردید و دستور زیر را اجرا کنید تا یک بکدور به فایل اجرای ماشین حسای که در داخل فایل متنی مخفی کرده اید ایجاد کنید.
Mklink backdoor.exe readme.txt:calc.exe
- اکنون در خط فرمان backdoor را تایپ کنید. مشاهده می کنید که ماشین حساب باز می شود و بکدور ایجاد شده. شما از طریق یک کپی از ماشین حساب ویندوز را در داخل یک فایل متنمی با استفاده از جریان NTFS ایجاد کرده اید.