NTFS代替データストリームの分析 (lfnutils, AlternateStreamView)
- NTFS代替データストリームを持つフォルダ・ファイルを操作するためのツール
- Windows Vista以降では DIR コマンドのオプション「/r」で代替データストリームを確認すること可能。
参考リンク
lfnutils (Long File Name Utilities)
| streamls.exe | 指定したファイル(フォルダ)が持つデータストリームを全て表示する |
| lfntype.exe | 指定したファイル(フォルダ)の代替データストリームの内容を表示する |
| lfnexec.exe | データストリーム上にあるバイナリを実行する |
| lfntouch.exe | 名前付きデータストリームを持つ空のファイルを作成する |
| lfnwrite.exe | 作成したデータストリーム(ファイル)に文字列を入力する |
| lfndel.exe | 指定したデータストリーム部分のみを削除する |
使用例
- poc.exe をデータストリームに配置し、そのファイルをツールで確認
>type poc.exe > test.txt:poc.exe
>
>dir test.txt
ドライブ D のボリューム ラベルは DATA です
ボリューム シリアル番号は C8C4-0A09 です
D:\PGM\lfnutils\bin のディレクトリ
2012/11/01 17:21 0 test.txt
1 個のファイル 0 バイト
0 個のディレクトリ 30,592,978,944 バイトの空き領域
>
>streamls.exe -l test.txt
FILE: D:\PGM\lfnutils\bin\test.txt
Stream 200704 poc.exe
>
