Στο NTFS σύστημα αρχείων των Windows, κάθε αρχείο είναι δυνατό να περιλαμβάνει πολλά data streams. Η δυνατότητα αυτή καλείται Alternative Data Streams (ADS). Τυπικά αυτά είναι τρία:
- Παράμετροι ασφαλείας (δικαιώματα πρόσβασης)
- Περιεχόμενα του αρχείου (δεδομένα)
- Προαιρετικά, συνοδευτικές πληροφορίες (όπως το link αν είναι συντόμευση, ή ένα thumbnail, κοκ)
Στο τρίτο stream, υπάρχει όμως δυνατότητα να προστεθούν όσα δεδομένα θέλουμε, τα οποία είναι “αόρατα” από τυπικές διαδικασίες όπως άνοιγμα με κλασικά προγράμματα και πολλές φορές “αόρατα” και από τα προγράμματα που έχουμε εγκαταστήσει για προστασία από τους ιούς. Ακόμη και ένας guest χρήστης του συστήματος μπορεί να δημιουργήσει ένα “μηδενικού” μεγέθους αρχείο και να γεμίσει πλήρως το δίσκο με δεδομένα στο τρίτο αυτό stream.
Ο τρόπος δημιουργίας και εγγραφής σε αυτό το stream είναι απλός, ιδίως για χρήστες εξοικιωμένους με το command prompt των Windows (εντολή cmd, πλέον).
Σε ένα τέτοιο λοιπόν παράθυρο μπορούμε να εκτελέσουμε την εντολή
dir > test.txt
η οποία αποθηκεύει τα περιεχόμενα του φακέλου στον οποίο βρισκόμαστε σε ένα νέο αρχείο με το όνομα test.txt. Μπορούμε να εκτελέσουμε την εντολή
dir test.txt
για να δούμε το μέγεθος του αρχείου που δημιουργήθηκε. Τώρα, ας εκτελέσουμε την εντολή
echo Hello world of ADS > test.txt:ads
Με την εντολή αυτή έχουμε δημιουρήσει ένα ADS για το αρχείο test.txt με την ονομασία ads και αποθηκεύσαμε τη φράση Hello world of ADS. Για να διαπιστώσουμε ότι το μέγεθος του αρχείου δεν έχει μεταβληθεί εκτελούμε και πάλι την εντολή
dir test.txt
Διαπιστώνουμε ότι δεν έχει αλλάξει το μέγεθος του αρχείο, αλλά αν εκτελέσουμε την εντολή
more < test.txt:ads
θα δούμε ότι η φράση μας είναι όντως αποθηκευμένη και συνδεδεμένη με το αρχείο μας. Μπορούμε επίσης να επεξεργαστούμε τα περιεχόμενα του εναλλακτικού αυτού stream από προγράμματα όπως το Wordpad που παρέχουν τα Windows ή από το notepad++ που είναι μια σπουδαία εναλλακτική open-source επιλογή, χρησιμοποιώντας, βέβαια, τον πλήρη συμβολισμό του αρχείου (test.txt:ads).
Ένα εργαλείο για τη διερεύνηση πιθανών αρχείων που κάνουν χρήση του ADS στο σύστημά μας υπάρχει στη διεύθυνση: sepdek.net/_uploads/adsspy.zip. Το εργαλείο είναι το ADS Spy του Merijn και έχει δυνατότητα εντοπισμού και διαγραφής των εναλλακτικών αυτών stream (Προσοχή όμως στη διαγραφή των χρήσιμων streams, όπως οι σύνδεσμοι και οι συντομεύσεις).
