Namen tega članka je pojasniti pomen
nadomestni podatkovni tokovi
v operacijskih sistemih Windows
pokazati, kako jih ustvariti in
ogroziti stroj, kako najti
skrite datoteke z javnimi
pripomočki. Prvi korak je zavedanje
pomen ADS in kakšno grožnjo predstavljajo
poglejmo, kako se uporabljajo za hekanje
in končno, poglejmo orodja
za zaznavanje dejavnosti in kako
zaustaviti nadaljnje delo na črno z
njim.

Za kaj?

Dodatni podatkovni tokovi so se pojavili v
Windows skupaj z NTFS. Pravzaprav, koliko jaz
Razumem, da v njih ni bilo posebnega pomena – oni
so bili narejeni tako, da so združljivi s HFS, starimi
Datotečni sistem Macintosh - hierarhični datotečni sistem. Ovitek
ki jih ta datotečni sistem uporablja
tako podatkovne vilice kot vilice virov za
shranjevanje vsebine. podatkovna veja,
odgovoren za vsebino
dokument in vejo vira za
identifikacija datoteke – njena vrsta in drugo
podatke. Do zdaj o obstoju
dodatni tokovi rednih uporabnikov
malo ljudi ve. Vendar pa v računalniškem svetu
varnost so dobili določeno
širjenje. Na primer zlobni hekerji
uporabite ADS za shranjevanje datotek
vdrli v računalnike, včasih tudi
uporabljajo virusi in druga zlonamerna programska oprema. Ovitek
ker bistvo je v tem, da ti tokovi niso
gledano z običajnimi metodami, enako
Raziskovalec ali prek ukazne vrstice. kako
zanimajo ti tokovi? In dejstvo, da v primeru
preiskave vdiranja ne obravnavajo vedno
pozornost na njih, poleg tega ne vsi antivirusi
privzeto si oglejte tokove
išče zlonamerno programsko opremo.

Lotite se posla

Da bi razumeli resnično nevarnost
Oglasi bolje prikazujejo, kako delati z njimi.
V primeru bomo za prodor uporabili ogrodje Metasploit
do avta. Za to uporabimo ranljivost
MS04-011 (lsass). Nato z uporabo TFTP naložite datoteke,
ki jih bomo umestili v dodatne tokove
podatke. Ko je to končano na
zagon oddaljenega stroja iz ukaza
linijski skener, ki bo skeniral omrežje
razpoložljivost drugih vozil. Opomba,
da so avtorji ogrodja Metasploit zagotovili svoje
kreacija s podpisom METASPLOIT, tako da ustvarjalci
varnostna programska oprema bi lahko prepoznala paket,
prihaja iz MF. Bodite pozorni na paket
prihaja od napadalca:

Tukaj je 192.168.1.102 računalnik napadalca
ki je ogrodje Metasploit in 192.168.1.101 -
ranljiv računalnik z Win2K Prof. V tem primeru Axis
dostavljeno brez popravkov in servisnih paketov,
samo za demonstracijske namene
:). Upoštevajte, da ADS sami po sebi niso
preveč uporabni, so naravno prijetni
napadalec le, če obstaja
dostop do stroja, ranljivost sistema v
operacijski sistem. V pravem omrežju, ti
verjetno ne boste našli nepopravljenega W2K, tako da
bo treba iskati druga načela
penetracija.

Spodaj vidimo, da je bil napad uspešen in se nadaljuje
vzvratna lupina se odpre napadalnemu stroju,
dal žrtev. Privzeto za to
ranljivosti v Metasploitu uporabljajo vrata 4321,
vendar se lahko spremeni:

Ko ste prodrli v avto, se morate tam prenesti
datoteke. Za to uporabljamo TFTP, v tem
primeru dobimo ipeye.exe.

Na enak način prenesite psexec.exe, pslist.exe in
logger.exe. Naštejmo imenik C:\Compaq\,
kam je šlo vse:

Zdaj potisnimo ipeye.exe s tokom,
povezana z obstoječo datoteko
testna_datoteka.

Nato lahko enako storimo s stremenom
druge datoteke, potrebne za delo.
Upoštevajte, da alternativa
pretok je mogoče organizirati ne samo za
datoteke, ampak tudi za imenike, isti C:\ to
primer. Zaženemo skener, o katerem smo
rekel na začetku, ipeye.exe, na okuženih
računalnik:

c:\Compaq\test_file:ipeye.exe

(Se nadaljuje)

DIR /B C:\WINDOWS\System32\*.SCR

DIR /B C:\WINDOWS\System32\*.* |FIND /i ".SCR"

Podrobno opišite namen parametrov vsakega ukaza (ne pozabite, da lahko za vsak ukaz pomoč prikličete s tipko /?). Bodite pozorni na dejstvo, da imajo iste tipke lahko različne učinke za različne ukaze.

4.1.8. tokovi datotek NTFS*

Datotečni sistem NTFS podpira tokove datotek, ki so alternativni tokovi podatkov. Datotečni tokovi so pravzaprav kombinacija več datotek v eno skupino z enim skupnim imenom datoteke (vsak tok ima svoje dodatno ime). Skupina vsebuje glavni podatkovni tok, ki ga večina programov obravnava kot datoteko, in dodatne imenovane tokove, ki niso prikazani na običajne načine. Med datotečnimi operacijami kopiranja, premikanja, brisanja itd. v NTFS se operacija izvaja na celotni skupini. Pri uporabi nekaterih arhivarjev in kopiranju datotek, ki vsebujejo alternativne tokove, na particijo FAT se lahko ti tokovi izgubijo. Tehnično se alternativni tokovi uporabljajo za dopolnjevanje datoteke z informacijami, ne da bi spremenili vsebino glavnega toka in brez ustvarjanja dodatnih datotek, ki se lahko izgubijo.

Nadomestne tokove uporabljajo protivirusni programi za shranjevanje informacij o datoteki (prstni odtis, kontrolna vsota) za zaznavanje sprememb v datoteki skozi čas. Odjemalci Direct Connect File Exchange (DC++) lahko shranijo rezultate zgoščevanja (izračun kontrolne vsote) za velike datoteke, ki se uporabijo, ko se datoteka premakne med ponovnim zgoščevanjem, kar znatno pospeši posodobitve seznamov.

V prihodnosti bodo lahko programi knjižnic, filmotek in avdiotek uporabljali alternativne tokove za shranjevanje, skupaj z dokumenti, tokov ovitkov, zvočnih posnetkov, opisov in v različnih jezikih. Nadomestni tokovi omogočajo pripenjanje "tajnih" podatkov, kar je potencialna nevarnost.

Podatke o tokovih si lahko ogledate z ukazom STREAMS 25, programom NTFS Stream Explorer26, z uporabo modulov za razširitev upravitelja datotek27, v sistemu Windows 7 ukaz dir /r izpiše vse tokove za navedene objekte (uporabite lahko tudi dodatna stikala z ukazom dir ).

Ko shranjujete datoteke iz interneta, je tok Zone.Identifier 28 privzeto dodan datoteki NTFS, ki ima format datoteke ini in običajno vsebuje besedilo:

Parameter ZoneId s številko pomeni cono iz katere je datoteka prispela v računalnik, številka cone je vzeta iz nastavitev varnostnega območja ( Nadzorna plošča/Internetne možnosti(Omrežje in internet/ Lastnosti brskalnika

zera)/tabSecurity). Dovoljene so naslednje vrednosti29: 0 - lokalni računalnik

1 – intranet (lokalno omrežje, domena)

2 - zaupanja vreden vir

3 - internet

4 - nezaupljiv vir

Z vrednostjo 3 bo sistem izdal opozorilo " Ni mogoče preveriti

ubiti založnika. Ali ste prepričani, da želite zagnati ta program?",

potrditveno polje na dnu sporočila Vedno vprašaj, ko odpreš to datoteko«, katerega odstranitev odstrani streamZone.Identifier. Če ZoneId vsebuje vrednost 4, se pojavi opozorilo " Teh datotek ni mogoče odpreti. Internetne varnostne nastavitve niso dovoljevale odpiranja

25 tokov (http://technet.microsoft.com/en-us/sysinternals/bb897440)

26 NTFS Stream Explorer, programska oprema za pretakanje NTFS (http://hex.pp.ua/ntfs-stream-explorer.php)

27 Informacije o datoteki NTFS

(http://forum.farmanager.com/viewtopic.php?t=2050)

28 Blokiranje ustvarjanja niti za datoteke lahko onemogočite v urejevalniku pravilnika lokalne skupine (gpedit.msc):Uporabniška konfiguracija

Upravitelj datotek/ Skrbniške predloge/ Komponente sistema Windows/ Upravitelj prilog/ Izbriši informacije o izvornem območju priloge.

29 Tok Zone.Identifier (http://hex.pp.ua/Zone.Identifier.php)

eno ali več datotek” in odpiranje datotek je blokirano. Ko odprete okno Lastnosti v Raziskovalcu datotek za datoteko, prejeto iz interneta, se na dnu zavihka Splošno prikaže gumb Odblokiraj in

"Pozor: ta datoteka je bila prejeta iz drugega računalnika in je bila morda blokirana zaradi zaščite vašega računalnika" ", pritisnite gumb Unblock izbriše tok Zone.Identifier.

Z internetnim brskalnikom prenesite datoteko STREAMS.zip (lahko prenesete katero koli majhno datoteko, tako da v spodnjem ukazu navedete njeno ime), jo shranite v korensko mapo pogona F:, si oglejte vsebino toka Zone.Identifier z ukaz:

VEČ< F:\Streams.zip:Zone.Identifier

Odprite okno Lastnosti v Raziskovalcu (Alt+Enter ali ukaz Lastnosti v kontekstnem meniju) za preneseno datoteko, na zavihku Splošno kliknite gumb Odblokiraj, ponovite prejšnji ukaz v konzoli.

Ustvarite testno datoteko, ukaz, ki preusmeri besedilo besedilnega izhodnega stavka, dodajte alternativni tok, oglejte si rezultat:

ECHO Glavno besedilo > F:\M.TXT

ECHO Skrito besedilo > F:\M.TXT:Secret.TXT

VRSTA F:\M.TXT

VEČ< F:\M.TXT:Secret.TXT

Alternativni besedilni tok lahko naložite v beležnico:

BELEŽNICA F:\M.TXT:Secret.TXT

Ustvarite lahko tudi nadomestne tokove za mape in sistemske datoteke30.

Tokovi se uporabljajo tudi za shranjevanje razširjenih atributov31.

30 Skrito shranjevanje podatkov v tokovih datoteke $Repair v sistemskem imeniku $RmMetadata (http://hex.pp.ua/RmMetadata.php)

31 Razširjeni atributi NTFS in FAT16

(http://hex.pp.ua/extended-attributes.php) 53

    Večina uporabnikov sodobnih operacijskih sistemov družine Windows se je srečala s situacijo, ko se datoteka pomoči v formatu CHM (Compiled Help Module) odpre le delno - lahko si ogledate samo kazalo brez vsebine njegovih elementov:

Poleg tega, če poskusite odpreti datoteko CHM v omrežni skupni rabi z uporabo poti UNC (Universal Naming Convention), kot je \\server\h\help.chm, njeni razdelki niso prikazani. Z drugimi besedami, datoteke .chm si lahko normalno ogledate le, če niso bile prejete prek omrežja.

Podoben vzorec se pojavi, ko poskušate odpreti izvršljivo datoteko, ki je bila prenesena s spleta. Videli boste varnostno opozorilo:

Še več, isto datoteko, ekstrahirano iz arhiva, ki je bil tudi prenesen z interneta, je mogoče brez težav odpreti na tem računalniku. Pravzaprav je edina razlika ta, da je bila datoteka, ki se odpira, ustvarjena lokalno med postopkom razpakiranja in ne prenesena prek omrežja. Z drugimi besedami, Windows lahko določi omrežni izvor datoteke in se nanjo odzove z določenimi varnostnimi nastavitvami.

Mehanizem za določanje omrežnega izvora datotek.

V datotečnem sistemu NTFS je vsaka datoteka (ali imenik) predstavljena kot niz posameznih elementov, imenovanih lastnosti. Elementi, kot so ime datoteke, varnostne nastavitve in celo podatki, so vsi atributi datoteke. Vsak atribut je identificiran s kodo vrste atributa in po izbiri z imenom atributa. Tako je na primer ime datoteke vsebovano v atributu Ime datoteke, vsebina je v atributu PODATKI, podatki o lastniku in pravicah dostopa - v atributu Varnostni deskriptor itd. Vsebina vsake datoteke (atribut $DATA) je zbirka tokovi, v kateri so shranjeni podatki. Za vsako datoteko ali imenik v NTFS obstaja vsaj en glavni tok, v katerem so podatki dejansko shranjeni. Vendar pa je poleg glavnega toka lahko povezana tudi datoteka ali imenik alternativa (A nadomestni D ata S tream - ADS), ki lahko vsebuje tudi nekatere podatke, ki niso v nobeni povezavi s podatki glavnega toka. Glavni tok datoteke nima imena in je označen kot $DATA:"". Nadomestni tokovi morajo imeti ime, na primer - $DATA:"StreamData"- imenovan nadomestni tok tok podatkov

Pri izvajanju funkcij zapisovanja podatkov v datoteko se le-ti postavijo v glavni podatkovni tok. Ko z beležko odpremo na primer besedilno datoteko, dobimo dostop do podatkov glavnega toka. Podatki o alternativnih tokovih pri standardnem dostopu niso prikazani, ni pa niti znaka njihove prisotnosti. Vendar pa lahko do nadomestnih tokovnih podatkov, povezanih z določeno datoteko ali imenikom, dostopate s posebnimi programi ali z uporabo posebne sintakse v ukazni vrstici Windows.

Na primer pisanje besedila v datoteko test.txt z ukazom odmev:

echo Glavni podatki > test.txt- napišite besedilo "Main stream Data" v datoteko test.txt, kar pomeni pisanje v glavni neimenovani tok.

Lahko pa spremenite ukaz:

echo Nadomestni tok Podatki > test.txt:tok1- napišite besedilo "Podatki o nadomestnem toku" v imenovani nadomestni tok tok1 mapa test.txt

Zdaj lahko odprete, na primer, beležnico, vsakega od tokov:

beležka test.txt- vsebina glavnega toka se odpre z besedilom "Main stream Data"

beležka test.txt:tok1- vsebina alternativnega toka se odpre z besedilom ”Podatki alternativnega toka”

Nadomestni tokovi, ki so nevidni standardnim orodjem za delo z objekti datotečnega sistema, se kljub temu zelo pogosto uporabljajo za shranjevanje dodatnih informacij o datotekah in drugih servisnih informacijah. Tako na primer pri prenosu datotek iz interneta brskalniki dodajo alternativni tok z imenom Zone.Identifier, ki ga lahko odprete z beležnico, kot v zgornjem primeru

beležka %USERPROFILE%\Downloads\ChromeSetup.exe:Zone.Identifier- v beležnici odprite alternativni tok z imenom Zone.Identifier ChromeSetup.exe Pot do datoteke lahko izpustite, potem ko izvedete ukaz za prehod v imenik prenesenih datotek trenutnega uporabnika (s standardno lokacijo map uporabnika storitve):

cd %USERPROFILE%\Prenosi- pojdite v imenik za prenos.

notepad ChromeSetup.exe:Zone.Identifier- odprite alternativni tok z imenom Zone.Identifier za namestitveno datoteko brskalnika Google Chrome z imenom ChromeSetup.exe v trenutnem imeniku.

Kot lahko vidite, vsebina alternativnega toka vsebuje vrstice:

- znak razdelka z opisom območja prenosa podatkov
ZoneId=3- identifikator območja.

Te informacije omogočajo določitev izvora datoteke po identifikacijski številki. ZoneId:

0 - lokalni računalnik (lokalno).
1 - lokalno lokalno omrežje (Intranet)
2 - zaupanja vredna spletna mesta (Trusted Sites)
3 - internet (internet)
4 - nevarna mesta (omejena mesta)

Ta definicija območij na primer ustreza varnostnim nastavitvam Internet Explorerja:

V tem primeru lahko ugotovite, da datoteka ChromeSetup.exe je bilo pridobljeno iz interneta (zone ID = 3). Ko se taka datoteka zažene, bo izdano varnostno opozorilo o nezaupljivem viru. Varnostne funkcije aplikacij Microsoft Office delujejo na podoben način, ko opozarjajo na nevarnost odpiranja datotek, ki so bile prenesene iz interneta. Iz istega razloga se vsebina datotek pomoči v formatu CHM ne odpre - vsebina alternativnega toka vam omogoča, da jih razvrstite kot nevarne, ne glede na resnično ali neobstoječo nevarnost.

Poskusite spremeniti isto beležko, vrednost ZoneId na 0 , ki se bo ujemal z lokalnim izvorom datoteke, varnostno opozorilo pa bo izginilo, prav tako težave pri odpiranju pisarniških dokumentov ali tem pomoči v datotekah .chm.

Podobno se bodo varnostni sistemi obnašali v tistih primerih, če izbrišete vsebino alternativnega toka (ga naredite praznega) ali celo izbrišete sam alternativni tok.

Z operacijskim sistemom Windows 7 lahko uporabite ukaz za pridobitev seznama nadomestnih tokov datotek DIR s parametrom /R:

dir /r %UserpRofile%\Prenosi- prikaz seznama datotek in alternativnih tokov v imeniku Prenosi Trenutni uporabnik.

Za delo z alternativnimi tokovi v kateri koli različici operacijskega sistema Windows lahko uporabite pripomoček streams.exe iz programskega paketa Microsoft Sysinternals Suite. Paket vsebuje veliko majhnih programov za diagnostiko, optimizacijo in administracijo, vključno s pripomočkom, ki vam omogoča, da nadomestite pomanjkljivosti pri delu z alternativnimi tokovi.

Oblika ukazne vrstice:

streams.exe [-s] [-d] datoteka ali imenik

Možnosti ukazne vrstice:

-s- obdelava podimenikov.
-d- odstranite nadomestne tokove.
-nobanner- ne prikazujte začetne pasice in informacij o avtorskih pravicah.

Primeri uporabe:

streams.exe /?- prikaz pomoči pri uporabi programa.

streamsmyfile.txt- prikaz informacij o tokovih datotek moja datoteka.txt

tokovi -d moja datoteka.txt- odstranite nadomestne tokove datotek moja datoteka.txt

tokovi -d -s D:\Prenosi\*.*- brisanje nadomestnih tokov vseh datotek in podimenikov v imeniku D:\Prenosi\

V operacijskih sistemih Windows 8 in novejših vam lupina PowerShell omogoča tudi delo z nadomestnimi nitmi:

Get-Item -Path -Path C:\FirefoxSetup.exe -Stream *- prikaz informacij o nitih datoteke C:\FirefoxSetup.exe.

Get-Content -Path C:\FirefoxSetup.exe -Stream Zone.Identifier- prikaz vsebine alternativnega toka Zone.Identifier mapa C:\FirefoxSetup.exe

Remove-Item -Path C:\FirefoxSetup.exe -Stream *- odstranite vse nadomestne tokove, povezane z datoteko C:\FirefoxSetup.exe

Remove-Item -Path C:\FirefoxSetup.exe -Stream Zone.Identifier- odstranite nadomestni tok Identifikator območja toka povezana z datoteko C:\FirefoxSetup.exe.

Podatki o varnostnih območjih se pogosto uporabljajo v pravilnikih skupin, zlasti pa v upravitelju prilog Windows, ki deluje kot zaščita pred zlonamerno programsko opremo, ki je lahko v e-poštnih prilogah ali datotekah, prenesenih z interneta. Na Microsoftovem spletnem mestu je podroben članek o tem, kako konfigurirati upravitelja prilog in odpraviti težave, povezane z njim:
Opisuje, kako deluje Attachment Manager, ki je vključen v Microsoft Windows.

Na koncu bom dodal, da so alternativni tokovi lastnost datotečnega sistema NTFS in na primer v FAT32 niso podprti. Skladno s tem se pri kopiranju datotek iz NTFS v kateri koli drug datotečni sistem alternativni tokovi zavržejo.

Direktorji informatike porabijo veliko časa in sredstev za projekte, povezane s sistemi prodajne analitike in drugimi standardnimi poslovnimi podatki. Hkrati so ustvarjene nadzorne plošče za vodje, ki prikazujejo kazalnike uspešnosti podjetja in pomagajo graditi napovedi za prihodnost. Takšni sistemi podjetjem prinašajo veliko vrednost, v resnici pa so priložnosti, ki se prek njih odpirajo, le majhen del tega, kar je mogoče storiti s podatki, ki so na voljo organizaciji, pravi Krishna Nathan, CIO pri S&P Global (prej McGraw Hill Financial), ki se ukvarja z vzdrževanjem bonitetnih ocen ter zagotavljanjem svetovalnih in analitičnih storitev za borzo. Pod Nathanovim vodstvom je bil zasnovan in implementiran nov sistem za obdelavo podatkov v celotnem podjetju, izvaja se strategija za pospešitev poslovne rasti in ustvarjanje novih ponudb za stranke.

Nekatera podjetja začenjajo zbirati dodatne podatke – temu pravijo alternativno, netradicionalno ali ortogonalno. Zaenkrat je to nova usmeritev, vendar bi se direktorji informatike morali že danes seznaniti z ustreznimi tehnologijami. Konec koncev bodo zelo kmalu alternativni podatki postali nepogrešljivo orodje za številna podjetja.

Vendar ne hitite z najemom naslednjih dragih strokovnjakov. Ugotovimo, o čem pravzaprav govorimo.

Kaj so "alternativni podatki"

Nathan definira alternativne podatke na naslednji način: to so podatki, ki prihajajo iz netradicionalnih virov, njihova analiza pa vam omogoča, da izvlečete koristne informacije poleg tistih, ki jih običajno prejemate.

Recimo, da imate distribucijsko mrežo in nameravate odpreti novo trgovino v drugem mestu. Običajno takšna odločitev temelji na uspešnosti vaših trgovin v določenem mestu in drugih metropolitanskih območjih.

Alternativni vir podatkov bi lahko bili posnetki parkirišč supermarketov, posneti več mesecev – stopnje zasedenosti parkirišč je mogoče povezati z obsegom prodaje. Kot tudi informacije o prometu pešcev na območju, kjer je predvidena otvoritev trgovine. Z združevanjem prejetih informacij se lahko naučite nekaj novega, kar vam bo pomagalo pri vašem poslu.

S&P Global ponuja tudi analitične storitve za blagovne borze in CIO mora nenehno razmišljati o tem, kako z alternativnimi viri podatkov ponuditi dodatne informacije strankam, kako združiti različne informacije, da bi strankam dala informacije, ki jih ne bi mogli dobiti nikjer drugje.

Recimo, da ima S&P Global podatek, da lahko rafinerija v Rotterdamu proizvede 100.000 sodčkov naftnih derivatov na dan. A zaradi pomanjkanja zalog predela okoli 70 tisoč sodov, torej je na voljo prostih kapacitet še za 30 tisoč Kaj se zgodi, ko v pristanišče pripluje naftni tanker s 30 tisoč sodi? »Če je poročilo o razpoložljivi zmogljivosti tovarne staro en teden, potem ne bomo vedeli, da je bila nafta pravkar raztovorjena,« pojasnjuje Nathan. - To pomeni, da so tradicionalni podatki zastareli. In tukaj je koristen tak vir alternativnih podatkov, kot so satelitski posnetki. Če analiziramo satelitske posnetke skupaj z drugimi viri, dobimo natančnejšo sliko zalog in proizvodnje v skoraj realnem času.«

Alternativni podatki in CIO

Tudi če nimate pripravljenih primerov uporabe, se seznanite z novimi tehnologijami. Sodelujte v sistemih načrtovanja, ki omogočajo kombiniranje več podatkovnih virov za analizo. Naučite se upravljati verigo dostave podatkov, jo varovati, upoštevati pravice uporabe. In najemite pravo osebje – potrebujete izkušene podatkovne znanstvenike, ki jih lahko analizirajo in iz njih pridobijo koristne informacije.

Za hiter začetek projekta na področju alternativnih podatkov lahko uporabite že pripravljeno rešitev. To je storil S&P Global, ko je Platts, hčerinska družba podjetja, kupil cFlow, orodje za interpretacijo satelitskih posnetkov. CFlow ponuja orodja za vizualizacijo podatkov za sledenje spremembam v trgovinskih tokovih vzdolž poti ladij, zagotavlja informacije o količini in naravi tankerskega tovora.

Prepričajte vodje podjetij, da je čas za vlaganje v alternativne podatke – kupite obstoječe rešitve ali ustvarite svoje. Nekateri vaši alternativni podatkovni projekti bodo delovali, mnogi pa ne. No, če bodo alternativni podatki prinesli res dragocene informacije, jih uporabite za prejemanje sredstev za nove projekte.

— Martha Heller. Kaj so "alternativni podatki" in kako jih lahko uporabite? CIO. 3. januar 2017

V zadnjem času ima vse več uporabnikov računalnikov zaradi cenejše strojne opreme (v dolarskem smislu) na voljo povsem zadostna sredstva za delovanje operacijskega sistema Microsoft Windows NT (i200MMX + 32-64 Mb). Nezanesljivost in nepredvidljivost operacijskega sistema Windows 95/98 ter njegova nezmožnost pravilnega upravljanja z viri sodobnih računalnikov vodi mnoge uporabnike k razmišljanju o prehodu na NT.

Hkrati mnogi neizkušeni uporabniki zase ne najdejo ničesar radikalno novega. Z nameščenim Internet Explorerjem 4, ki ne izkorišča prednosti številnih varnostnih in zaščitnih zmožnosti NT, se morda zdi največja razlika od Windows 98 prisotnost dveh map »Zagon« v začetnem meniju (trenutni uporabnik in običajna mapa). za vse uporabnike) in odsotnost programčka Dodaj./Odstrani strojno opremo na nadzorni plošči. In če diska ne formatirate z datotečnim sistemom NTFS, potem ne najdete več razlike.

Toda ta članek opisuje samo nekatere razlike med NTFS in FAT, VFAT, FAT16 in FAT32. Dobro znane razlike: sposobnost samozdravljenja, leno pisanje, največja velikost nosilca in datoteke na njem do 16 eksabajtov ( 1 eksabajt = 1000000 GB), zmožnost stiskanja posameznih datotek in map, nastavitev dovoljenj in revizije je veliko obravnavana v literaturi in dokumentaciji za Windows NT. Še vedno pa obstajajo malo znane in malo uporabljene funkcije NTFS: trde povezave (hardlinks) in več podatkovnih tokov (multiply data flows ali forks). Nato bomo govorili o njih.

Več podatkovnih tokov. Ta izraz poznajo uporabniki Macintosha. V tem sistemu ima lahko datoteka dva toka (razcepa): tok podatkov in tok virov. Podatkovni tok shrani podatke datoteke - ta tok se kopira kot edini pri prenosu datoteke iz Macintosha v PC. Drugi tok datotek je tok virov, ki vsebuje podatke o operacijskem sistemu - menije, ikone, pisave, na splošno vse, kar običajno imenujemo viri. Ko Windows NT Server služi odjemalcem Macintosh in jim zagotavlja prostor na disku za shranjevanje datotek, mora datotečni sistem strežnika podpirati odjemalčevo obliko datoteke. To je eden od razlogov za pojav več podatkovnih tokov v NTFS.

Kako se izvaja? Vse informacije o datoteki, začenši z njenim imenom, dovoljenji in konča z dejanskimi podatki, shranjenimi v datoteki, so z vidika NTFS atribut, shranjen v svojem toku (tok). Razvijalci NTFS so menili, da ni mogoče biti omejen na en tok podatkov - neimenovan, in dodali možnost ustvarjanja več, poleg glavnih, imenovanih tokov. Za ustvarjanje več niti lahko uporabite funkcijo Win32 API, vendar obstaja lažji način.

Od časov Kernighana in Ritchieja, razvijalcev jezika C in operacijskega sistema UNIX, je imelo veliko operacijskih sistemov možnost posploševanja V/I operacij. S tega vidika lahko vsako V/I operacijo obravnavamo kot vhod iz toka ali izhod v tok, ne glede na to, kaj je vir podatkov (konzola, tj. tipkovnica, datoteka ali vrata) in cilj (spet konzola , v tem primeru že zaslon monitorja, tiskalnik ali datoteka). Obstaja tudi možnost preusmeritve vnosa - programskega izhoda z zaslona na tiskalnik in vnos ukazov ne s tipkovnice, temveč iz datoteke. V našem času vseprisotne uporabe grafičnega uporabniškega vmesnika se te funkcije uporabljajo zelo redko, zato pojasnimo povedano s primerom.

Ukaz Microsoftovega operacijskega sistema echo se uporablja za prikaz informacij na zaslonu v besedilnem načinu:

C:>echo Pozdravljen, svet!

Ukaz echo uporablja zaslon monitorja kot izhodno napravo. Izhod tega ukaza je mogoče preusmeriti iz konzole v datoteko (za to se uporablja simbol »>«):

C:>echo Pozdravljen, svet! > datoteka

Kot lahko vidite, ukaz echo v tem primeru ni prikazal ničesar na zaslonu. Toda v datoteki datoteke lahko najdete niz "Hello, World!". Podobno se lahko izhod ukaza echo preusmeri na tiskalnik:

C:>echo Pozdravljen, svet! >lpt1

Na zaslonu spet ni ničesar, vendar na listu papirja v tiskalniku še vedno najdete isto vrstico "Hello, world!", Seveda, če je tiskalnik priključen na vrata lpt1. Tako se lahko izhod katerega koli programa v besedilnem načinu preusmeri na katero koli napravo, ki podpira pretočni vnos informacij ali v datoteko, z izjemo tistih programov, ki uporabljajo neposredno spreminjanje video pomnilnika in drugih nestandardnih z vidika klasični C, zmožnosti izpisovanja informacij.

Podobno lahko preusmerite vnos programa. Ukaz več Microsoftovih operacijskih sistemov se uporablja za medpomnilnik izhoda ukazov, ki prikažejo več informacij, kot jih je na zaslonu. Toda ta ukaz lahko uporabite tudi za ponazoritev preusmeritve vnosa:

C:>več Pozdravljen, svet!

Datoteka je vsebovala niz "Hello, World!", ki je bil poslan na zaslon.

Podobno je mogoče ustvariti in prebrati več tokov podatkov s preusmeritvijo V/I:

C:>echo string1 > file:fork1

Vnosna datoteka:fork1 definira tok z imenom fork1 v datoteki datoteke (ker še ne obstaja, se ustvari nova s ​​tem imenom) in vanj preusmeri izhod ukaza echo. Hkrati se velikost datoteke ne spremeni, ko si ogledate njene lastnosti, in je nemogoče ugotoviti njen obstoj s standardnimi orodji Windows NT, ne da bi poznali ime toka. Če pa poznate njegovo ime, lahko z ukazom več določite njegovo vsebino:

Tako je mogoče ustvariti in prebrati vsebino podatkovnih tokov datotek. Število tokov, ustvarjenih v eni datoteki, je omejeno le z razpoložljivostjo prostega prostora na disku. Podobno lahko ustvarite podatkovne tokove v imenikih, vendar boste za ogled vsebine toka morali uporabiti drugo orodje za prikaz toka, saj ukaz več povzroči naslednjo napako:

Če ni bilo mogoče najti ničesar primernega, lahko v katerem koli prevajalniku C ++ napišete naslednji program:

medtem ko (cin.get(ch)) cout.put(ch);

Najbolje je, da ta program povežete kot konzolno aplikacijo Win32 in ga uporabite kot orodje za spoznavanje tokov imenikov.

Windows NT ne nudi standardnega sredstva za pridobivanje informacij o več podatkovnih tokovih. Kaj pa, če takšne informacije še vedno potrebujete? V tem primeru lahko uporabite program streams Marka Russinovicha, ki ga skupaj z izvorno kodo dobite na www.sysinternals.com. Ta program uporablja nedokumentirane funkcije Windows NT za pridobivanje informacij o več podatkovnih tokovih. Tukaj so informacije, ki jih je pridobil program streams o datoteki datoteke:

NTFS Streams Enumerator v1.0

Notranji sistemi - http://www.sysinternals.com

Tukaj si lahko ogledate tako ime podatkovnega toka kot njegovo velikost v bajtih (dodatni 3 znaki so presledek za znakom »>«, povratni znak in pomik vrstice, ki jih doda ukaz echo). Na žalost vam tokovi ne omogočajo definiranja več podatkovnih tokov v imenikih.

Za kaj se lahko uporablja več podatkovnih tokov? Poleg uporabe, ki jo je ugotovil Apple, je mogoče reči o najpreprostejših sredstvih za skrivanje informacij, na primer za zapomnitev datuma namestitve programa za skupno rabo. V zgodnjih dneh tehnologije OLE je Microsoft nameraval uporabiti podatkovne tokove za shranjevanje informacij o vdelanih objektih, vendar se je FAT očitno izkazal za težje zagotoviti podatkovne tokove kot dolga imena datotek in ga je bilo treba opustiti. Ustvarjanje "datoteke virov" za skript, shranjevanje vseh oznak vanjo, prikazanih v različnih jezikih, zanimiva je lahko tudi možnost uporabe tokov. Poleg naštetega obstaja še veliko zanimivih načinov uporabe več podatkovnih tokov, da jih ne zanemarimo.

Trde povezave. Uporabniki različnih klonov UNIX poznajo ta koncept. Za razliko od datotečnega sistema FAT, ki predvideva, da ima lahko vsaka datoteka samo eno ime, v UNIX-u ni te omejitve - vsaka datoteka ima lahko več imen in njenih podatkov ni mogoče izbrisati, dokler števec imen datotek ni enak 0. UNIX, tam so tudi simbolne povezave - podobne bližnjicam (shortcut) v sistemu Windows, vendar sledijo gibanju predmeta, na katerega se nanašajo.

Windows NT ima omejeno skladnost s standardom POSIX (prenosni vmesnik operacijskega sistema za računalniška okolja). En primer omejitve je podpora za trde povezave in nobena podpora za simbolične povezave. Očitno je bilo odločeno, da so bližnjice vreden analog simboličnih povezav.

V NTFS so trde povezave organizirane podobno kot več podatkovnih tokov: če ima datoteka več podatkovnih tokov, zakaj ne more biti več imenovanih tokov? Več imen datotek je lahko v različnih imenikih, vendar samo znotraj iste particije.

Za ustvarjanje trde povezave je potreben program za podsistem Windows NT POSIX. Takšen program je skupaj z izvorno kodo vključen na CD z viri Windows NT. Po analogiji z UNIX-om se ta program imenuje ln. Sintaksa za ta ukaz je:

C:>v datoteki hardlink1

S tem ukazom ustvarimo drugo ime ali trdo povezavo hardlink1 za datoteko file in s spreminjanjem vsebine datoteke file lahko spremenimo vsebino hardlink1, natančneje, to je ista datoteka, vendar z dvema imenoma. Podobno lahko spremenite druge atribute datoteke. Število imen datotek ni omejeno, vendar se pri kopiranju imena datoteke povezava prekine in ustvari se druga datoteka. Možno je ustvariti povezavo v drugem imeniku:

C:>Ln datoteka ../temp/hardlink2

V tem primeru morate podati ne absolutno, ampak relativno ime imenika.

Obstaja prav toliko uporab za trde povezave kot za več podatkovnih tokov. Ustvarite na primer trde povezave za knjižnice dll, da zaščitite svoj program pred nenamernim brisanjem potrebne datoteke. Druge možne uporabe trdih povezav je najbolje poiskati v literaturi UNIX. In, seveda, uporabo trdih povezav je mogoče kombinirati z več podatkovnimi tokovi, opisanimi zgoraj.