Windows магия, или как спрятать файлы

sovershenno_sekretnoБывают ситуации, когда необходимо спрятать некое содержимое от любопытных глаз. К примеру, вы не имеете прав администратора на компьютере, но не хотите, чтобы о вашем приватном содержимом узнали родственники или администратор компании.

Входящие данные

У нас есть папка H:\magic\content в ней находятся приватные данные и приложения
content-2012-01-05_16.50.55content_Properties-2012-01-05_16.42.31-crop

Процедура

Копируем любой файл в папку h:\magic, в нашем случае это будет smile.jpg
Ныкаем:
type h:\magic\content\guro_hentai_01.mkv > h:\magic\smile.jpg:guro_hentai_01.mkv
type h:\magic\content\hack_tools.exe > h:\magic\smile.jpg:hack_tools.exe
type h:\magic\content\my_sexy_photo.jpg > h:\magic\smile.jpg:my_sexy_photo.jpg
type h:\magic\content\secret.txt > h:\magic\smile.jpg:secret.txt
Удаляем папку H:\magic\content и видим, что у нас остался только наша картинка smile.jpg и размер его соответствует первоначальному, что никак не выдает наши данные.
magic-2012-01-05_17.00.32magic_Properties-2012-01-05_17.00.43--crop
Достаем:
"%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe" h:\magic\smile.jpg:guro_hentai_01.mkv
Windows_Media_Player-2012-01-05_16.02.58
start h:\magic\smile.jpg:hack_tools.exe (в Windows 7 убрали возможность запуска приложений из альтернативных потоков)
Process_Explorer_-_Sysinternals_www.sysinternals.com_lifesongURANUS-2012-01-05_16.51.31
mspaint h:\magic\smile.jpg:my_sexy_photo.jpg
smile.jpgmy_sexy_photo_-_Paint-2012-01-05_17.05.45
notepad h:\magic\smile.jpg:secret.txt
smile.jpgsecret_-_Notepad-2012-01-05_17.06.41
Можно было обойтись и без файла, используя просто папку h:\magic
type h:\magic\content\guro_hentai_01.mkv > h:\magic:guro_hentai_01.mkv
"%ProgramFiles(x86)%\Windows Media Player\wmplayer.exe" h:\magic:guro_hentai_01.mkv
Весь фокус основывается на использовании альтернативных потоков данных файловой системы NTFS. Есть утилиты, которые позволяют подглядывать в альтернативные потоки, но, от нецелевого любопытства, данный способ вполне может уберечь.
Большинство утилит аудита ПО (SCCM, Audit Pro) просто не умеют с ними работать, следовательно, не видят содержимое и не запятнают вашу репутацию перед начальством.

Популярные сообщения из этого блога

Новый функционал конференций в Lync Server 2013: "Вопросы и ответы"

Изображение
После установки нового набора обновлений  http://www.microsoft.com/en-us/download/details.aspx?id=36820  в Lync Server 2013 при проведении конференций стал доступен новый функционал - "Вопросы и ответы". Ниже скриншоты, позволяющие понять, принцип использования данного функционала. В конференции появился новый пункт "Вопросы и ответы" при его нажатии, встроенный чат отключается и появляется новая вкладка. Отключение чата Написание вопроса Ответы на вопросы участников Вопросы после ответа Возможность сохранить сессию вопрос и ответов, для дальнейшего изучения и/или взаимодействия со слушателями, даже после окончания конференции. Особенности работы данного режима: При новом или повторном подключении, пользователь видит уже заданные ранее вопросы, по принципу Persistent Chat При ответе на вопрос, он автоматически закрывается, если участнику конференции нужно уточнить, то ему следует задать новый вопрос, скорректированный на о...
§ подробнее ►

Принудительное удаление кластера (Failover Clustering)

Изображение
Если в силу своей криворукости вы неполностью удалили кластер (Failover Clustering) и при попытке удалить данный компонент, встречаетесь с ошибкой: "Cannot remove Failover Clusting This server is an active node in a failover cluster. Uninstalling the Failover Clustering feature on this node may impact the availabilty of clustered service and applications. It is recommended that you first evict the server from cluster membership. This can be done through the Failover Cluster Management snap-in by expanding the console tree under Nodes, selecting the node, clicking More Actions, and then clicking Evict." Решение: reg delete HKLM\system\CurrentControlSet\Services\ClusDisk /f  reg delete HKLM\system\CurrentControlSet\Services\ClusSvc /f Или воспользоваться PS командой: Import-Module FailoverClusters clear-clusternode После этого вам уже дадут удалить компонент failover clustering.
§ подробнее ►

Компьютер просыпается сразу после ухода в спящий режим

Изображение
Симптомы : посылаем компьютер в спящий режим, а он не слушается и спустя пару секунд снова урчит вентиляторами, чем вызывает жесткий батхерт. Исследуем : в журналах Windows читаем следующую надпись The system has resumed from sleep. Sleep Time: ‎2011‎-‎02‎-‎27T09:44:20.136000000Z Wake Time: ‎2011‎-‎02‎-‎27T09:45:17.146000000Z Wake Source: Device -USB Root Hub Отключаем поочередно устройства, дабы найти виновника, заодно рыщем по англоязычным форумам, приходим к выводу, что виновники мышка + клавиатура Причина : баг драйверов устройств ввода Решение : сменить устройства ввода или отключить их возможность вывода из спящего режима, для этого делаем так: Запускаем диспетчер устройств – devmgmt.msc Находим клавиатуру и снимаем галку, позволяющую ей выводить компьютер из спящего режима, повторяем для мышки Всё, теперь компьютер нужно будить либо по таймеру или кнопкой на системном блоке Касательно таймера, необходимо обратить внимание на задачи в вашем планировщике, дабы осо...
§ подробнее ►