ADSReader
Nach dem
Richard schon seinen Programm zum Anzeigen von Alternate Data Streams (ADS) vorgestellt hat, hier nun meins. Letztendlich ist es nur ein Proof of Concept, weil ich wissen wollte wie es geht und hier schon sehr interessiert nachgefragt wurde wie das mit den Alternate Data Streams funktioniert. Das Programm dient eigentlich nur zum Testen meiner TMpuADS Klasse.
Was sind Alternate Data Streams?
Zitat von
sysinternals:
The NTFS file system provides applications the ability to create alternate data streams of information. By default, all data is stored in a file's main unnamed data stream, but by using the syntax 'file:stream', you are able to read and write to alternates. Not all applications are written to
access alternate streams, but you can demonstrate streams very simply. First, change to a directory on a NTFS drive from within a command prompt. Next, type 'echo hello > test:stream'. You've just created a stream named 'stream' that is associated with the file 'test'. Note that when you look at the size of test it is reported as 0, and the file looks empty when opened in any text editor. To see your stream enter 'more < test:stream' (the type command doesn't accept stream syntax so you have to use more).
Mein Programm leistet allerdings noch etwas mehr als das von Richard und allen gängigen Programmen, die ich gefunden habe. Der ADSReader kann nicht nur Datenströme anzeigen und löschen, sondern auch Datenströme anhängen und zwar sowohl Text als auch binäre Datenströme. Handelt es sich um einen binären Datenstrom einer Anwendung, lässt sich dieser Datenstrom ausführen. Dabei taucht als Prozess im Taskmanager nur der Name der Exe-Datei an den der binäre Datenstrom angehangen wurde auf. Verständlich dass damn dies auch missbrauchen kann, um einen Prozess zu verstecken. Deshalb über nehme ich keinerlei Verantwortung, sollte mein Programm oder dessen Code missbraucht werden.
Code:
ADSReader 1.0.0.7 Copyright ® Michael Puff
[
url]http://www.michael-puff.de[/
url]
Alternate Data Stream reader
ADSReader.exe [/r | /w | /d | /b] Filename {File} {/n:Streamname} {/tData}
/r Reads the Alternate Data Streams associated with the given file.
/w Writes the Alternate Data Stream. Requires /n and /t.
/d Deletes the given stream. Requires /n.
/b Appends the binary data of <file>. Requires /n.
/n Stream name. Required for /w, /d and /b.
/t Stream text data. Required for /w.
Beispielaufrufe
Datenströme ausgeben:
Ergibt:
Code:
C:\Dokumente und Einstellungen\mp\Eigene D
>adsreader /r TestApp.exe
:Teststream [30]
Nur ein doofer Text zum testen
ADSReader 1.0.0.7 Copyright ® Michael Puff
[
url]http://www.michael-puff.de[/
url]
Datenstrom anhängen:
Code:
adsreader /w TestApp.exe /n:Teststream /t:"Nur ein doofer Text zum testen"
Binären Datenstrom anhängen:
Code:
adsreader /b TestApp.exe c:\Windows\notepad.exe /n:notepad.exe
Ausführen des binären Datenstromes:
Code:
start d:\TestApp.exe:notepad.exe
(Wichtig: Es muss der komplette Pfad angegeben werden.)