Рассмотрим пример, в котором атакующий хочет скрыть данные в потоке, связанном с файлом notepad. ехе. Конечно, атакующий способен маскировать данные за любым файлом в системе, но предположим, что он выбрал notepad. ехе. Обычный поток, связанный с notepad, ехе, содержит исполняемую программу для простого редактора Notepad.
Атакующий создаст другой поток позади notepad, ехе, используя программу ср, включенную в Resource Kit для Windows NT. Resource Kit от Microsoft, который может быть куплен во множестве книжных магазинов и у продавцов программного обеспечения, содержит множество инструментов для администрирования систем с Windows NT. Некоторые из инструментов Resource Kit оказались удобными для атакующих. В частности, программа ср предназначалась для
копирования файлов, но она также может перемещать данные в файловые потоки. В нашем примере атакующий хочет взять stuff . txt и скрыть его в потоке позади notepad, ехе. Он печатает:
С:\>ср stuff.txt notepad.ехе:data
Приведенная команда копирует содержимое файла stuff . txt в поток data позади файла notepad, ехе. Двоеточие, сопровождаемое именем потока, указывает, в какой поток поместить данные. Атакующий вправе дать новому потоку любое имя и создать любое число потоков для каждого файла. Новый поток, названный data, автоматически создан командой ср и прикреплен к концу файла notepad.exe. После удаления файла stuff.txt в этом каталоге он исчезнет бесследно. Все содержимое stuff . txt скрыто позади исполняемой программы редактора Notepad.
Теперь, если кто-нибудь запускает программу notepad. ехе, обычная исполняемая программа реализуется без указания на скрытый файловый поток. Когда вы посмотрите на размер файла notepad. ехе, отобразится размер обычной ис- полняемои программы, опять же без указания на скрытый файловый поток. <Зтот поток весьма эффективно замаскирован. Позднее атакующий может вернуться к системе и извлечь скрытые данные из созданного потока, снова используя команду ср:
С:\>ср notepad.ехе:data stuff.txt
Теперь файл stuff . txt восстановлен, и атакующий получил доступ к его содержимому.
