如何利用ntfs藏木马

黑客自白：早就听说过NTFS文件系统存在一个严重的漏洞，而漏洞的形成又是由于“微软好心办坏事”，这次我要讲的隐藏木马的方法就是如何利用ntfs藏木马？即利用NTFS交换数据流（ADSs）来实现，以躲避杀毒软件的查杀。
创建NTFS交换数据流
　　Windows无法使用自带的系统工具进行ADSs的检测，但却能够执行ADSs中的任意代码。创建一个数据交换流文件的方法很简单，在Windows中输入命令：“echo 数据流内容 > 源文件名:数据流名称”。
　　虽然在命令提示符窗口中不能直接执行捆绑后的文件流 ，但是不用逆操作来分离出我们的隐藏文件，直接运用start 命令就可以直接执行已隐藏的文件，这种方法相当隐蔽。
小资料：NTFS交换数据流
　　数据流（ADSs）简单地讲就是这个文件在执行时执行的内容。在 NTFS 文件系统下，每个文件都可以有多个数据流。当在非 NTFS 卷（如 FAT32磁盘分区）下读取文件内容时，系统只能访问一个数据流。因此用户会觉得它是该文件真正的“唯一”的内容。
　　但是当在 NTFS 卷上创建文件时，就可以通过在一个文件中创建多个数据流内容，这样很容易将一段恶意代码隐藏到某个文件之中。并且恶意代码在整个执行过程中，系统进程里也不会有这段代码的身影。
利用ADSs捆绑木马
　　ADSs原理看起来好像是非常的复杂，但是在实际应用过程中却非常的简单。首先创建一个临时文件夹，将准备好的木马程序如mm.exe复制到这个文件夹之中。接着打开命令提示符窗口，输入命令“echo ms.exe>mm.txt:wlf.txt”，这样就为木马创建了一个数据流文件（图1）。
　　我们利用WinRAR将木马程序隐藏到ADSs中，就相当于将数据流和木马程序进行捆绑操作。在临时文件夹上单击右键对这个文件夹进行压缩（图2）。
　　双击创建的压缩文件，点击WinRAR工具栏上的“添加”按钮，浏览选中临时文件夹。在出现的“压缩文件名和参数”面板中切换到“高级”标签中，接着选中其中的“保存文件数据流”选项，点击“确定”即可（图3）。
　　在WinRAR中选中kunb文件夹，点击工具栏上的“自解压格式→高级自解压选项→常规”选项标签，最后在“解压缩之后运行”中输入“start wlf.txt:ms.exe”即可（图4）。
　　点击“模式”选项标签，选中“全部隐藏”和“覆盖所有文件”这两个选项。全部设置完成后点击“确定”按钮返回，这样就创建了一个极为隐蔽的自解压木马，甚至可以躲过杀毒软件的查杀。当用户双击这个自解压文件后，就会运行里面的数据流木马了。
破解《UAC防线形同虚设》攻击招数
　　本周，一共有106位读者发来了破解招数。我们根据大家的破招描述和效果，最后评出来自广州的K‘DASH为最佳防御者，他将获得50元的奖励，同时，可以再参加年度最佳防御者的评选。
堵住UAC漏洞
　　利用正常文件来“掩护”木马文件避过UAC，是一个好方法。但也不是完美的，下面我来介绍几种方法进行防御。
　　1.要运行木马文件，就必须取得管理员的权限，这样才可以把木马文件写入到系统盘。我们就可以不用管理员身份运行程序，毕竟我们也不是时时都要安装系统文件的。
　　2.Vista的系统要装在NTFS系统分区上，而NTFS有一个“安全”管理。我们可以把SYSTEM32(因为很多木马或病毒都要把源文件复制到这个目录下)的权限只把“读取”选上，其余都不选，这样木马文件就写不入了。

　　3.安装实时文件监控的杀毒软件。文件实时监控会在用户打开程序时先扫描应用程序，木马自然就无处可藏了。