posts - 2,&
comments - 0,&
trackbacks - 0
阅读排行榜
评论排行榜
据我所知道的（如果您还知道更好的方法，，谢谢），在Windows中有两套API可以读取NTFS系统中的流数据：第一套为FindFirstStreamW和FindNextStreamW(). 这套API铜FindFirstFile之类的API使用相仿，但该套API仅能在Windows2003上使用；另一套为备份使用的API，如BackupRead和BackupSeek。为了兼容各种平台，我们这里使用备份API。
首先，说明一下如何创建ADS：启动cmd，在命令行上输入：echo 测试ADS c:\a.txt:ccc。这样在c:\a.txt文件中就包含了除主流之外的ADS数据，程序判断该文件时候有流的方式很简单，主要的代码如下所示：
return 0;}
这仅仅是个简单的封装，很容易应用到自己的程序，呵呵。
阅读(1537)trackbacks-0
& & & & NTFS(New Technology File System)是Windows NT以及之后的Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista和Windows 7的标准文件系统。
& & & & &NTFS取代了文件分配表（FAT）文件系统，为Microsoft的Windows系列操作系统提供文件系统。NTFS对FAT和HPFS（高性能文件系统）作了若干改进，例如，支持元数据，并且使用了高级数据结构，以便于改善性能、可靠性和磁盘空间利用率，并提供了若干附加扩展功能，如访问控制列表（ACL）和文件系统日志。该文件系统的详细定义属于商业秘密，Microsoft已经将其注册为知识产权产品。
& & & NTFS 有五个正式发布的版本：
& & & 1) v1.0，随 NT 3.1 一起发布[来源请求]，发布于 1993 年中旬
& & & 2) v1.1，随 NT 3.5 一起发布[来源请求]，发布于 1994 年秋季
& & & 3) v1.2，由 NT 3.51（1995 年中旬）和 NT 4（1996 年中旬）提供（有时候也被称为&NTFS 4.0&，因为操作系统版本是 4.0）
& & & 4) v3.0 来自 Windows 2000（有时称作&NTFS 5.0&）
& & & 5)v3.1 来自 Windows XP（2001 年秋季，有时称作&NTFS 5.1&），Windows Server
年春季，有时称作&NTFS 5.2&），Windows Vista（2005 年中旬，有时称作&NTFS 6.0&），Windows Server
年初），Windows Server 2008 R2（有时称作&NTFS 6.1&）以及 Windows 7
& & & V1.0 和 V1.1 以及所有以后版本不兼容，也就是说，使用 NT 3.5x 写入的卷无法被 NT 3.1 读取，除非使用 NT 3.5x 光盘更新 NT 3.1，并添加对 FAT 系统的长文件名支持。V1.2 支持压缩文件、命名流、基于 ACL（访问控制列表）的安全性等功能。
& & & V3.0 支持磁盘限额、加密、稀疏文件、重解析点，更新串行数（USN）日志、$Extend 文件夹以及其中的文件，并改进了安全描述符，以便于使用相同安全设置的多个文件共享一个安全描述符。
& & & V3.1 使用冗余 MFT 记录数（用于恢复受损的 MFT 文件）扩展了主文件表（MFT）项Windows Vista 提供了事务 NTFS、NTFS 符号链接、收缩卷以及自我恢复功能，但这些附加功能由操作系统提供，而非文件系统自身的功能。
& & & 请不要将 NTFS.sys 文件版本（如 Windows 2000 中引入的 NTFS v5.0）和 NTFS 磁盘格式版本（如 Windows XP 开始的 v3.1）相混淆。NTFS v3.1 磁盘格式自从 Windows XP 开始就保持不变，也被随后用于 Windows Server 2003、Windows Server 2008、Windows Vista 以及 Windows 7。造成这种混乱的原因是 NTFS.sys 驱动程序的新功能是由 Windows 操作系统提供的，而非 NTFS 磁盘格式提供的。
3、功能简介
3.1 NTFS 日志
& & &&NTFS 是一个日志文件系统，使用 NTFS 日志（$Logfile）记录卷更改元数据。
& & &&这是 NTFS 一个非常关键的功能（FAT/FAT32 不提供此项功能），用于确保其内部的复杂数据结构（比较重要的如卷分配图、磁盘碎片整理 API 进行的数据转移操作、MFT（主文件表）记录的更改情况（如移动 MFT 记录中存储的变长属性和属性表））和索引（用于目录和安全描述符）即使在系统发生崩溃后仍然能保持一致，并且在卷被重新加载后能够方便地对这些关键数据结构的失败提交进行回滚。
3.2 USN 日志
& & &&USN 日志（更新串行数日志）是一项系统管理功能，用于记录卷中所有文件、数据流、目录的内容、各项属性以及安全设置的更改情况。应用程序可以利用日志追踪卷的更改。对于非系统卷，可以选择打开或关闭日志，当添加一个新卷后，默认情况下日志功能处于打开状态。
3.3&硬链接和短文件名
& & &&硬链接原本用于支持 Windows NT 的 POSIX 子系统，该功能类似于目录链接，不过作用目标是文件而非目录。硬链接只能作用到同一个卷的文件中，因为它需要在文件的 MTF 记录中增加一个额外的文件名记录。短（8.3）文件名也同样使用额外文件名实现，以便于实现同步更新。当更改文件的尺寸或属性时，不会立即更新对应的目录或者链接，直到打开它们的时候才能体现相对应的变化。
3.4&可选数据流（ADS）
& & &&可选数据流使得一个文件可以同时和多个数据流相关联，数据流的表述方式为&文件名:流名&，例如&text.txt:extrastream&。可选流不会显示在 Windows 资源管理器中，查看文件大小时它们的大小也不包含在内。如果将文件复制到 FAT 格式的磁盘、附加到电子邮件、上传到网站，或者移动到任何其它不支持可选流的位置上时，只有主数据流会被保留下来，其它可选流将被全部丢弃。因此，使用可选流来保存重要数据很可能发生意外。NTFS 流从 Windows NT 3.1 开始被引入，起初设计目的是为了 Services for Macintosh（SFM）能够正确存储 Macintosh的资源分岔。尽管现在 Windows 服务器已经不再包含 SFM 功能，很多第三方的Apple 归档服务（AFP）产品（例如 Group Logic 的 ExtremeZ-IP）仍然使用文件系统的这项功能。
& & &&有些恶意软件会使用可选数据流来隐藏程序代码。一些恶意软件扫描程序和其它特殊工具现在已经可以检查可选流中的内容。 Microsoft 提供了一个叫作 Streams 的工具，使得用户可以查看卷中的可选流。
& & &&Internet Explorer 和其它一些浏览器会在从网络上下载的文件中添加一个非常小的可选数据流，用于指示他们是从外来网站获得的，运行的时候可能不安全，因此在打开它们之前系统将会显示一个提示确认信息。当用户表示不希望再次看到这个确认对话框的时候，这个可选流将会从下载的文件中被直接删除。
& & &&有些媒体播放器也尝试使用可选数据流记录多媒体文件的自定义元数据以便于用户管理媒体文件，而这种方式无需修改媒体文件自身的内容（例如 MPEG、OGG 等格式提供的嵌入在文件内的标签信息）。Windows 资源管理器可能会作为额外的信息栏显示这些元数据。使用注册的 Windows 外壳扩展程序可以有效地解析这些数据，但是大部分媒体播放器还是使用自己的独立数据库而非可选数据流来保存这些信息。可选数据流的一个问题是受影响的文件上的信息对于所有用户都是可见的并且是共享的，因此无法有效地根据每个用户的安全设置和个人偏好而进行分别进行管理、设定和保护。
& & &&磁盘限额是 NTFS v3 提出的功能。该功能允许计算机管理员在支持该功能的 Windows 版本上为用户允许占用的磁盘空间设置阈值，同时也允许管理员跟踪察看每个用户使用的磁盘空间量。管理员可以为用户设置需要收到警告的磁盘空间使用级别，并当他们超过使用上限时拒绝对磁盘的访问。当 NTFS 的文件压缩启用时，磁盘限额不会影响该功能。当应用程序查询用户可用的剩余磁盘空间时，如果设置了磁盘限额，也会收到限额的数值。
& & &&磁盘限额功能在 Basic、Home 和 MediaCenter 版本的 Windows 上不受支持，必须安装 Professional、Ultimate 或者服务器版本的 Windows，或者上使用 Windows 域中的企业部署工具来使用这项功能。
3.6 稀疏文件
& & &&稀疏文件是包含稀疏数据集的文件，这些文件将储存文件在不同位置的多个片段的内容，而片段之间的内容将不会储存，特别适合大部分内容为空、只有少量实际数据的文件。当读取文件的时候，文件系统驱动程序将会对任何不存在的位置上的信息返回 0，因此文件内容看起来几乎全是零。很多数据库和科学程序有时会用到稀疏文件。因此，Microsoft 实现了对稀疏文件的高效存储支持，允许应用程序指定文件的空（零）数据区域。读取稀疏文件的应用程序可以使用常规方法读取数据，操作系统将根据当前位置的偏移量决定需要返回什么数据。和压缩文件相同，文件的实际大小不会影响对磁盘限额的判断。
3.7&重解析点
& & &&该功能在 NTFS v3 中可用。该功能将在用户空间中为文件或目录添加一个关联的重解析标记属性。当对象管理器（请参见Windows NT 线执行）解析文件系统名称并遇到重解析点属性时，它将&重解析&名称，将用户控制的重解析数据传递给所有 Windows 系统加载的文件过滤驱动程序。每个过滤驱动程序都将检查重解析数据，判断是否和该重解析点相关联。如果过滤驱动程序判定匹配，则将拦截文件系统调用，并执行自己的特定功能。重解析点用于实现卷加载点、目录连接、分层存储管理、本机结构存储，以及单实例存储。
3.8&目录连接
& & &&类似于卷加载点，但 目录连接将对象连接到文件系统中的其他目录而非卷。例如，目录 C:\exampledir 带有一个目录连接属性，链接到 D:\linkeddir，则当用户级别的应用程序访问时，将自动引用到目录 D:\linkeddir。该功能在概念上类似于 Unix 的目录符号链接，只是在 NTFS 中目标必须是另一个目录（典型的 Unix 文件系统允许将符号链接连接到任何其它类型的文件），而语义上等效于硬链接。
& & &&目录连接（可以在控制台中通过命令 MKLINK /J 连接名 目标目录 创建，使用 RMDIR 连接名junctionName 删除）是永久性的，在服务端进行解析时，使用和所属的卷相同的本地系统或域的安全领域，并且访问它和它的内容时，使用和目标目录以及其内容使用同样的安全设置。但连接本身可能拥有独立的安全设置，并且删除一个目录连接不会同时删除目标目录。
& & &&有些目录连接时 Windows Vista 系统创建的，用于保持和早期版本的 Windows 的兼容性，例如系统驱动器中的 Documents and Settings 文件夹会被连接到同一个卷中的 Users 物理目录上。但这些目录默认情况下是隐藏的，并且进行了相关的安全设置，因此 Windows 资源管理器将拒绝外壳或者大部分应用程序直接打开它们，除非使用本机内置的 SYSTEM 账户或者本机的 Administrators 用户组成员访问（这些账户是系统软件安装程序所使用的）。这些附加的安全限制可能是为了防止用户发现两个看上去相同的文件夹，然后错误地删除它们。
& & &&目录连接属于软链接（即使目标目录已经被删除，他们也仍然存在），使用一种类似于有限制的符号链接的形式工作（对于目标位置有额外的限制），但它们是经过特殊处理优化的，可以加快重解析点的处理速度，相对于更新的 NTFS 符号连接而言开销更小，并且可以在服务器端解析，因此可以在远程共享目录中访问它们。
3.9&符号链接
& & &&符号链接（或称软链接）从 Windows Vista 开始被引入。符号链接在客户端解析，因此如果共享一个符号链接，则目标将服从客户端的访问限制，而非服务端的限制。
& & &&符号链接可以链接到文件（使用 MKLINK 符号链接 目标文件名 创建），也可以链接到目录（使用 MKLINK /D 符号链接 目标目录 创建），不过和 Unix 符号链接不同，必须在创建链接的时候设定链接语义。但创建符号链接的时候目标并不需要存在或者可以访问，只有当访问符号链接的时候才会检查目标的可访问性。NTFS 也会同时检查符号链接的类型（文件或目录）是否正确，如果目标存在但是类型不正确，则系统会返回一个找不到目标的错误。
& & &&符号链接也可以引用远程主机上的共享文件夹，或者其中的文件或者子文件夹。但目标并不会被立即加载，而是在使用 OpenFile() 或者 CreateFile() API 请求打开的时候临时加载到系统中。符号链接将在被创建的 NTFS 上永久保留，所有类型的符号连接都可以通过文件的方式进行删除，可以命令行或者脚本中使用 DEL 符号链接 删除它们。
3.10&分层存储管理（HSM）
& & &&分层存储管理是一种转移一定时间不用的文件到价值更低的储存介质中的方法。当文件再次被访问时，文件上的重解析点将判定文件需要被使用，并将文件从储存介质中恢复出来。
3.11&卷影复制
& & &&卷影复制（VSC）服务通过将新改写的数据复制到卷影（写入时复制）来保存 NTFS 卷上的文件和文件夹的历史版本。当用户请求恢复旧早期版本时，旧的文件数据将会覆盖新的文件数据。该功能也使得数据备份程序可以存档当前系统正在使用的文件。对于负载较重的系统，Microsoft 建议将卷影副本设置到单独的磁盘上，以减小系统主要卷的 I/O 负载。
3.12&文件压缩
& & &&NTFS 压缩文件使用多种 LZ77 算法。在 4KB 的簇大小下，文件将以 64KB 为区块大小进行压缩。如果压缩后区块尺寸从 64KB 减小到了 60KB 或者更小，则 NTFS 就认为多余的 4KB 是空白的稀疏文件簇，也即认为它们没有内容。因此，这种模式将会有效的提升随机访问的速度。但是在随即写入的时候，大文件可能会被分区成非常多的小片段，片段之间会有许多很小的空隙。
& & &&压缩文件最合适用于很少写入、平常顺序访问、本身没有被压缩的文件。压缩小于 4KB 或者本身已经被压缩过（如 .zip、.jpg 或者 .avi 格式）的文件可能会导致文件比原来更大并且显著降低速度。应该尽量避免压缩可执行文件，如 .EXE 和 .DLL 文件，因为他们可能内部也会使用 4KB 的大小对内容进行分页。决不要压缩引导系统是需要的系统文件，例如驱动程序，或者 NTDLR、winload.exe 或者 BOOTMGR。
压缩高压缩比的文件，例如 HTML 或者文本文件，可能会增加对他们的访问速度，因为解压缩所需的时间要小于读取完整数据所花费的时间。
& & &&通常情况下对于文件的读写是透明的，但并非所有情况下都始终如此。 &Microsoft 建议避免在保存远程配置文件的服务器系统或者网络共享位置上使用压缩，因为这会显著地增加让处理器的负担。
& & &&硬盘空间受限的单用户操作系统可以有效地利用 NTFS 压缩。由于在计算机中速度最慢的访问不是 CPU 而是硬盘，因此 NTFS 压缩可以同时提高受限制的、慢速储存空间的空间和速度利用率。
& & &&当某个程序（如下载管理器）无法创建没有内容的稀疏文件的时候，NTFS 压缩也可以作为稀疏文件的替代实现方式。
3.13&单实例存储（SIS）
& & &&当若干个不同目录中存有内容相同的文件时，单实例存储允许将相同文件归并到一个单一文件中，并创建对归并后的文件的引用。单实例存储包含一个用于管理复制、修改和归并文件的文件系统过滤器和一个用于搜索需要归并的相同文件的用户空间服务（&groveler&）。单实例存储的主要设计目标是远程安装服务器，这些服务器上往往拥有多个包含许多相同文件的安装镜像，单实例存储可以将它们统一起来。但和硬链接不同，每个文件仍然是独立的，更改任何一个副本都不会影响其它文件。和写入时复制类似，该技术不会立即完成内存复制，直到某个副本被更改。
3.14&加密文件系统（EFS）
& & &&加密文件系统（EFS）提供对 NTFS 卷上任意文件和文件夹的用户透明的强保护。 加密文件系统与 EFS 服务、Microsoft 的加密应用程序接口（CryptoAPI）以及 EFS 文件运行时库（FSRTL）联合工作。 EFS 使用块对称密钥（也被称为&文件加密密钥（FEK）&）加密文件，这比起使用非对称密钥加密在加密和解密大量数据时消耗的时间较少。该对称密钥使用一个和加密文件的用户相关的公钥加密文件，加密后的数据储存在被加密文件的可选数据流中。当需要解密文件时，文件系统使用用户的密钥解密储存在文件头中的对称密钥，然后使用该对称密钥解密文件。这些操作在文件系统级别完成，因此对用户来说是透明的。同时，为了处理用户丢失密钥的情况，加密文件系统中提供了对附加解密密钥的支持，因此恢复代理在需要时仍然可以访问数据。NTFS 提供的加密和压缩功能是互相排斥的&&NTFS 只能使用其中一种功能，另一种功能可以使用其它第三方工具完成。
& & &&EFS 在 Basic、Home 和 MediaCenter 版本的 Windows 上不受支持，必须安装 Professional、Ultimate 或者服务器版本的 Windows，或者上使用 Windows 域中的企业部署工具来使用这项功能。
3.15&事务 NTFS
& & &&在 Windows Vista 中，应用程序可以使用事务 NTFS（Transactional NTFS）将一系列对文件的更改归组到一个事务中。事务能够确保所有更改要么同时生效，要么同时作废，并能确保在事务提交完成前，外部应用程序无法获知任何更改。
& & &&该技术使用和卷影复制类似的技术，以确保被改写的数据可以安全地回滚，通用日志文件系统的日志将记录下尚未成功提交或者已经提交但尚未完全生效的事务，通常情况下这是因为事务的某个参与者在提交过程中系统意外崩溃引起的。
& & &&事务 NTFS 并不要求事务必须在本地 NTFS 卷中，也可以包含在其它位置的事务数据或操作，例如在其它卷中、本地注册表中、 SQL 数据库中、系统服务或者远程服务中存储的数据。这些事务使用一个特定的服务&分布事务协调器（DTC）&在网络级别协调所有参与者，以确保所有参与者都能接收到同样的提交状态，以及传输将任何参与者确认的更改（这样其它参与者就可以清理过期的缓存数据或者回滚尚未提交的更改）。一个常见的用途是，利用事务 NTFS 可以很容易地创建一个网络级别的一致性分布式文件系统，并且每个参与者参与者都可以保留文件的脱机缓存。
4、内部实现
& & &&在 NTFS 中，所有文件数据&&文件名、创建日期、访问权限，以及内容&&都作为元数据储存在主文件表中。这种抽象的实现方式使得随着 Windows NT 的发展而添加文件系统功能变得非常容易。一个很典型的例子是为使用 Active Directory（活动目录）的应用程序添加用于索引的字段。
& & &&NTFS 允许为名称编码（包括文件名称、流名称、索引名称等）使用任意串行的 16 位值。这意味着支持 UTF-16 码位，但文件系统不会检查某个 UTF-16 串行是否有效（也即允许任意短整数串行，不受 Unicode 标准的限制）。
& & &&在内部，NTFS 使用 B+树索引文件系统数据。尽管该方式实现较为复杂，但能够在大多数情况下提高文件的查找速度。文件系统日志用于确保文件的元数据完整，而不是孤立的文件内容。相比于使用 FAT 的文件系统，使用 NTFS 的文件系统能够提高可靠性。
& & &&主文件表（MFT）包含每个文件及目录的元数据，以及 NTFS 卷的元文件。这其中包括文件名、位置、大小，以及权限。它的结构和算法被设计为可以最小化磁盘碎片。目录项包含一个文件名和一个&文件 ID&，该 ID 表示文件在主文件表中的记录编号。文件 ID 同时包含重复使用计数值，用于检测过期的引用。
4.1&元文件
NTFS 包含若干用于定义和组织文件系统的文件。总体来说，这些文件中的绝大多数结构和其它用户文件类似（&$Volume&是最特殊的），但不能被文件系统客户端直接访问。这些元文件用于定义文件、备份文件系统关键数据、缓存文件系统的更改、管理空闲空间的分配、满足 BIOS 的要求、跟踪坏扇区单元，以及储存安全信息和磁盘空间使用情况。
区段编号文件名作用
描述卷上的所有文件，包括文件名、时间戳、流名称和数据流所在的簇的编号列表、索引、安全标识符，以及文件属性（如&只读&、&压缩&、&加密&等）。
$MFT 的最开始的几个关键项的副本，通常是 4 项（4）。
包含文件系统更改的事务日志，以保护元数据的稳定性。
包含卷的相关信息，如卷对象标识符、卷标、文件系统版本，以及卷标志（加载、需要扫描、需要调整 $LogFile 大小、在 NT4 上加载、正在更新卷串行号、需要升级结构）。卷串行号储存在 $Boot 文件中。
使用的 NTFS 属性的表，包含名称、编号和描述。
一个位图，用于指示卷上的指定簇正在被使用或空闲。
卷引导记录，该文件位于卷的第一个簇，其中包含引导代码（用于定位并启动&NTLDR／BOOTMGR）、一个&BIOS 参数区块（其中包含卷串行号），以及 $MFT 和 $MFTMirr 所在的簇编号。
包含所有标记为&有坏扇区&的簇的一个文件。该文件用于为 chksdk（磁盘扫描）工具简化簇的管理，用于放置新发现的坏扇区，以及标识未被引用的簇。
访问控制列表（ACL）数据库，统一将 ACL 存储于该数据库中而非每个文件存储各自的 ACL 以减少总体代价。包含两个索引：$SII&&可能是安全 ID 索引，以及 $SDH&&安全描述符哈希，用于索引包含实际 ACL 列表的称为 $SDS 的流的位置。
一个&Unicode&大写字母表，用于确保在 Win32 和 DOS 命名空间下大小写不敏感。
一个文件系统目录，包含若干不定的可选扩展，如 $Quota、$ObjId、$Reparse、$UsnJrnl 等。
$Extend\$Quota
包含关于磁盘限额的信息。
$Extend\$ObjId
包含用于分布链接跟踪的信息。
$Extend\$Reparse
包含对卷上所有重解析点（如符号链接）的反引用。
常规文件项的开始位置。
& & 这些元文件会被 NTFS 专门处理，很难直接查看。需要使用专门为此设计的工具完成实现该功能（例如WinHex）。
节摘自维基百科
阅读(...) 评论()3702人阅读
&1、什么是NTFS数据流文件？
要了解NTFS流文件之前，你应该对NTFS文件系统有一定的了解，&NTFS是微软Windows&NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定，更安全，功能也更为强大。
这个NTFS数据流文件，也叫Alternate&data&streams，简称ADS，是NTFS文件系统的一个特性之一，允许单独的数据流文件存在，同时也允许一个文件附着多个数据流，即除了主文件流之外还允许许多非主文件流寄生在主文件流之中，它使用资源派生的方式来维持与文件相关信息，并且这些寄生的数据流文件我们使用资源管理器是看不到的。
2、为什么NTFS有数据流这个特性？
原意是为了和Macintosh的HFS文件系统兼容而设计的，使用这种技术可以在一个文件资源里写入相关数据(并不是写入文件中)，而且写进去的数据可以使用很简单的方法把它提取出来作为一个独立文件读取，甚至执行
3、为什么资源管理器里面看不到文件所带的数据流文件呢？&
从网上找来的原因是：我们之所以无法在系统中看到NTFS数据流文件，是因为Windows中的很多工具对数据流文件的支持并不是很好，就像&资源管理器&，我们无法在&资源管理器&中看到有关数据流文件的变化。&
不过这个原因很奇怪，同样是MS自己做的东西，"资源管理器都支持不好，还有啥工具能支持好呢？"&，后来再想，也可能是这样一个原因：，同时呢NTFS流的显示与普通的文件不一样，需要使用其他的枚举方式来完成，再有NTFS对广大普通用户桌面用户来说没有必要去看到，更多的是被专业软件所使用，即使显示出来也没意义。
4、如何查看，创建，删除NTFS流文件？
NTFS流文件分两种情况，一种是附着于宿主文件，一种是单独的数据流文件。这里将介绍两种编辑流文件的方法，一是系统自带的命令，一是使用工具。
1)&&系统命令编辑流文件实例：
a)&创建单独的数据流文件
行下使用下面的命令test1
只有使用notepad&:test1.txt可以查看。而即使我们知道了它的存在也无法删除，系统del命令不支持删除流文件。
b)&关联数据流文件
首先在C:/下创建一个主文件，打开记事本输入the&main保存为testt，下面我们为它关联一个流文件。
命令行下输入：echo&""&&&test.txt:stream.txt&。这样我们就创建了一个名为stream.txt，内容为&&的数据流文件，并与宿主文件test.txt进行了关联。当然你是没法在C:/下找到steam.txt文件的，同时查看宿主文件test.txt文件，内容依然没变，但是如果你前后关注下这个宿主文件大小，你会发现变化的。同样只能通过命令行让它现形，输入：notepad&test.txt:stream.txt,是不是打开了你刚创建的流文件了，哈哈，我是看到了。
2)&使用NTFS&Streams&info工具：
经过前面的操作，可以发现系统命令对NTFS数据流文件的支持还是很不好的，那么我们使用工具吧，NTFS&Streams&info，通过它你可以查看，创建，删除流文件。
a)&查看流文件
想知道你系统中到底哪些文件带着流吗？打开NTFS&Streams&info，在左窗口选择你要查看目录，切换到工具界面中间view标签页，单击start&按钮，右边窗口将以红色标记显示带着流的文件。如下图：
同样在访问文件的过程中，也可以用工具processmonitor查看，如果文件带了数据流文件，会被显示出来，如C:/readme.html:UnNamed，表示readme.html文件带了隐藏的数据流文件。
b)&创建流文件
右窗口选择一文件，下面我们为该文件关联数据流文件:&选择菜单Folder--Create&new&Ads&from&file&，这时你就可以将任意文件作为流文件关联在一个文件后面。
c)&删除流文件
使用NTFS&Streams&info查看到某些文件有带流文件后，再选择菜单：&Folder--Remove&ADS或者Batch&Removeing即可删除对应的流文件。
还有一种删除方法，因为只有NTFS文件系统支持数据流文件，所以将文件转移到FAT文件系统下，所带的数据流文件自动就会被删除掉了。
5、NTFS流文件如何执行，数据流病毒如何防范？
下面是一种比较常见到的数据流文件执行方法:建立键值"123"&=&%filepath%:&%streamName%，
对于没有使用过苹果产品的我来说，NTFS数据流文件的好处，我没发现，说说坏处吧，正如前面提到的，因为任何文件都可以作为数据流文件，因为NTFS流文件的隐藏功能，这正好被投机倒把的分子利用了，做啥？搞破坏，还做的神不知鬼不觉。很多恶意软件可以使用数据流文件系统来隐藏恶意代码以逃避病毒扫描程序的检查。
那么如何防范呢？
a)&常见到的自解压文件，不要双击直接运行，可以在自解压文件上点击鼠标右键，选择&用Winrar打开&，如果发现其中的文件夹是空的，那么就要留个心眼了，很可能这就是一个数据流木马陷阱。&
b)&不管杀毒软件是不是能查杀NTFS数据流木马，木马程序运行后，在内存中还是会还原出来的，一般的杀毒软件都带有内存监控功能，可以将木马程序在内存中拦截下来。因此，勤升级杀毒软件也是防范NTFS数据流木马比较有效的办法。
也有杀毒软件利用数据流的特性,如卡巴斯基扫描过文件之后,就以数据流的形式标记为白名单,这样却导致用户的硬盘空间被大量占用了,所谓的卡巴斯基吃硬盘就是这样,造成多少用户的困扰阿.
~~~~~~~~believe&yourself,nothing&is&impossible,write&in&01.20.2009&by&vivilorne~~~~~~~~
版权声明：本文为博主原创文章，未经博主允许不得转载。
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：77642次
排名：千里之外
原创：16篇
评论：11条