@roboq6

Какой софт создает «extended attributes» в процессе своей работы на NTFS?

Мне нужен файл у которого есть "extended attributes". Из того что нарыл в Интернете следует, что это довольно редко используемые метаданные в NTFS, которые изначально предназначались для обеспечения обратной совместимости с OS/2, но потом стали использоваться некоторыми зловредными программами (например ZeroAccess) для упрятывания своего кода от антивирусов. Впрочем якобы изредка встречается безвредный софт который использует "extended attributes" для своих нужд. Собственно я хотел бы узнать какой именно софт так делает, а также на каких файлах и когда он использует "extended attributes", дабы иметь возможность получить такой файл в свои руки.

Впрочем если у кого есть другие предложения как сгенерировать\получить файл с "extended attributes" - говорите.
  • Вопрос задан
  • 1089 просмотров
Решения вопроса 1
@roboq6 Автор вопроса
UPDATE: Проблема решена, я получил файл. Причём есть два способа, долгий и короткий.

Короткий способ:

1.Скачиваем консольную программу EA.exe (hex.pp.ua/extended-attributes-utility.php).
Она позволяет создавать, удалять, просмотривать (в смысле просматривать содержимое) и перечислять "extended attributes". Она работает под Windows Xp, насчёт других дистрибутивов Windows ХЗ, но наверное и там заведётся (если что, исходники доступны). Предположим нашим подопытным кроликом будет выступать файл C:\1.txt, обычный файл без "extended attributes".

С помощью команды [ea set C:\1.txt viCTORY "you won!"](заключил в квадратные скобки ибо кавычки уже итак используются в команде) мы создадим "extended attribute" по имени "VICTORY". Команда "ea dump C:\1.txt victory" выведет "you won!" (без кавычек).

Вот как получить такой файл долгим способом:

1.Я прочитал на англоязычной Википедии, что в OS/2 "extended attributes" могут использоваться интерпретатором REXX для того, чтобы ускорять последущие выполнение REXX-скрипта после того как он был запущен в первый раз. В связи с этим я запустил в виртуальной машине OS/2 Warp 4.5 (главное чтобы версия была больше или равна 2.0) на раздел с файловой системой HPFS (OS/2 может хранить "extended attributes" и на FAT16 файловой системе сохраняя их в дополнительные скрытые файлы, но у меня не было уверенности, что Windows NT 3.51 поддерживает такой танец с бубнами), после чего создал простенький helloworld на REXX, сохранил его в корневой каталог диска C: и запустил из командной строки с помощью команды "rexx C:\z.cmd". Код скрипта:
/* REXX */
SAY "Hello word!"
EXIT

2.Я выключил виртуальную машину с полуосью и присоединил её системный диск к виртуальной машине на которой установлена Windows NT 3.51 (это была последняя Windows официально поддерживающая HPFS. В принципе некоторые умельцы добивались работы HPFS на Windows NT 4, Windows 2000 и якобы даже на Windows XP, но это всё уже грязные хаки, которые могут работать, а могут и НЕ работать. Лично у меня получилось прочитать HPFS только используя Windows NT 3.51) чей системный раздел отформатирован под NTFS. Запустил Windows NT 3.51 и скопировал REXX-скрипт z.cmd с HPFS-диска в корневой каталог системного NTFS-диска.

3.Я выключил виртуальную машину с NT 3.51 и присоединил её системный NTFS-диск к виртуальной машине с Windows XP SP3, после чего запустил Windows XP SP3 и скопировал z.cmd на Рабочий стол. Далее я открыл этот файл в программе NTFS Stream Explorer (можно взять отсюда hex.pp.ua/ntfs-stream-explorer.php) и перешёл на вкладку "MFT attributes". В списке существующих атрибутов значились атрибуты $EA и $EA_INFORMATION. Причём размер обоих из них больше нуля(Кстати, NTFS Stream Explorer позволяет просматривать содержимое "extended attributes", добавлять новые "extended attributes" и удалять старые)Это победа!
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@pfg21
ex-турист
flylinkdc++ имеет опцию записи хеша содержимого файла в дополнительные потоки файла.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы