Alternatywne Strumienie Danych (ADS) w NTFS to mechanizm systemu plików Windows (NTFS od NT 3.1), umożliwiający dołączanie ukrytych strumieni danych do plików bez zmiany ich rozmiaru czy widoczności
w Explorerze. Główny strumień to standardowe dane pliku; dodatkowe definiuje się jako plik:nazwa_strumienia.
Kluczowe cechy
Dane w ADS zapisują się w MFT (Master File Table), ale nie sumują do rozmiaru pliku w dir – idealne do metadanych czy ukrywania. Kompatybilność z macOS HFS (resource fork).
Przykłady zastosowań
Inne przykłady:
- Zone.Identifier: Automatycznie dodawany przez IE/Edge do plików z internetu (markuje jako „niezaufane”).
- Metadane plików: Autor, opis, tagi w starszych Windows (karta „Podsumowanie”).
- Ukrywanie payloadów malware: Rootkity zapisują exe w
system32.dll:hidden.exe. - Steganografia: Ukrywanie plików w niewidocznych strumieniach (np.
test.txt:payload.exe). - Backup i kompatybilność: Przechowywanie dodatkowych atrybutów bez wpływu na transfer (tracone poza NTFS).
Sprawdzaj narzędziami jak Sysinternals Streams lub AlternateStreamView.