Не обращали внимания, что при скачивании файла из интернета после запуска исполняемого файла пользователь можно увидеть сообщение «Не удаётся проверить издателя. Вы действительно хотите запустить эту программу» ?.
Делается это за счет добавления в момент скачивания к файлу дополнительного потока Zone.Identifier, который содержащий информацию о том, из какого места получен данный файл и последующего анализа этого потока перед запуском.
Про дополнительные потоки NTFS за столько лет не писал только ленивый, но вот здесь есть неплохая статься, которая систематизирует типы метаданных, которые могут быть присоединены к файлу или каталогу средствами файловой системы NTFS.
Очень сжато, систематично и хорошо описано - ровно так, как нужно тому, кто "не в теме".
Слово автору поста: "В данной теме я рассмотрю четыре вида метаданных, которые могут быть прикреплены к файлу или каталогу средствами файловой системы NTFS. Я опишу, в каких целях можно использовать тот или иной тип метаданных, приведу пример его применения в какой-либо технологии Microsoft или стороннем программном обеспечении.
Речь пойдёт о точках повторной обработки (reparse points), идентификаторах объектов (object id) и о других типах данных, которые может содержать файл помимо своего основного содержимого."
Upd: Ещё можно почитать вот это: http://www.insidepro.com/kk/044/044r.shtml. Там в конце практическоая иллюстрация техники разбора файловой записи NTFS «руками» (из комментариев к тому же посту).
Комментариев нет:
Отправить комментарий