Cпрятать и запустить файл в альтернативном потоке

[Senator]

А как спрятать файл в Windows/
В связи с тем, что сейчас повсеместно используются системы Windows, работающие на файловой системе NTFS, среди хакеров и вирусописателей стало модно прятать данные в так называемые альтернативные потоки данных ADS (Alternative Data Streams). Такие потоки можно создавать не только внутри любого файла в NTFS, но и даже в каталоге, при этом данные, сохраненные в потоках, будут абсолютно невидимы в системе, хотя и будут уменьшать общее место на диске. Формат альтернативных потоков данных имеет следующий вид:

имя_файла:имя_потока:атрибут

Атрибут является необязательным. Например, вот так можно скопировать файл или содержимое любого существующего файла в альтернативный поток:

C:>type bigfile.exe >> bar.txt:bigfile.exe

В результате выполнения данной команды файл bigfile.exe будет прикреплен к bar.txt в качестве потока. Запустить bigfile.exe на выполнение прямо из потока можно следующей командой:

C:>start c:\bar.txt:bigfile.exe

Забавно, что штатными средствами Windows определить наличие альтернативных потоков в системе невозможно. Для этого нужны сторонние утилиты, например ads_cat (

You must be registered for see links

). Эта программа может не только обнаруживать, но и удалять альтернативные потоки.