Ntfs

Das Dateisystem NTFS wird standardmäßig unter Windows verwendet. Und normalerweise hat eine Datei nur einen dazugehörigen normalen Datenstrom (Data Stream) mit dem Namen :$DATA. Aber es gibt auch die sogenannten “Alternate Data Streams” (ADS), die zusätzliche Daten enthalten können. Diese ADS werden teilweise vom System verwendet, könnten aber auch von Angreifern verwendet werden, um Daten zu verstecken. Ich habe zu dem Thema auch ein YouTube Video erstellt. NTFS Alternate Data Stream auslesen Aus dem Internet heruntergeladene Dateien erhalten bei vielen Browsern unter Windows ein “Mark of the web” (MOTW) im Zone.Identifier Stream. Dieser Stream enthält Infos zur Quelle der Datei - also z.B. dass sie aus dem Internet heruntergeladen wurde. Um den Inhalt eines ADS auszulesen, kann einfach Get-Content mit dem Parameter -Stream und der Angabe des Streamnamens verwendet werden. Alternativ kann an den Dateinamen :<Name des Streams> angehängt werden. ...

Das Datum einer Datei kann beliebig per PowerShell gesetzt beziehungsweise manipuliert werden. Im Screenshot sind beispielhaft ein paar beliebig gesetzte Werte zu sehen. Die Vorgehensweise ist getestet mit Windows PowerShell 5.1. Per Get-Member kann man sich die Zeit-Attribute einer Datei anzeigen lassen. 1 Get-Item beispiel.txt | Get-Member *time* Interessant sind hier die Attribute: CreationTime (Wann die Datei erstellt wurde) LastAccessTime (Wann das letzte Mal auf die Datei zugegriffen wurde) LastWriteTime (Wann die Datei zuletzt geändert wurde) Wie hinten am {get;set;} zu erkennen ist, kann man die Attribute auch nicht nur auslesen, sondern auch setzen. ...