Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Software-Projekte der Mitglieder (https://www.delphipraxis.net/26-software-projekte-der-mitglieder/)
-   -   ADSReader (https://www.delphipraxis.net/101325-adsreader.html)

Luckie 11. Okt 2007 13:45
ADSReader
 
Liste der Anhänge anzeigen (Anzahl: 1)
ADSReader

Nach dem Richard schon seinen Programm zum Anzeigen von Alternate Data Streams (ADS) vorgestellt hat, hier nun meins. Letztendlich ist es nur ein Proof of Concept, weil ich wissen wollte wie es geht und hier schon sehr interessiert nachgefragt wurde wie das mit den Alternate Data Streams funktioniert. Das Programm dient eigentlich nur zum Testen meiner TMpuADS Klasse.

Was sind Alternate Data Streams?
Zitat:
Zitat von sysinternals
The NTFS file system provides applications the ability to create alternate data streams of information. By default, all data is stored in a file's main unnamed data stream, but by using the syntax 'file:stream', you are able to read and write to alternates. Not all applications are written to access alternate streams, but you can demonstrate streams very simply. First, change to a directory on a NTFS drive from within a command prompt. Next, type 'echo hello > test:stream'. You've just created a stream named 'stream' that is associated with the file 'test'. Note that when you look at the size of test it is reported as 0, and the file looks empty when opened in any text editor. To see your stream enter 'more < test:stream' (the type command doesn't accept stream syntax so you have to use more).
Mein Programm leistet allerdings noch etwas mehr als das von Richard und allen gängigen Programmen, die ich gefunden habe. Der ADSReader kann nicht nur Datenströme anzeigen und löschen, sondern auch Datenströme anhängen und zwar sowohl Text als auch binäre Datenströme. Handelt es sich um einen binären Datenstrom einer Anwendung, lässt sich dieser Datenstrom ausführen. Dabei taucht als Prozess im Taskmanager nur der Name der Exe-Datei an den der binäre Datenstrom angehangen wurde auf. Verständlich dass damn dies auch missbrauchen kann, um einen Prozess zu verstecken. Deshalb über nehme ich keinerlei Verantwortung, sollte mein Programm oder dessen Code missbraucht werden.

Code:
ADSReader 1.0.0.7 Copyright ® Michael Puff
[url]http://www.michael-puff.de[/url]

Alternate Data Stream reader

ADSReader.exe [/r | /w | /d | /b] Filename {File} {/n:Streamname} {/tData}

  /r   Reads the Alternate Data Streams associated with the given file.
  /w   Writes the Alternate Data Stream. Requires /n and /t.
  /d   Deletes the given stream. Requires /n.
  /b   Appends the binary data of <file>. Requires /n.
  /n   Stream name. Required for /w, /d and /b.
  /t   Stream text data. Required for /w.
Beispielaufrufe
Datenströme ausgeben:
Code:
ADSReader /r <dateiname>
Ergibt:
Code:
C:\Dokumente und Einstellungen\mp\Eigene D
>adsreader /r TestApp.exe
:Teststream [30]
Nur ein doofer Text zum testen

ADSReader 1.0.0.7 Copyright ® Michael Puff
[url]http://www.michael-puff.de[/url]
Datenstrom anhängen:
Code:
adsreader /w TestApp.exe /n:Teststream /t:"Nur ein doofer Text zum testen"
Binären Datenstrom anhängen:
Code:
adsreader /b TestApp.exe c:\Windows\notepad.exe /n:notepad.exe
Ausführen des binären Datenstromes:
Code:
start d:\TestApp.exe:notepad.exe
(Wichtig: Es muss der komplette Pfad angegeben werden.)

_frank_ 11. Okt 2007 17:25
Re: ADSReader
 
scheint soweit ganz gut zu funktionieren.
fände eine Such-Routine noch ganz praktisch, also einfach auflisten aller ADS in einem Ordner (ggf. rekursiv).

lt. Wikipedia werden u.a. die Vorschaubilder vom Explorer in ADS abgelegt, jedoch konnte ich die noch nicht finden. weder an der Thumbs.db noch an dem Bild selbst...?
So wie es aussieht sind die vorschaubilder direkt in der Thumbs.db (also nicht im ADS) da dort der JPEG-Header (FF D8 FF) öfters auftaucht, was heisen würde, dass dieser Punkt bei WIKI falsch ist...

ich erinnere mich an eine Fehlermeldung, wenn man versucht die Thumbs.db zu verschieben (nur wann...), dass dieser Datei Informationen angehängt sind (:encryptable). Nur unter welchen Bedingungen die Meldung kommt ist mir noch ein Rätsel.hab auch versucht, die datei auf eine Fat32-Partition zu verschieben. aber die meldung kam nicht. Bei meinem Test hing zwar ein encryptable dran, aber mit 0 bytes.

Gruß Frank

Luckie 11. Okt 2007 18:45
Re: ADSReader
 
Zitat:
Zitat von _frank_
scheint soweit ganz gut zu funktionieren.
fände eine Such-Routine noch ganz praktisch, also einfach auflisten aller ADS in einem Ordner (ggf. rekursiv).
Dazu gibt es ja schon jede Menge anderer Programme, deswegen habe ich mir diese Aufwand erspart.

himitsu 24. Nov 2007 19:38
Re: ADSReader
 
:encryptable klingt nach EFS, die Datei war also vermutlich NTFS-verschlüsselt.


Zitat:
Zitat von _frank_
ich erinnere mich an eine Fehlermeldung, wenn man versucht die ... zu verschieben (nur wann...)...
wenn man versucht eine Datei mit alternativen Datenströmen irgendwohin verschieben möchte, wo keine ADS möglich sind (z.B kann FAT32 dieses nicht ... nur NTFS und WinFS unterstützen dieses), dann gibt Windows eine warnung aus, da sonst der/die ADS gelöscht würden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:59 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz