Thema der Woche

5. September 2001

Durchblick bei NTFS-Streams

Dateien im NTFS-Format unter Windows NT/2000 können mehrere so genannte Streams beherbergen, deren Inhalt und Größe dem Anwender nicht ohne weiteres ersichtlich sind. Eine Datei, die vermeintlich nur ein Byte groß ist, kann durchaus einen mehrere Megabyte umfassenden "geheimen" Datenstrom enthalten; denn der Windows-Explorer und der Standard-"dir"-Befehl zeigen nur die Größe des Standardstreams an. In solchen Unterbereichen könnten auch Computer-Viren und -Würmer Daten verstecken, die sich eventuell dem Zugriff durch Virenscanner entziehen.

Da nach Erkenntnissen des externer Link asb Systemhauses Angriffe auf Firmennetzwerke dieses Mechanismus in letzter Zeit zunehmend nutzen, hat das Unternehmen mit asbSTREAMlist ein Kommandozeilenprogramm entwickelt, das alle NTFS- Streamtypen auflistet - auch unter Windows 2000. Ist der Name eines Streams bekannt, lässt sich dieser ansprechen und zum Beispiel mit dem "more"-Befehl anzeigen. Das Freeware-Tool asbSTREAMlist sucht nach der Eingabe eines Pfades nach Multiple Data Streams und gibt gegebenenfalls die gefundenen Streams mit Pfad, Größe und Namen aus. Eine Profiversion besitzt weitere Funktionen, unter anderem eine Schnittstelle für Virenscanner sowie die Möglichkeit, Streams zu löschen. Die Freewareversion steht auf externer Link www.asb- systemhaus.de/products/asbSTREAMlist.asp zum Download bereit.