NTFS隐写

created: "2025-11-19 23:24"
tags:
  - MISC
  - NTFS隐写
aliases:
Type:
title:
updated: "2025-11-19 23:29"

NTFS 隐写通常利用 Alternate Data Streams (ADS) 在同一文件上挂载额外的流来藏数据，系统会把它们与主数据流分开保存，普通目录或 type/dir 默认不会显示，因而形成“隐写”效果。

1. 利用

发现

dir /R
Get-ChildItem -Force -Stream

读取

more < file:stream:$DATA
powershell Get-Content file -Stream stream
type file:stream

创建/写入

echo secret > file:stream
#or
type payload.exe > host.txt:payload.exe