Découvrez les flux de données dans le système de fichiers NTFS, une fonctionnalité qui permet d’associer plusieurs flux à un même fichier, offrant ainsi des possibilités uniques pour la gestion de données. Apprenez comment cela fonctionne et son potentiel pour une utilisation sûre ou, au contraire, malveillante.
Le système de fichiers NTFS (New Technology File System), utilisé par Windows, offre une fonctionnalité appelée data streams ou Alternate Data Streams (ADS). Cela permet d’associer plusieurs flux de données à un unique fichier.
Chaque fichier dans NTFS possède au moins un flux principal, contenant ses données normales. Cependant, il peut avoir plusieurs autres flux supplémentaires dissimulés au sein du même fichier.
Le flux principal est nommé :$DATA (il n’apparaît généralement pas explicitement). D’autres flux peuvent être créés avec un nom distinct en utilisant le caractère « : »
Data Streams dans NTFS : exemples
| echo Ceci est le flux principal > NETCOST.txt echo Ceci est un flux alternatif > NETCOST.txt:occulte |
- NETCOST.txt contient le texte “Ceci est le flux principal”.
- Il existe un flux alternatif nommé “occulte” avec le texte “Ceci est un flux alternatif”.
L’utilisation des Data Streams dans NTFS a été favorisée par la compatibilité avec le système de fichiers HFS (Macintosh), qui utilise des resource forks. De plus, cela permet de stocker des métadonnées supplémentaires sans altérer le contenu visible du fichier.
Comme souvent en technologie, ce mécanisme peut aussi être utilisé à des fins malveillantes, car les flux alternatifs n’apparaissent pas dans les listes normales de fichiers.
Pour voir les flux de données, il faut utiliser la commande dir /r.
Des outils comme FTK Imager, X-Ways Forensics et EnCase détectent et affichent les ADS lors de l’analyse de volumes NTFS.