揪出利用NTFS漏洞的隐形文件

童乐安

1. 查找含有ADS數据流的文件

首先，安装并运行ADSRevealer软件。如果要对整个系统进行查找，依次点击“RunScan→Scan FullSystem（NTFS Only）”（ 图1）。随后，在弹出的扫描设置窗口中，可指定搜索过滤条件，例如，若只想对某类文件如“*.EXE”进行扫描，则在SeerchFilter搜索框中输入“*. E X E”。最后，点击Valid按钮进行扫描（图2）。

如果仅仅需要查找某个分区，只需在Run Scan菜单下点击Scan TargetNTFS Drive子菜单，然后选择需要扫描的分区即可。此外，我们也可以仅仅对某个或某些文件夹进行扫描，在Run Scan菜单下点击Scan Target Folder之后，指定需要扫描的文件夹，然后再按上述办法执行扫描即可。

2. 删除含有ADS数据流的文件

在整个扫描过程结束后，窗口中会列出含有ADS文件的条目，选择需要处理的条目后，点击Delete Checked按钮可以进行删除。若有必要，还可以在删除之前，用Backup Checked按钮对条目进行备份。此外，还可以用右键菜单进行操作（图3）。