四、交换数据流

　　利用Windows提供的交换数据流功能，我们可以在不影响文件及其大小的情况下，捎带其他一些东西，如图标等。想当初，微软公司将此功能添加至Windows操作系统的初衷并非向用户提供一种隐藏文件的把戏，但它的确有这种功效：我们正好可以利用它为配置文件提供藏身之所。其实，该方法不仅适用于文件，同样也是用于目录，因为目录也是文件的一种。与其把配置文件附着在一个“惹眼”的系统文件上，倒不如将其挂在一个不起眼的目录上，后者的保险系数更高一些。

　　为了让读者感性地认识一下交换数据流，您可以亲自在DOS命令提示符下做个小实验。首先，建立一个文件，并将其命名为test .txt ，保存，然后看一下该文件的大小。 现在，在DOS提示符下键入以下命令：　　

echo nihao >test.txt:alternate.txt

　　该命令给test.txt文件添加一个交换数据流，该数据流的名称为test.txt:alternate.txt，内容为nihao。如果用dir命令来检查的话，我们只看到test.txt文件，并且其大小依旧不变。不过，我们在DOS提示符下键入以下命令　　

notepad test.txt:alternate.txt

　　就能看到交换数据流的内容了。这个实验并不复杂，建议读者动手做一下。需要说明的是，它不适用于FAT文件系统，在NTFS文件系统下才奏效。

　　好了，现在看看我们需要隐藏的配置的具体格式，如下所示：　　

XXX.XXX.XXX.XXX：YYYYY

　　其中，XXX.XXX.XXX.XXX代表控制端的IP地址，由十二个阿拉伯数字组成;YYYYY表示控制端所侦听的端口号，由五位阿拉伯数字组成。该配置最初存放在文件c:\config16中，一旦rootkit运行一次之后，它读取该配置，将其挂靠到目录C:\WINDOWS\Resources上以交换数据流文件(C:\WINDOWS\Resources：config16)的形式存放，并将原来的文件c:\config16删除。也就是说，以rootkit初次运行为分水岭，之前，配置位于c:\config16文件中;之后，位于C:\WINDOWS\Resources：config16文件中。同样，以rootkit初次运行为分水岭，第一次运行时，rootkit从c:\config16文件读取配置;之后，从C:\WINDOWS\Resources：config16文件中读取配置。

　　至于数据流所挂靠的目录，如C:\WINDOWS \Resources 在fileManager.h文件中加以定义。虽然使用硬编码的路径即在代码中直接给出目录名如C:\WINDOWS比较直接，但是需要考虑健壮性的时候，在给rootkit指定隐藏文件的位置时，通过操作系统来查找%WINDOWS%目录更为稳妥。

　　上面介绍了配置文件的格式和对配置文件的处理，不过具体工作都是由软件代劳的。完成这部分工作的软件我们称其为文件管理器。这里是我们的文件管理器的头文件，源代码如下所示：　　

//fileManager.h 　　#ifndef _FILE_MANAGER_H_ 　　#define _FILE_MANAGER_H_ 　　//尽管微软的文档没有提及，但是NTFS-ADS还能用于目录。 　　//为了防止rootkit被一网打尽，黑客通常不会一个目录用到底，而是打一枪换一个地方 　　#define MASTER_FILE L"\\??\\C:\\WINDOWS\\Resources" 　　NTSTATUS GetFile( WCHAR* filename, CHAR* buffer, ULONG buffersize, PULONG 　　fileSizePtr ); 　　NTSTATUS PutFile( WCHAR* filename, CHAR* buffer, ULONG buffersize ); 　　#endif