NTFS数据流扫描工具中文版 v1.52 绿色版

数据流扫描软件Alternate Stream View，NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流，就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息，虽然我们无法看到数据流文件，但是它却是真实存在于我们的系统中的。

NTFS数据流扫描工具中文版介绍

一款专业的NTFS数据流检查工具。本软件非常适合专业人士维护硬盘所用，可以查找存储在文件系统中所有隐藏的交换数据流。　在扫描和查找交换数据流后，您可以提取这些数据流到指定的文件夹，删除不需要的数据数据流，或者保存数据流列表到文本/html/csv/xml文件。

NTFS数据流扫描工具官方下载特色

NTFS数据流本是NTFS文件格式中的一种正常功能，但是却可以被一些木马病毒所利用，很多木马病毒就趁此机会，利用NTFS数据流将自己完全隐藏在系统中，普通的扫描方式是无法扫描到的。木马分析专家NTFS数据流扫描技术，可以将那些所有非正常的数据流扫描并清除，让所有木马病毒和恶意程序无处可逃！这是国内第一款专业级NTFS数据流扫描工具，新版本已具有扫描文件夹中附带NTFS数据流的功能，并能对其查看、添加、修改、删除、编辑等功能。

NTFS数据流扫描工具使用技巧

一、NTFS数据流用于隐藏文件
通过NTFS数据流来隐藏文件时一个不错的主意，很多工具无法检测到它，这也便是NTFS数据流用于免杀的一种方法，以瑞士军刀nc.exe和360为例，将nc.exe保存为c:\test\nc.exe，360能检测到。
接下来，在c:\test目录中建立一个1.txt的文本文件，然后以1.txt为宿主文件，在cmd中执行：type c:\test\nc.exe>1.txt:nc.exe，将其与1.txt进行关联，删除nc.exe，再次用360检测。在cmd中执行：start./1.txt:nc.exe能正常运行nc.exe(注意/是必须的)。
此时当然无法过360的主动了，不过从这个测试不难发现，NTFS数据流用于隐藏文件的确是一个不错的主意。
二、NTFS数据流防删除
NTFS数据流一旦删除宿主文件，也便不存在了，比如上面的1.txt:nc.exe，一旦删除1.txt则数据流也随之消失了，NTFS数据流检测的工具，常见的方法是通过BackupRead函数读取文件，查看是否有与文件有相关联的数据流，如果有则对NTFS数据名字进行读取，知道了数据流的名字，删除其宿主文件即可。为了止防删除NTFS数据流，我们可以把系统中的一些无法删除的文件当宿主，比如sam文件。sam文件始终被system.exe（系统关键进程）所访问的，所要在一定程度上可以实现防删除。
三、NTFS数据流与Web利用
NTFS数据流文件无法被IIS及apache所正常解析，因此想直接用于隐藏Webshell是不可能，如文章开头的内容一样，可以在程序中使用NTFS数据流文件，首先将webshell与宿主文件关联，然后以include的方式加载到其它的脚本文件中。

推荐理由

Alternate Stream View是国内第一款专业级NTFS数据流扫描工具，安全绿色非常值得下载使用~