ADS (Alternate Data Stream)

- ADS (Alternate Data Stream) 혹은 대체 데이터 스트림 - NTFS 파일 시스템에서는 하나의 파일에 여러 데이터 스트림을 저장할 수 있도록 설계되어 있다. - 기본 데이터 스트림 (메인 파일) 외에 추가로 숨겨진 데이터 스트림을 붙일 수 있다. - 원래 목적은 파일에 메타데이터를 저장하거나 호환성을 위해 다른 시스템과 데이터를 공유하는 목적으로 만들어졌다. - 하지만 악의적인 사용자들이 악성코드나 바이러스를 ADS에 숨기는 경우가 많다. - 일반 탐색기로는 보이지 않아서 감염 사실을 숨기기 쉬움. - ADS 탐색은 `dir /R`로 보게되면 존재 여부가 나타난다. - `hm.txt:Zone.Identifier:$DATA` - 해당 파일을 읽으려면 - `more < hm.txt:Zone.Identifier` - 혹은 파워쉘에서 `Get-Content .\root.txt -Stream Zone.Identifier`