NTFS’te Alternatif Veri Akışı (Alternate Data Stream-ADS)

Dosyaların öznitelik (attribute) dediğimiz özellikleri dosyaya ilişkin standart bazı bilgiler verir; dosya son yedeklemeden sonra değişti mi, dosya gizli midir, dosya bir sistem dosyası mıdır gibi. Bu öznitelikler hem FAT hem de NTFS dosya sistemindeki dosyalarda bulunur.

NTFS’e özel Alternatif Veri Akışı (ADS) özelliği ile dosyalara ilişkin daha ayrıntılı bilgileri saklayabiliriz. ADS, normal dosyaya eklenen gizli başka bir dosya olarak düşünülebilir. Örneğin, bir resim dosyasının ADS dosyası o fotoğrafın ne zaman çekildiği, nerede çekildiği, ne içerdiği gibi bilgiler içerebilir.

ADS bir dosyaya eklenen başka bir dosya demiştik. Örneğin rapor.txt dosyasına aciklama.txt seklinde bir ADS ekleyebiliriz. ADS şeklinde eklenen aciklama.txt dosyası eklendiği dosya olan rapor.txt dosyasına ilişkin bilgi içerebileceği gibi tamamen ilişkisiz bir bilgi de ekleyebilir. Bu ek bilgi yararlı amaçlar için kullanılabildiği gibi kötü yazılımlar tarafından kötü amaçlarla da kullanılabilir.

Rapor.txt adlı bir dosyamız bulunsun. Notepad rapor.txt:aciklama.txt şeklindeki bir komutla bu dosyaya aciklama.txt adında bir ADS ekleyebiliriz. Bunu yaptığımızda normal yollarla aciklama.txt dosyasını göremeyiz: Komut satırından “DIR” komutunu verdiğimizde ya da Dosya Gezgini’nde böyle bir dosya görünmez, yalnızca ana dosya olan rapor.txt dosyası görünür.  Ama “dir   /r” komutu ile hem ana dosyaları hem de varsa ADS eklentilerini görüntüleyebiliriz. Aşağıdaki şekle bakınız:

 

metin, ekran görüntüsü, yazı tipi içeren bir resim Yapay zeka tarafından oluşturulan içerik yanlış olabilir.

Şekil: dir /r komutuyla ADS dosyalarının görüntülenmesi

 

Yine yukarıdaki Notepad komutunun aynısıyla bu ADS dosyasının içeriğine de ulaşabiliriz.

ADS dosyaları çok pratik değildir, özellikle de son kullanıcının hiçbir işine yaramaz. Ama Windows bu dosyaları özellikle İnternet’ten indirilen dosyaları göstermek için kullanır. Aşağıda İnternet’ten indirdiğim ve BIOS.pdf olarak kaydedilmiş dosyanın özelliklerine bakıyoruz:

metin, ekran görüntüsü, yazı tipi içeren bir resim Yapay zeka tarafından oluşturulan içerik yanlış olabilir.

Şekil: İnternet’ten indirilen bir pdf dosyasının bilgilerinin görüntülenmesi

 

Gördüğünüz gibi, Windows bu dosyaya hemen bir ADS dosyası eklemiş.

notepad BIOS.pdf:Zone.Identifier:$DATA komutuyla bu dosyayı açtığımda, asıl dosyaya ilişkin bilgiler görüyorum:

[ZoneTransfer]

ZoneId=3

ReferrerUrl=https://ostad.nit.ac.ir/payaidea/ospic/file1615.pdf

HostUrl=https://ostad.nit.ac.ir/payaidea/ospic/file1615

İnternet’ten indirilen dosyalar bu şekilde damgalandığında, kullanıcılar özellikle çalıştırılabilir dosyaları çalıştırmak istediğinde bir uyarı mesajı alacaktır.

ADS dosyaları kötü amaçlarla da kullanılabileceği için bilgisayarda ADS dosyalarının bulunup bulunmadığı düzenli olarak denetlenmelidir.