NTFS’te Alternatif Veri
Akışı (Alternate Data Stream-ADS)
Dosyaların
öznitelik (attribute) dediğimiz özellikleri dosyaya
ilişkin standart bazı bilgiler verir; dosya son yedeklemeden sonra değişti mi,
dosya gizli midir, dosya bir sistem dosyası mıdır gibi. Bu öznitelikler hem FAT
hem de NTFS dosya sistemindeki dosyalarda bulunur.
NTFS’e özel Alternatif
Veri Akışı (ADS) özelliği ile dosyalara ilişkin daha ayrıntılı bilgileri
saklayabiliriz. ADS, normal dosyaya eklenen gizli başka bir dosya olarak düşünülebilir.
Örneğin, bir resim dosyasının ADS dosyası o fotoğrafın ne zaman çekildiği, nerede
çekildiği, ne içerdiği gibi bilgiler içerebilir.
ADS
bir dosyaya eklenen başka bir dosya demiştik. Örneğin rapor.txt dosyasına
aciklama.txt seklinde bir ADS ekleyebiliriz. ADS şeklinde eklenen aciklama.txt
dosyası eklendiği dosya olan rapor.txt dosyasına ilişkin bilgi içerebileceği
gibi tamamen ilişkisiz bir bilgi de ekleyebilir. Bu ek bilgi yararlı amaçlar
için kullanılabildiği gibi kötü yazılımlar tarafından kötü amaçlarla da
kullanılabilir.
Rapor.txt
adlı bir dosyamız bulunsun. Notepad rapor.txt:aciklama.txt
şeklindeki bir komutla bu dosyaya aciklama.txt adında bir ADS ekleyebiliriz.
Bunu yaptığımızda normal yollarla aciklama.txt dosyasını göremeyiz: Komut
satırından “DIR” komutunu verdiğimizde ya da Dosya Gezgini’nde
böyle bir dosya görünmez, yalnızca ana dosya olan rapor.txt dosyası görünür. Ama “dir /r” komutu ile hem ana dosyaları hem de
varsa ADS eklentilerini görüntüleyebiliriz. Aşağıdaki şekle bakınız:
Şekil:
dir /r komutuyla ADS dosyalarının görüntülenmesi
Yine
yukarıdaki Notepad komutunun aynısıyla bu ADS dosyasının içeriğine de ulaşabiliriz.
ADS
dosyaları çok pratik değildir, özellikle de son kullanıcının hiçbir işine
yaramaz. Ama Windows bu dosyaları özellikle İnternet’ten indirilen dosyaları göstermek
için kullanır. Aşağıda İnternet’ten indirdiğim ve BIOS.pdf olarak kaydedilmiş
dosyanın özelliklerine bakıyoruz:
Şekil:
İnternet’ten indirilen bir pdf dosyasının bilgilerinin görüntülenmesi
Gördüğünüz
gibi, Windows bu dosyaya hemen bir ADS dosyası eklemiş.
notepad BIOS.pdf:Zone.Identifier:$DATA komutuyla bu
dosyayı açtığımda, asıl dosyaya ilişkin bilgiler görüyorum:
[ZoneTransfer]
ZoneId=3
ReferrerUrl=https://ostad.nit.ac.ir/payaidea/ospic/file1615.pdf
HostUrl=https://ostad.nit.ac.ir/payaidea/ospic/file1615
İnternet’ten
indirilen dosyalar bu şekilde damgalandığında, kullanıcılar özellikle
çalıştırılabilir dosyaları çalıştırmak istediğinde bir uyarı mesajı alacaktır.
ADS
dosyaları kötü amaçlarla da kullanılabileceği için bilgisayarda ADS
dosyalarının bulunup bulunmadığı düzenli olarak denetlenmelidir.