NTFS交换数据流文件提取

NTFS交换数据流（简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流，除了主文件流之外还可以有许多非主文件流寄宿在主文件流中，而我们无法查看到非主文件数据流，因文件夹大小始终显示0.

利用工具

NtfsStreamsEditor2

链接：https://pan.baidu.com/s/13sQ8hlLshqRDV2gwxuMuBA
提取码：6oqn

可能会报毒，注意

命令

寄生一:
echo 写入内容>>宿主文件:交换数据流文件（寄生文件）
echo ever>>1.txt:2.txt
2.txt为echo创建出交换数据流文件,ever在2.txt中

寄生二：
type 交换数据流文件（寄生文件）>>宿主文件夹：交换数据流文件（寄生文件）
type 2.txt>>temp:2.txt
temp为空文件夹,执行后2.txt寄生在temp文件夹上
type a.jpg>>temp:a.jpg
temp为空文件夹,执行后a.jpg寄生在temp文件夹上

查看：
notepad 宿主文件:交换数据流文件（寄生文件）
notepad 1.txt:2.txt

查看图片文件：
mspaint 宿主文件:交换数据流文件（寄生文件）
notepad a.jpg:b.jpg