NTFS文件系统底层隐藏技术详解

"本文介绍了一种利用NTFS文件系统底层技术进行文件隐藏的方法，通过将文件隐藏在系统元目录中，实现数据的安全隐蔽。这种方法具有通用性、合法性、隐蔽性、高效性和可恢复性，不影响文件系统的正常运行，并且能够有效地隐藏文件。发明人是李光耀，该技术于2010年在中国民用航空飞行学院提出。" NTFS（New Technology File System）是Windows操作系统中广泛使用的文件系统，它提供了高级的数据管理和安全性特性。在NTFS文件系统中，文件和文件夹的信息被存储在元文件（Metadata Files）中，如$MFT（Master File Table）等。这种底层文件隐藏技术正是利用了这些特性。 首先，创建一个名为A的寄主文件夹在根目录下，然后将要隐藏的文件放入这个文件夹。接着，通过遍历根目录的索引缓冲区，找到A文件夹的索引记录项。删除这个索引项，但不实际删除文件内容，而是将其修改并插入到特定的系统元目录中。这样，文件在文件系统层面变得不可见，因为常规的文件系统API无法访问这些隐藏的索引项。 此方法有以下几个优点： 1. **通用性**：该技术适用于所有使用NTFS文件系统的环境。 2. **合法性**：操作不会破坏文件系统的结构，不会影响其正常功能和性能。 3. **隐蔽性**：隐藏的文件不会通过常规手段被发现，只有了解这一技术的人才能找到。 4. **高效性**：无论隐藏多少文件或文件大小如何，该方法的改动量与文件数量和大小无关，保证了隐藏速度。 5. **可恢复性**：隐藏文件的恢复简单，只需要将索引重新指向原来的寄主文件夹即可。 在提供的例子中，创建了一个名为"Hide"的文件夹，并放入两个病毒文件。通过读取分区引导扇区数据和$MFT记录，计算出根目录和$Extend文件的偏移，从而实现文件的隐藏。隐藏后的文件即使通过安全软件扫描也无法检测到，进一步证明了其隐蔽性。 这种NTFS文件系统的底层文件隐藏技术提供了一种安全隐藏数据的方法，尤其适用于需要保护敏感信息或隐私的场景。然而，这也可能导致恶意软件或非法活动的隐藏，因此，对于系统安全和法规遵从性的考虑，必须谨慎使用此类技术。