代替データストリームに興味をお持ちですか?代替データストリームとは、NTFSファイルシステムで提供されている機能です。今回、MiniToolの記事は、この機能について、作成/管理方法を紹介します。

代替データストリームとは

代替データストリーム(ADS)とは、NTFSファイルシステム上にのみ存在するファイル属性です。ADSは、NTFSファイルシステム内のファイルごとに複数のデータストリームを許可します。つまり、プライマリーデータストリームファイルに加えて、プライマリー以外のデータストリームファイルがプライマリーデータストリームファイルに多数ホストされていることができます。

  • プライマリーデータストリームとは何ですか?無名のメインストリームとも呼ばれ、ファイルやディレクトリの標準コンテンツを指し、通常は目に見えるファイルです。プライマリデータストリームファイルはホストファイルであり、Windowsエクスプローラーで確認することができます。
  • プライマリー以外のデータストリームとは何ですか?プライマリー以外のデータストリームとは、名前を持つデータストリームのことです。これらのデータストリームは、いわゆる代替データストリームです。これらのファイルはユーザーにとって目には見えなく、Windowsエクスプローラーでも見ることができません。

NTFS代替データストリームを使ってできること

代替データストリームは、もともとMacintoshのHFS+ファイルシステムと互換性を持つように設計されています。この技術により、ファイルリソースに関連データを(代替データストリームの形で)書き込むことができる。そして、書き込まれたデータは、非常に簡単な方法で読み出すことができます。その後、独立したファイルとして読み込んで、実行することもできます。

さらに、代替データストリームは他の機能を持っています。例えば:

  • キーワード、要旨、音声ファイル、画像など、ファイルに関連するデータを保存することができます。
  • ファイルを隠すことができます。代替データストリームが作成したファイルは見ることができず、ホストファイルは大きくなったり変化したりすることはありません。
  • アクセスしてはいけない危険度の高いファイルを識別することができます。
  • Windowsの添付ファイルマネージャーは、ADSをファイルスキャナーとして使用し、ダウンロードしたファイルが安全かどうかを確認します。
  • SQLデータベースサーバーは、ADSを使用してデータベースの整合性を維持します。
  • Citrixの仮想メモリは、ADSを使用してDLLの読み込み速度を向上させます。
  • カスペルスキーなどのアンチウィルスアプリケーションは、ADSを利用してスキャン技術を強化しています。

しかし、代替データストリームファイルは見えなくて実行可能であるため、多くのハッカーがウイルスの作成に利用しています。

関連記事:ファイルシステム(Ext4、NTFS、HFS +)の違いをまとめ

代替データストリームの使用方法

1.代替データストリームファイルの作成方法と捜索方法

ADSファイルには、孤立したADSファイルと関連したADSファイルの2種類があります。

孤立したADSファイルを作成するには、「echo content > :ads filename」コマンドを使用するのが唯一の方法です。また、孤立したADSファイルを開くには、「notepad :ads filename」コマンドを使用する必要があります。なお、コンテンツとADSファイル名は、実際の状況に応じて置き換えてください。

関連したADSファイルを作成する場合は多いです。関連したADSファイルを作成するには、echoコマンドまたはtypeコマンドを使用します。それでは、以下のガイドをご参照ください。

ステップ1:「コマンドプロンプト」を開き、管理者として実行します。 ADSファイルを作成したいドライブに入り、「dir」コマンドでドライブ内のファイルを確認します。ファイル拡張子からファイル形式を確認することができます(dirはディレクトリを指します)。

dirコマンドを使用する

関連記事:最も一般的なファイル形式とファイル拡張子

ステップ2:ADSファイルを作成し、開きます。

  • Echo content > host filename:ads filename」と入力すると、下図のようにコンテンツ「partitionwizard.com」がADSファイル「ads2.txt」に書き込まれ、ホストファイル「file.docx」と関連付けられていることが確認できます。
  • Type ads file > host file: ads file.」と入力すると、Eドライブに「txt」と「file.docx」の2つのファイルがあることが確認できます。次に、「txt.txt」ファイルをADSファイルに変更し、ホストファイル「file.docx」に格納されます。ここでは、typeコマンドを使います。

関連したADSファイルを作成する

提示:

1.サブディレクトリにADSファイルを作成する場合、まずドライブを開き、「cd + directory name」でサブディレクトリを開いてください。

2.ホストファイルおよびADSファイルは、実行ファイル、イメージ、ドキュメント、フォルダー、圧縮ファイルなど、さまざまなタイプにすることができます。なお、ホストファイルはドライブ(c:、e:など)である可能性があります。

3.ADSファイルが正常に作成されたかどうかを確認するために、「dir /r」コマンドを使用することができます。

4.ADSファイルは、ファイルの種類によって開き方が異なります。例えば、ADSファイルがテキストファイルの場合はメモ帳で、ADSファイルがイメージファイルの場合はmspaintで開きます。

5.ADSファイルを開いた後、編集、修正、保存ができるようになります。

さらに読む:

Windows XP時代には、ユーザーは「start」コマンドで実行可能なADSファイルを実行することができました。しかし、マイクロソフトはこのセキュリティホールを塞いでしまいました。現在では、ADSファイルを実行するには、次の2つのコマンドを使用します。

  1. wmicプロセスコールで「ads file path」を作成します。「プロセスID」を提供します。次に、「タスクマネージャー」を開き、「詳細」タブに移動すると、IDに応じたプロセスを見つけることができます。
  2. mklink「file path」「ads file path」。このコマンドは、ADSファイルに対するシンボリックリンクを作成します。そして、そのシンボリックリンクファイルを実行することで、ADSファイルを実行することができます。「タスクマネージャー」を開き、「詳細」タブに移動すると、adsファイルが実行されていることが確認できます。

実行可能なADSファイルを作成

提示:

  1. 実行可能なADSは、単独で実行できる完全なプログラムファイル(例えば、セットアッププログラム)でなければ、正常に実行できません。そうでない場合は、重要なファイル(各種の.dllファイル)が欠落しているため、実行できません。
  2. 最初の方法を使うと、「docx:setup.tmp」プロセスが見つかります。そして、2番目の方法を使用すると、「xxads.tmp」プロセスが見つかります。これは、2つの方法の違いかもしれません。

2.ADSファイルの検出と削除方法

ADSファイルを検出するには、「dir /r」コマンドを使用することができます。ただし、このコマンドで検出できるのは、現在使用中のフォルダー内のADSファイルのみです。サブフォルダー下のADSファイルを検出したい場合は、まずサブフォルダーを開き(例:dir ddd)、コマンド(例:dir ddd /r)でADSファイルを表示させる必要があります。また、lads.exeツールを使用してADSファイルを検出することもできます。

ADSファイルの検出

ADSファイルを見つけたら、下記の3つの方法でこれらのNTFS代替データストリームファイルを削除することができます。

  1. ホストファイルを直接削除します。
  2. ホストファイルをFAT32、FATなどのNTFS以外のパーティションに移動します。
  3. マイクロソフトが提供するexeを使用して、ストリームを削除します。

お勧め記事:FAT32、NTFS、exFATの違いとファイルシステムの変換

ここでは、streams.exeを使用して代替ストリームを抹消する方法について説明します。以下はそのガイドです。

  • 代替データストリームファイルの実行が停止していることを確認します。
  • マイクロソフトからexeユーティリティをダウンロードし、解凍します。
  • ストリームフォルダーを開き、削除したいストリームファイルのパーティションの「ルートディレクトリ」に「ストリーム」アプリを移動します。
  • streams -d + host file path」コマンドを実行すると、ホストファイルにホストされているすべてのADSファイルが削除されます。

代替データストリームファイルの削除

提示:

1.dir /r コマンドは、孤立したADSファイルを表示しません。

2.孤立したADSファイルを削除するには、その上位ディレクトリを削除する必要があります。しかし、Streams.exeツールは、孤立したADSファイルをより簡単に削除するのに役立ちます。上の画像では、Eディレクトリに孤立したADSファイルを作成しました。そして、「streams -d e:」コマンドによって、この孤立したADSファイルを削除しました。

関連記事:タスクマネージャーを使わずにプログラムを強制終了する3つの方法

パーティションをNTFSに変換する

前述のとおり、代替データストリームはNTFSファイルシステムでのみ利用可能です。したがって、代替データストリーム機能を使用したい場合は、まずパーティションがNTFSファイルシステムであることを確認する必要があります。

パーティションが現時点ではFAT32ファイルシステムである場合、MiniTool Partition Wizardを使用して、データを失うことなくNTFSに変換することができます。また、パーティションが他のファイルシステムである場合、まずデータをバックアップしてから、このパーティションをNTFSとしてフォーマットしてください。次に、そのガイドを詳しく紹介します。

MiniTool Partition Wizard Freeクリックしてダウンロード100%クリーン&セーフ

ステップ 1:MiniTool Partition Wizardを起動し、メインインターフェイスに移動します。そして、FAT32パーティションを右クリックし、「FATをNTFSに変換」オプションを選択します。

FATをNTFSに変換するを選択

ステップ2:変換操作を実行するために、「開始」ボタンをクリックします。

ファイルシステム変換処理の開始

ステップ 3:変換が完了したら、「閉じる」ボタンをクリックします。

「閉じる」ボタンをクリック

パーティションをNTFSでフォーマットしたい場合、データをコピーして安全な場所に貼り付けてから、以下のいずれかの方法でフォーマットしてください。

方法1.MiniTool Partition Wizardを使用する

  • MiniTool Partition Wizardを起動し、メインインターフェイスに入ります。
  • パーティション上で右クリックし、「フォーマット」を選択します。
  • NTFSファイルシステム」を選択し、「OK」ボタンをクリックします。
  • 適用」ボタンをクリックします。

方法2.Windowsファイルエクスプローラーを使用する

  • タスクバー」のアイコンをクリックし、「Windowsファイルエクスプローラー」を開きます。
  • PC」をクリックします。
  • 右側のパネルでドライブを右クリックし、「フォーマット」を選択します。
  • NTFSファイルシステムが選択されていることを確認し、「OK」ボタンをクリックします。

方法3.ディスクの管理を使用する

  • Windows+R」キーを押して、「ファイル名を指定して実行」を呼び出します。
  • 実行」ボックスで「msc」と入力し、「Enter」キーを押します。
  • ディスクの管理」ツールで、パーティションを右クリックして、「フォーマット」を選択します。
  • NTFSファイルシステムを選択し、「OK」ボタンをクリックします。

代替データストリームに関する記事がこちらです。オルタネートデータフローとは?代替データストリームで何ができるのでしょうか?代替データストリームファイルを作成・実行する方法は?代替データストリームファイルの検出と抹消方法は?この記事では、すべての答えをお伝えします。Twitterでシェア

結語

この記事はお役に立ちましたか?他のデータストリームに関するアイデアはありますか?他に代替データストリームの良い使い方をご存じですか?以下のコメント欄に、共有したい内容をご記入ください。また、MiniTool Partition Wizardの使用にお困りの場合は、[email protected]までお問い合わせください。できるだけ早くご返信いたします。

  • hatena

作者について

Liz
Liz

ポジション: コラムニスト

Lizは日本語専攻であり、2022年に大学卒業したまもなく、エディターとしてMinitool Software Limitedに入社しました。彼女の文章は主にデータのバックアップに関する知識です。文章を書くことで、ユーザーのコンピュータ使用についての問題を解決することができ、自分も楽しい気持ちを感じます。仕事以外に、彼女はゲームをしたり、音楽を聴いたり、映画を見るのが大好きです。