Informação oculta no Windows? Saiba o que são data stream no NTFS

No sistema de ficheiros NTFS (New Technology File System), data streams (ou Alternate Data Streams, ADS) são fluxos de dados adicionais que podem ser associados a um ficheiro ou um diretório. Saiba como funciona.

O NTFS (New Technology File System), utilizado pelos sistemas Windows, possui uma funcionalidade chamada data streams ou Alternate Data Streams (ADS), permitindo associar múltiplos fluxos de dados a um único ficheiro.

Cada ficheiro no NTFS tem pelo menos um data stream principal, que contém os seus dados normais. No entanto, pode ter vários outros streams adicionais “escondidos” dentro do mesmo ficheiro.

O stream principal é designado de :$DATA (não costuma aparecer explicitamente). Streams adicionais podem ser criados com um nome separado usando o carater ":"

Data Streams no NTFS: exemplos

echo Isto é o stream principal > pplware.txt
echo Isto é um stream alternativo > pplware.txt:oculto

• pplware.txt contém o texto “Isto é o stream principal”.
• Há um stream alternativo designado de “oculto” com o texto “Isto é um stream alternativo”.

O uso de Data Streams no NTFS surgiu pela compatibilidade com o sistema de ficheiros HFS (Macintosh) que usa resource forks. Além disso, é também uma forma de guardar metadados adicionais sem afetar o conteúdo visível do ficheiro.

Como é normal na tecnologia, além da parte boa, este tipo de mecanismo também pode ser usado para esquemas maliciosos, porque streams alternativos não aparecem em listagens normais de ficheiros.

Para quem quiser ver data streams, deve usar o comando dir /r.

Ferramentas como FTK Imager, X-Ways Forensics e EnCase detetam e apresentam ADS durante a análise de volumes NTFS.