影響windows系統(tǒng)安全的要素很多：

安全模型氨菇、文件系統(tǒng)、域和工作組妓湘、注冊表查蓉、進(jìn)程和用戶等等。
[安全的五類服務(wù):身份認(rèn)證榜贴、訪問控制豌研、數(shù)據(jù)保密性、數(shù)據(jù)完整性唬党、不可否認(rèn)性鹃共。]

帳號安全策略設(shè)置：

賬號介紹：

用戶帳戶(Account)

所謂用戶帳戶，是計算機(jī)使用者的身份標(biāo)識驶拱。每一個使用計算機(jī)的人霜浴，必須憑借他的用戶帳戶才能進(jìn)入計算機(jī)，進(jìn)而訪問計算機(jī)中的資源蓝纲。
用戶帳戶有兩種基本類型：本地用戶賬戶和全局用戶賬戶(與用戶賬戶)：
(1)本地用戶創(chuàng)建于網(wǎng)絡(luò)客戶機(jī)阴孟，作用范圍僅限于創(chuàng)建它的計算機(jī)，用于控制用戶對該計算機(jī)上資源的訪問驻龟。
(2)全局用戶賬戶創(chuàng)建于服務(wù)器(域控制器)温眉，可以在網(wǎng)絡(luò)中任何計算機(jī)上登錄缸匪，適用范圍是整個網(wǎng)絡(luò)翁狐。

Windows系統(tǒng)常用的內(nèi)置用戶：

(1)Guest：來賓用戶。
(2)Administrator：系統(tǒng)管理員賬戶凌蔬，具有最高權(quán)限露懒。

組(Group)：

組是一組相關(guān)帳號的集合，即用戶帳戶的一種容器砂心，提供了為一組用戶同時設(shè)定權(quán)利和權(quán)限的可能懈词。
目的：簡化對系統(tǒng)的管理，通過組可以一次性地為一批用戶授予一定的權(quán)利和權(quán)限辩诞。

Windows NT內(nèi)置的用戶和組帳號：

內(nèi)置用戶賬號：

–Administrator和Guest
–可以改名坎弯，不能刪除。

內(nèi)置用戶組賬號：

–Administrators
–Users
–Guests
–Backup Operators
–Replicator
—Operators(Print,Account,Sever)
–Domain(Administrators,Users,Guests)
–特殊組(Network译暂，Interative抠忘，Everyone……) ]

組介紹：

• 本地組：
  (工作組網(wǎng)絡(luò)環(huán)境的組)用于創(chuàng)建網(wǎng)絡(luò)客戶機(jī)，控制對所創(chuàng)建的計算機(jī)資源的訪問外永。它的成員是用戶帳戶和全局組崎脉，它在一個本地的系統(tǒng)或者域中進(jìn)行維護(hù)。本地組只有在創(chuàng)建它的本地系統(tǒng)或者域中才能實現(xiàn)對許可權(quán)和權(quán)限的管理伯顶。
  全局組(域環(huán)境中的組)：
  用于創(chuàng)建服務(wù)器(域控制器)囚灼，控制對域資源的訪問骆膝。系統(tǒng)管理員可以利用全局組有效地將用戶按他們的需要進(jìn)行安排。
  windows系統(tǒng)提供了三類全局組：
  (1)管理員組(Domain Admins)
  (2)用戶組(Domain Users)
  (3)域客人組(Domain Guests)
• 特別組：
  windows系統(tǒng)為了特定的目的創(chuàng)建了特別組灶体。通過用戶訪問系統(tǒng)資源的方式來決定用戶是否具有特別組的成員資格阅签，特別組不可以通過用戶管理器為其添加新成員，同時它也不可以被瀏覽和修改赃春。
  windows系統(tǒng)提供的特別組如下：
  (1)System：Windows操作系統(tǒng)
  (2)Creator owner：創(chuàng)建對對象擁有所有權(quán)的用戶
  (3)Interactive：以交互的方式在本地系統(tǒng)登錄入網(wǎng)的所有用戶
  (4)Network：系統(tǒng)中所有通過網(wǎng)絡(luò)連接的用戶愉择。
  (5)Everyone：登錄上網(wǎng)的所有用戶(包括Interactive和Network組)
  需要注意的是，在特別組中织中，所有登錄用戶都是Everyone組的成員锥涕。

帳號安全管理：

用戶帳戶的管理：

從安全角度考慮，應(yīng)注意狭吼，要保證用戶不會從隸屬于的組中獲得超過其任務(wù)要求的額外權(quán)限层坠，同時用戶隸屬于的組能滿足它的任務(wù)要求。
系統(tǒng)管理員賬戶的管理：
為了使對系統(tǒng)的野蠻攻擊和猜測變得更加困難刁笙，應(yīng)該選擇隨即的破花、并且大小寫混合的字符串來設(shè)置系統(tǒng)管理員，尤其是系統(tǒng)域管理員(主域控制器的系統(tǒng)管理員)的口令疲吸。其他服務(wù)器的管理員應(yīng)采取與域控制器中管理員不同的密碼座每，以便更安全的保證域的絕對管理權(quán)限。

組的安全管理措施：

(1)應(yīng)該清楚用戶組的成員設(shè)置是否得當(dāng)摘悴，要對其進(jìn)行仔細(xì)的觀察峭梳；
(2)為了使具有相同安全策略的用戶組在登錄時間、密碼和權(quán)限等方面保持一致蹂喻，可以用組將器組織在一起葱椭。

帳號克隆和SID：

• 安全標(biāo)識符(Security Identifiers)
  SID也就是安全標(biāo)識符，是標(biāo)識用戶口四、組和計算機(jī)賬戶的唯一的號碼孵运。其實Windows系統(tǒng)是按SID來區(qū)分用戶的，不是按用戶的用戶賬號名稱蔓彩，所以建立一個賬戶A治笨，然后刪除后馬上再重建一個用戶A其實是兩個賬戶。
  利用SID原理——賬號克隆
  在windows操作系統(tǒng)中通過對注冊表的HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\下的子鍵進(jìn)行操作赤嚼，(需要system權(quán)限)使一個普通用戶具有與管理員一樣的桌面和權(quán)限旷赖。這樣的用戶就叫克隆帳號。
  在日常查看中這個用戶顯示它正常的屬性探膊。例如guest用戶被克隆后當(dāng)管理員查看guest的時候它還是屬于guest組杠愧，如果是禁用狀態(tài)，顯示還是禁用狀態(tài)逞壁，但這個時候guest登入系統(tǒng)而且是管理員權(quán)限流济。
  一般攻擊者在入侵一個系統(tǒng)就會采用這個辦法來為自己留一個后門锐锣。
• 防范方法：
  入侵者在系統(tǒng)中對賬號進(jìn)行了克隆，一般克隆系統(tǒng)中已經(jīng)存在賬號绳瘟，例如克隆aspnet賬號雕憔，TsInternetuser、Guest等帳號糖声，通過”net user”斤彼、”net localgroup administrators”以及計算用戶圖形管理都是查不出來的，如果計算機(jī)開放了遠(yuǎn)程終端蘸泻，則入侵者可以通過這些用戶賬號正常訪問系統(tǒng)琉苇。非常規(guī)檢查主要通過本地管理員檢查工具來檢查。本地管理員檢查工具則是圖形界面悦施，相對功能少些并扇。
  直接運行“本地管理員檢查工具”，程序會自動以圖形化界面顯示系統(tǒng)中存在的帳號抡诞，并會給出相應(yīng)的提示穷蛹，一般顯示為“影子管理員”。
• 帳號枚舉：
  說明：
  由于windows的默認(rèn)安裝允許任何用戶通過空用戶得到系統(tǒng)所有帳號和共享列表昼汗，這本來是為了方便局域網(wǎng)用戶共享資源和文件的肴熏，但是任何一個遠(yuǎn)程用戶通過同樣的方法都能得到賬戶列表，使用暴力法破解賬戶密碼后顷窒，對我們的服務(wù)器進(jìn)行攻擊蛙吏，稱之為帳號枚舉。
• 防范方法：
  控制面板–管理工具–本地安全策略選項
  在windows設(shè)置-“安全設(shè)置”中單擊“本地策略”中的“安全選項”命令蹋肮，將右邊“策略”中“網(wǎng)絡(luò)訪問：不允許SAM賬戶的匿名枚舉”及“網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉”命令啟用出刷。
  Windows本地登陸過程 原理：
  GINA->LSA->SSPI->Kerberos
  ->NTLM
  Winlogon
  Graphical Identification and Authentication DLL(GINA)
  Local Security Authority(LSA)
  Security Support Provider Interface(SSPI)
  Authentication Packages
  Security support providers
  Netlogon Service
  Security Account Manager(SAM)

Winlogon and GINA 鍵盤記錄：

Winlogon調(diào)用GINA DLL璧疗，并監(jiān)視安全認(rèn)證序列坯辩。而GINA DLL被設(shè)計成一個獨立的模塊，當(dāng)然我們也可以用一個更加強(qiáng)有力的認(rèn)證方式(指紋崩侠、視網(wǎng)膜)替換內(nèi)置的GINA DLL漆魔。
Winlogon在注冊表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon，如果存在GinaDLL鍵却音，Winlogon將使用這個DLL改抡，如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLL
[工具：WinlogonHack]

sam文件的安全：

windows中對用戶帳戶的安全管理使用了安全賬號管理器(Security Account Manager)的機(jī)制系瓢，安全賬號管理器對賬號的管理是通過安全標(biāo)識進(jìn)行的阿纤，安全標(biāo)識在賬號創(chuàng)建時就同時創(chuàng)建，一旦賬號被刪除夷陋，安全標(biāo)識也同時被刪除欠拾。安全標(biāo)識是唯一的胰锌，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標(biāo)識都是完全不同的藐窄。
安全賬號管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam文件资昧。sam文件是Windows的用戶帳戶數(shù)據(jù)庫，所有用戶的登錄名及口令等相關(guān)信息都會保存在這個文件中荆忍。
如果我們用編輯器打開這些sam文件格带，除了亂碼什么也看不到。因為NT系統(tǒng)中將這些資料全部進(jìn)行了加密處理刹枉，一般的編輯器是無法直接讀取這些信息的叽唱。
SAM文件的位置：
第一個：C:\WINDOWS\repair\SAM
第二個：C:\WINDOWS\system32\config\SAM
第一個位置的SAM是賬戶數(shù)據(jù)庫的備份文件，第二個是系統(tǒng)正在使用的賬戶數(shù)據(jù)庫文件微宝。
SAM是構(gòu)成windows注冊表里的五大分支之一尔觉，具體內(nèi)容保存在%SystemRoot%\system32\config\sam里；
在windows域控制器上芥吟，賬戶和口令字謎文保存在活動目錄(Active Directory侦铜，AD)里，對應(yīng)文件是：%SystemRoot%\ntds\ntds.dit這里面包含不止是Username和HASH钟鸵，還有OU钉稍、Group等等。
破解方式：
(1)Sam文件存儲在C:\WINDOWS\system32\config文件夾內(nèi)棺耍，指直接復(fù)制粘貼不可行贡未。
(2)使用hWinHax，將目錄下的SAM文件和system文件導(dǎo)出蒙袍】÷保或使用samcopyer直接復(fù)制導(dǎo)出SAM文件。
(3)使用ophcrack進(jìn)行彩虹表破解：
運行ophcrack點擊load->encrypted sam->再選擇剛才準(zhǔn)備好的sam文件,加載彩虹表后點擊crack害幅，即可消恍。

LSA(本地安全認(rèn)證)注入：

本地安全認(rèn)證(Local Security Authority)作用：調(diào)用所有的認(rèn)證包，檢查注冊表以现；重新找回本地組的SIDs和用戶權(quán)限狠怨；創(chuàng)建用戶的訪問令牌；管理本地安裝的服務(wù)所使用的服務(wù)賬號邑遏；儲存和映射用戶權(quán)限佣赖；管理審核的策略和設(shè)置；管理信任關(guān)系……
破解方式：
WinPswLogger2：windows的身份驗證一般最終都是lsass進(jìn)程记盒，默認(rèn)模塊是msv1_0.dll憎蛤，而關(guān)鍵在其導(dǎo)出函數(shù)LsaApLogonUserEx2。
本程序通過注入代碼到lsass進(jìn)程hook LsaApLogonUserEx2纪吮，截取密碼俩檬。
在cmd中加載相應(yīng)dll文件即可栏豺。

Netlogon Service(NTLM認(rèn)證)：

早期SMB協(xié)議在網(wǎng)絡(luò)上傳輸明文口令。后來出現(xiàn)了LAN Manager Challenge/Response 驗證機(jī)制豆胸，簡稱LM奥洼，它是如此簡單以至于很容易被破解。微軟提出了WindowsNT挑戰(zhàn)/響應(yīng)驗證機(jī)制晚胡，稱之為NTLM×榻保現(xiàn)在已經(jīng)有了更新的NTLMv2以及Kerberos驗證體系(保存的加密后的散列稱為hash，一般翻譯作”散列”估盘，也有直接譯為“哈洗苫迹”的，就是把任意長度的輸入遣妥，通過散列算法擅编，變換成固定長度的輸出，輸出的就是散列值箫踩。這種轉(zhuǎn)換是一種壓縮映射爱态，也就是，散列值的空間通常遠(yuǎn)小于輸入的空間境钟，不同的輸入可能會散列成相同的輸出锦担。所以不可能從散列值來唯一地確定輸入值。)NTLM是windows早期的安全協(xié)議慨削，因向后兼容性而保留下來洞渔。NTLM是NT LAN Manager的縮寫，即NT LAN管理器缚态。
NTLM的適用場景：
在網(wǎng)絡(luò)環(huán)境中磁椒，NTLM用作身份驗證協(xié)議以處理兩臺計算機(jī)(其中至少有一臺計算機(jī)運行windows NT 4.0或更早版本)之間的事務(wù)。例如玫芦，以下列舉了兩種配置將使用NTLM作為身份驗證機(jī)制：
Windows或Windows xp professional 客戶端向 Windows NT 4.0 的域控制器驗證身份浆熔。
Windows NT 4.0 WorkStation 客戶端向Windows 或Windows Server 2003 域控制器驗證身份。
NTLM原理解析：
解析之前先看NTLM傳輸?shù)睦覶ELNET
通過[開始]–[網(wǎng)絡(luò)工具]–[服務(wù)] (或運行tlntsvr.exe程序)就可啟動該服務(wù)姨俩。在客戶端單擊“開始”按鈕蘸拔，在彈出的菜單中選擇“運行”命令师郑，然后輸入以下命令建立連接：
telnet[Remote-system][Port-number]
正常情況下环葵，服務(wù)啟動后，鍵入該命令后應(yīng)該是遠(yuǎn)程計算機(jī)回送Login和Password信息宝冕，提示用戶輸入用戶名和口令张遭。
可是仔細(xì)看看上顯示，根本沒有給你輸入用戶名和密碼的機(jī)會地梨，直接斷開連接菊卷，這是什么原因呢缔恳？
原來是win2000以后的telnet的一種驗證身份方式所致：Windows NT LAN Manager(NTLM)
NTLM的工作流程：
(1)客戶端首先在本地加密當(dāng)前用戶的密碼稱為密碼散列；
(2)客戶端向服務(wù)器發(fā)送自己的賬號洁闰，這賬號是沒有經(jīng)過加密的歉甚，明文傳輸；
(3)服務(wù)器產(chǎn)生一個16位的隨機(jī)數(shù)字發(fā)送給客戶端扑眉，作為一個challenge(挑戰(zhàn))纸泄；
(4)客戶端再用加密后的密碼散列來加密這個challenge，然后把這個返回給服務(wù)器腰素。作為response(響應(yīng))
(5)服務(wù)器把用戶名聘裁、給客戶端的challenge、客戶端返回的response這三個東西弓千，發(fā)送域控制器衡便；
(6)域控制器用這個用戶名在SAM密碼管理庫中找到這個用戶的密碼散列，然后使用這個密碼散列來加密challenge洋访。
(7)域控制器比較兩次加密的challenge镣陕，如果一樣，那么認(rèn)證成功姻政。
從上面的過程中我們可以看出茁彭，NTLM是以當(dāng)前用戶的身份向Telnet服務(wù)器發(fā)送登錄請求的，而不是用你自己的賬戶和密碼登錄的扶歪，顯然理肺，你的登陸將會失敗。
破解方式：
(1)在命令行使用pwdump7善镰，獲取NTLM散列妹萨；
(2)在ophcrack內(nèi)load中選擇single hash，復(fù)制需破解用戶的NTLM散列炫欺；
(3)用彩虹表破解乎完。

• 防范方法(禁止LMHASH存取)：
  法①：通過組策略實現(xiàn)。在“組策略”中品洛，依次展開“計算機(jī)配置”–“Windows設(shè)置”–“安全設(shè)置”–“本地策略”–“安全選項”树姨，啟用“網(wǎng)絡(luò)安全：不要再下次更改密碼時存儲LAN Manager的哈希值”。
  法②：使用長度至少為15位字符的密碼桥状。這種情況下帽揪，Windows會存儲無法用于驗證用戶身份的LM哈希值。

Keberos:

Keberos是為TCP/IP網(wǎng)絡(luò)系統(tǒng)設(shè)計的可信的第三方認(rèn)證協(xié)議辅斟。網(wǎng)絡(luò)上的Keberos服務(wù)基于DES對稱加密算法转晰，但也可以用其他算法替代。因此，Keberos是一個在許多系統(tǒng)中獲得廣泛應(yīng)用的認(rèn)證協(xié)議查邢，Windows2000就支持該協(xié)議蔗崎。
域環(huán)境中的首選。

其他賬號安全設(shè)置要點：

• Administrator賬號更名：
  由于windows的Administrator賬號是不能被停用的扰藕，也不能設(shè)置安全策略缓苛，這樣攻擊者就可以一遍又一遍地嘗試這個賬戶的密碼，直到破解邓深，所以要在“計算機(jī)管理”中吧Administrator賬戶更名來防止這一點他嫡。鼠標(biāo)右鍵單擊Administrator，在右鍵菜單中選擇“重命名”庐完，重新輸入一個名稱钢属。最好不要使用Admin、Root之類的名字门躯，改了等于沒改淆党。盡量把它偽裝成普通用戶，比如改成：Guestone讶凉，別人怎么也想不到這個賬號是超級用戶染乌。然后另建一個“Administrator”的陷阱帳號，不賦予任何權(quán)限懂讯，加上一個超過10為的超級復(fù)雜密碼荷憋，并對該賬戶啟用審核。這樣那些攻擊者忙了半天也可能進(jìn)不來褐望，或是即便進(jìn)來了也什么都得不到勒庄，還留下了我們跟蹤的線索。
• 不要顯示上次登錄的用戶名：
  攻擊者一般還會從本地或者Terminal Service的登陸界面看到用戶名瘫里，然后去猜密碼实蔽。所以要禁止顯示登錄的用戶名。設(shè)置方法是：選擇[控制面板]–[管理工具]–[本地安全策略]–[本地策略]–[安全選項]谨读，在右側(cè)雙擊”登錄屏幕上不要顯示上次登錄的用戶名”一項局装，選擇“已啟用”，另外我們也可以修改注冊表來實現(xiàn)劳殖。找到注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon項中的Don’t Display Last User Name串铐尚，將其數(shù)據(jù)修改為1。
• 強(qiáng)制windows口令的復(fù)雜性：
  通過組策略來實現(xiàn)強(qiáng)制口令復(fù)雜性的設(shè)置：打開組策略
  [計算機(jī)配置]–[Windows設(shè)置]–[安全設(shè)置]–[賬戶策略]–[密碼選項]哆姻，在這里面進(jìn)行策略的設(shè)置宣增。
• 檢查組和帳號：
  計算機(jī)的常規(guī)檢查主要通過[我的電腦]–[管理]–[計算機(jī)管理]–[本地用戶與組]來實施檢查；主要檢查管理員組中是否存在多余賬號填具，是否存在多個用戶賬號统舀〈移或者通過CMD下的命令來查看(net user系列命令劳景。)
• 檢查用戶：
  操作系統(tǒng)中默認(rèn)存在“Administrator”以及按照個人喜愛而添加的用戶名稱誉简，其他還有一些用戶例如啟動IIS進(jìn)程賬戶、Internet來賓賬戶等等盟广，這些賬號往往跟系統(tǒng)中提供的服務(wù)或者安裝的軟件有關(guān)闷串。如果在檢查過程中，發(fā)現(xiàn)了多余的賬號筋量，則極有可能是入侵者添加的賬號烹吵。
  任何一個用戶賬號都必須有一個組，在安全檢查中桨武，需要特別注意Administrator組肋拔，這個組是具有管理員權(quán)限的組，在“計算機(jī)管理”中呀酸，雙擊“組”中的“Administrators”即可查看是否存在多余的管理員賬戶凉蜂。
  [在cmd下也可以通過“net localgroup administrators”查看管理員組
  如果入侵者在添加賬號時在賬號末尾加上了“”符號，則使用“netuser”命令查看用戶時性誉，以“”結(jié)束的用戶名不會顯示窿吩，只能從計算機(jī)用戶管理的圖形界面來查看。]
• 系統(tǒng)權(quán)限設(shè)置NTFS:
  windows2000以后的操作系統(tǒng)引入了一種權(quán)限機(jī)制错览，以實現(xiàn)對計算機(jī)的分級管理纫雁，他使不同的用戶有不同的權(quán)限，從而適應(yīng)了更加嚴(yán)峻的安全狀況和應(yīng)用需求：New Technology File System
  在NTFS分區(qū)上倾哺，可以為共享資源轧邪、文件夾以及文件設(shè)置訪問權(quán)限。許可的設(shè)置包括兩方面的內(nèi)容：一是允許哪些組或用戶對文件夾羞海、文件和共享資源進(jìn)行訪問闲勺；二是獲得訪問許可的組或用戶可以進(jìn)行什么級別的訪問。訪問許可權(quán)限的設(shè)置不但適用于本地計算機(jī)的用戶扣猫，同樣也適用于通過網(wǎng)絡(luò)的共享文件夾對文件進(jìn)行訪問的網(wǎng)絡(luò)用戶菜循。與FAT32文件系統(tǒng)下對文件夾或文件進(jìn)行訪問相比，安全性要高得多申尤。
  另外癌幕，在采用NTFS格式的win2000中，應(yīng)用審核策略可以對文件夾昧穿、文件以及活動目錄對象進(jìn)行審核勺远，審核結(jié)果記錄在安全日志中，通過安全日志就可以查看哪些組或用戶對文件夾时鸵、文件或活動目錄對象進(jìn)行了什么級別的操作胶逢，從而發(fā)現(xiàn)系統(tǒng)可能面臨的非法訪問厅瞎，通過采取相應(yīng)的措施，將這種安全隱患減到最低初坠。這些在FAT32文件系統(tǒng)下和簸，是不能實現(xiàn)的。

利用供選數(shù)據(jù)流(Alternate Data Streams ADS)隱藏后門

什么是供選數(shù)據(jù)流(Alternate Data Streams ADS)碟刺？
NTFS使用Master File Table（MFT）來管理文件锁保。在NTFS中，每個文件都對應(yīng)一個MFT記錄半沽，這些記錄由若干個屬性（attribute）組成爽柒，如： 文件名屬性(FILENAME)、數(shù)據(jù)屬性(DATA)者填、索引根屬性(INDEXROOT)等浩村。這次的重點在于數(shù)據(jù)屬性DATA。每個文件都有DATA數(shù)據(jù)屬性以存儲文件數(shù)據(jù)內(nèi)容占哟，其大小可以為0心墅，但該屬性必須存在。一般地重挑，DATA數(shù)據(jù)屬性在文件創(chuàng)建的同時就創(chuàng)建了嗓化，這個數(shù)據(jù)屬性被稱為“ 主數(shù)據(jù)流（Primary Data Streams）”。
當(dāng)文件內(nèi)容少于大約700字節(jié)時谬哀，文件內(nèi)容會直接存儲在主數(shù)據(jù)流中刺覆。而數(shù)據(jù)大小超過700字節(jié)左右時，就需要額外的數(shù)據(jù)屬性 供選數(shù)據(jù)流(Alternate Data Streams)史煎，以為其分配簇空間谦屑。

• 供選數(shù)據(jù)流的作用
  供選數(shù)據(jù)流在很多地方都有用處，例如windows下篇梭，給一個文件建立摘要信息時氢橙，這些信息的數(shù)據(jù)就保留在該文件的ADS中。除了摘要恬偷，像索引以外的附加屬性都可以保存在ADS中悍手。附加屬性還可以用于隱藏數(shù)據(jù)，通常的dir命令及windows資源管理器都無法查看其數(shù)據(jù)袍患。這為后門木馬的免殺提供了條件~