|
|
作者:Tesla.Angela
NTFS文件流是NTFS文件系统的一个奇葩特性,可以理解成它是一个普通文件的不可见“子文件”。
这种“子文件”真实存在于硬盘(准确说是NTFS分区)上,但是系统自带的工具却无法枚举到。
创建一个NTFS流文件的方法很简单,用CMD的内部命令ECHO即可实现:此时可以看到C盘根目录下多了一个0字节的test.txt文件,但是打开后,看不到任何内容。
如果要证实该流文件的存在,可以使用WIN64AST。打开文件管理的选项卡,可见C盘下的ST.txt:S1被标为蓝色。
删除流文件很简单,直接使用DeleteFile即可。如果把一个文件复制到非NTFS分区,其附带的流文件会丢失。
如果删除一个包含流文件的普通文件,那么该普通文件附带的流文件也会全部消失。正可谓:皮之不存毛将焉附。
读写流文件可以使用BackupRead和BackupWrite等API,相关信息可以去MSDN查看。
|
|
发表于 2014-12-21 13:18:54
发表于 2024-1-4 14:02:13
