NTFS Stream攻擊及惡意程式隱藏

# NTFS Stream攻擊及惡意程式隱藏 ## 攻擊目的透過calc.exe的stream附加檔案，來附加cmd.exe 讓cmd.exe可以隱藏 cmd.exe如替換成惡意程式，可達到一定的隱蔽性，無法透過GUI看到cmd.exe這個附加文件 ## 檔案需求 cmd.exe calc.exe ## 步驟 1. 附加檔案 ```cmd= type cmd.exe > calc.exe:malware ``` 2. 查看附加檔案，可看到多了一個calc.exe:malware ![](https://i.imgur.com/sIDkbdZ.png) 3. WMIC 啟動calc.exe:malware - 必須輸入完整路徑 ```=cmd wmic process call create C:\Users\wayne\Downloads\test_hitcon2021\calc.exe:malware ``` 4. 成功跳出cmd ![](https://i.imgur.com/gr7n3h7.png)