本帖最后由 银砾石 于 2011-2-24 07:39 编辑
Ntfs解析程序能力测试 一、测试条件 winxp ntfs virtualbox 对于普通目录,常见的解析程序一般都能够正确地分析出目录结构,所以在这里做了一个复杂的目录,考虑到测试需要,选择了最特殊的一个目录,根目录。 1、构建环境 分别闯进硬连接和流文件 for /l %i in (1,1,1000) do fsutil hardlink create c:\hard%i c:\boot.ini for /l %i in (1,1,1000) do dir .>vc:%i(注意:创建流文件由于测试时未及时记录,已找不到正确的命令,结果分别是根目录创建了1000个流文件,名字从1到1000,vc目录创建了468个文件) 2、创建结果 A、根目录下存在hard1~hard321文件,其为boot.ini的硬连接(太慢,中间停止了) C:\>fsutil hardlink create c:\hard321 c:\boot.ini 为 c:\hard321 <<===>> c:\boot.ini 创建了硬链接 C:\>fsutil hardlink create c:\hard322 c:\boot.ini B、根目录下存在vc子目录,其含有1-468的流文件。 C、根目录下含有1-1000的流文件。 二、测试软件 1、NTFS数据流扫描专家 2、Ntfs数据流处理工具2.0 NtfsStreamsEditor (已有正式版,但据作者说正式版仍未对根目录处理,不重新测试) 3、XueTr吾爱破解论坛专版 4、PowerTool3.4.2 5、Streams v1.56 6、RootkitUnhooker 7、GMER 8、Sysnap anti-rootkit v1.22 下载地址没有了 9、MD 10、SysReveal 1.0.0.70
三、测试内容 1、能否正确浏览目录 2、能够正确找到流文件 3、能够识别硬连接文件相关位置 四、测试结果 其中两个工具完全不显示目录内容,分别为4和8; 三个工具不查找根目录的流文件,分别为1和2,10; 两个工具查找不全,分别为3和6; 三个工具能完全显示,为5和7、9。 一个工具未有明确的开启或关闭解析功能,为10。 另外,没有工具额外处理了硬连接,即显示出硬连接对应的文件。 附图如下: 附目录完整记录如下: | 
[复制链接]
发表于 2011-1-27 13:59:56
