NTFS代替ストリーム

(2008.1.10)

WindowsのファイルシステムNTFSは、UNIXのファイルシステムとは違った機能・特徴があります。その一つ代替ストリームについて書いてみます。

代替ストリームを扱うプログラムの書き方。

ストリーム

UNIXでは「ファイル」はバイトの集まりです。ファイルを開いて頭から読めば、すべてのデータを取り出すことができます。まったく当たり前です。

ところがNTFSでは、ファイルは構造を持っています。普通にファイルを開いたときに読み出せるバイト列以外に、複数のバイト列を格納できます。普通に開いたときのバイト列を主ストリーム、それ以外のバイト列を代替ストリームといいます。

Internet Explorerは、代替ストリームにファイルの出どころを書き込み、これを利用して信頼できる出どころでない実行ファイルを実行する時に警告を出したりします。

代替ストリームにアクセスするには、ファイル名に「:ストリーム名」を付けてファイルを開くだけです。

● テキストファイルに実行ファイルを足してみる。

エクスプローラでこのファイルの長さを見ても主ストリームの分しか表示されません。しかし、実行することができます。(セキュリティ上のリスク?)

WINE, Sambaでの扱い

WINEでは、今のところ、代替ストリームはサポートされていません。代替ストリームは、単純に「:」以降がファイル名に付いた別のファイルになります。ストリームを開いて読むだけであれば問題ありませんが、それ以上のことをしようとするとエラーになってしまいます。

Windows で作った代替ストリームを含むファイルを Samba サーバにコピー・移動すると、代替ストリームはエラーなく失われます。Windows のローカルのFATファイルシステムなどにコピーするときには警告メッセージが出ますが、それもありません。注意が必要です。

プログラムで代替ストリームを操作

普通にファイルを開くと代替ストリームが読めないので、ファイルをコピーするときに write(read(...)) のようにしては失敗します。(内容が失われる)

C++で代替ストリームを扱うプログラムを書いてみます。

共通の関数

まず、以降のサンプルで使いまわす関数を書いておきます。

C
[POPUP]
  1. #include <string>
  2. using namespace std;
  3. // エラーメッセージを出力
  4. void error(const char* message) {
  5. char* buf = NULL;
  6. FormatMessage(FORMAT_MESSAGE_ALLOCATE_BUFFER |
  7. FORMAT_MESSAGE_FROM_SYSTEM,
  8. NULL,
  9. GetLastError(),
  10. LANG_USER_DEFAULT,
  11. (LPTSTR) &buf,
  12. 0,
  13. NULL);
  14. printf("%s: %s¥n", message, buf);
  15. LocalFree(buf);
  16. exit(1);
  17. }
  18. void dump(const BYTE* buf, size_t len) {
  19. for (int i = 0; i < len; i++) {
  20. if (buf[i] >= 0x20 && buf[i] <= 0x7e)
  21. printf("%c ", buf[i]);
  22. else
  23. printf("%02x ", buf[i]);
  24. if ((i % 16) == 15)
  25. printf("¥n");
  26. }
  27. printf("¥n");
  28. }
  29. void w2a(const WCHAR* p,
  30. int char_count, // 文字数。ナル終端のときは-1
  31. string& r) {
  32. int bytes = ::WideCharToMultiByte(CP_THREAD_ACP,
  33. 0,
  34. p,
  35. char_count,
  36. NULL,
  37. 0, // バイト数を得る
  38. NULL,
  39. NULL);
  40. if (!bytes)
  41. error("w2a");
  42. char* buf = (char*) malloc(bytes + 1);
  43. bytes = ::WideCharToMultiByte(CP_THREAD_ACP, 0, p, char_count,
  44. buf, bytes, NULL, NULL);
  45. buf[bytes] = '¥0';
  46. r = buf;
  47. free(buf);
  48. }

ストリームを読み書き

まずは、ストリームに書き込んだり、その内容を読み出したりしてみます。

C
[POPUP]
  1. #include <windows.h>
  2. #include <stdio.h>
  3. #include <string.h>
  4. #include "stream_common.cc"
  5. const char* TEST_FILE = "test.txt";
  6. // 書き込みモードでストリームを開く
  7. HANDLE open_stream(const string& fname) {
  8. HANDLE hFile = CreateFile(fname.c_str(),
  9. GENERIC_WRITE,
  10. 0,
  11. NULL,
  12. OPEN_ALWAYS,
  13. FILE_ATTRIBUTE_NORMAL,
  14. NULL);
  15. if (hFile == INVALID_HANDLE_VALUE)
  16. error(fname.c_str());
  17. return hFile;
  18. }

CreateFile() API でストリームを開きます。与えるオプションに変わったものはありません。読み込むときも、普通にファイルを開くときと同じです。

C
[POPUP]
  1. // ストリームから読み込み、表示する。
  2. void read_stream(const char* name) {
  3. HANDLE hRead = CreateFile((string(TEST_FILE) + ":" + name).c_str(),
  4. GENERIC_READ,
  5. FILE_SHARE_READ,
  6. NULL,
  7. OPEN_EXISTING,
  8. 0,
  9. NULL);
  10. if (hRead == INVALID_HANDLE_VALUE)
  11. error(name);
  12. char buf[100];
  13. DWORD read_bytes = 0;
  14. ReadFile(hRead, buf, sizeof(buf) - 1, &read_bytes, NULL);
  15. buf[read_bytes] = '¥0';
  16. printf("data = '%s'¥n", buf);
  17. CloseHandle(hRead);
  18. }

代替ストリームは「ファイル名 : ストリーム名」になります。主ストリームはファイル名だけてもアクセスできますし、:$DATAという別名でもアクセスできます。:$DATA でのアクセスはWINEではエラーになります。

C
[POPUP]
  1. int main() {
  2. DWORD dwRet;
  3. // 主ストリームに書き込む
  4. HANDLE hFile = open_stream(TEST_FILE);
  5. const char* s = "This is a test file.¥n";
  6. WriteFile(hFile, s, strlen(s), &dwRet, NULL);
  7. CloseHandle(hFile);
  8. // 代替ストリームに書き込む
  9. HANDLE hStream = open_stream(string(TEST_FILE) + ":stream");
  10. s = "This is a test file's stream.¥nSTREAM STREAM STREAM¥n";
  11. WriteFile(hStream, s, strlen(s), &dwRet, NULL);
  12. CloseHandle(hStream);
  13. // 主ストリームは:$DATAという別名がある。WINE では失敗する。
  14. read_stream("stream");
  15. read_stream(":$DATA");
  16. return 0;
  17. }

すべてのストリームを読み出す

ストリーム名を指定すれば特定のストリームにアクセスできます。では、すべてのストリームのデータを読み込むにはどうしたらいいのでしょうか。

ファイルのバックアップのためのAPI、BackupRead() を用います。

CreateFile() でファイルを開いたうえで、BackupRead() でファイルを読み込むと、

ストリームヘッダ 内容 ストリームヘッダ 内容 ...
というようなバイト列が取り出せます。自分でコピーする場合はBackupWrite()。

contextで読み込み位置など(?)を保持します。

C
[POPUP]
  1. #include <windows.h>
  2. #include <stdio.h>
  3. #include "stream_common.cc"
  4. int main() {
  5. HANDLE hFile = CreateFile("test.txt",
  6. GENERIC_READ,
  7. FILE_SHARE_READ,
  8. NULL,
  9. OPEN_EXISTING,
  10. FILE_FLAG_BACKUP_SEMANTICS,
  11. NULL);
  12. if (hFile == INVALID_HANDLE_VALUE)
  13. error("open error");
  14. BYTE buf[10000];
  15. size_t bufsiz = sizeof(buf);
  16. memset(buf, 0, bufsiz);
  17. LPVOID context = NULL;
  18. DWORD ret_bytes = 0;
  19. BOOL r = BackupRead(hFile,
  20. buf,
  21. bufsiz,
  22. &ret_bytes,
  23. FALSE,
  24. FALSE,
  25. &context);
  26. printf("ret %ld¥n", ret_bytes);
  27. if (!r)
  28. error("BackupRead");
  29. // 表示する
  30. dump(buf, ret_bytes);
  31. return 0;
  32. }

このサンプルを実行すると、次のように表示されます。

ret 138
01 00 00 00 00 00 00 00 15 00 00 00 00 00 00 00 
00 00 00 00 T  h  i  s     i  s     a     t  e  
s  t     f  i  l  e  .  0a 04 00 00 00 00 00 00 
00 3  00 00 00 00 00 00 00 1a 00 00 00 :  00 s  
00 t  00 r  00 e  00 a  00 m  00 :  00 $  00 D  
00 A  00 T  00 A  00 T  h  i  s     i  s     a  
   t  e  s  t     f  i  l  e  '  s     s  t  r  
e  a  m  .  0a S  T  R  E  A  M     S  T  R  E  
A  M     S  T  R  E  A  M  0a 

代替ストリーム名が「:stream:$DATA」になっています。実際、test.txt:stream でも、test.txt:stream:$DATA でも内容にアクセスできます。なんという。

ストリーム名を取り出す

複数のストリームを含むファイルをバイト列に展開できたので、今度はストリーム名を一覧 (列挙) してみましょう。

ストリームヘッダは WIN32_STREAM_ID 構造体で、<winbase.h> で次のように定義されています。dwStreamNameSize はバイト数なので、適宜 sizeof(WCHAR) で割ってやります。

C
[POPUP]
  1. typedef struct _WIN32_STREAM_ID {
  2. DWORD dwStreamId;
  3. DWORD dwStreamAttributes;
  4. LARGE_INTEGER Size; // 内容の長さ(バイト数)
  5. DWORD dwStreamNameSize; // ストリーム名の長さ(文字数ではなくバイト数)
  6. WCHAR cStreamName[ANYSIZE_ARRAY]; // dwStreamNameSizeが非0のときのみ
  7. } WIN32_STREAM_ID, *LPWIN32_STREAM_ID;

主ストリームは、dwStreamNameSizeが0で、cStreamNameが1バイトも確保されていません。そのため、dwStreamNameSizeまでを読み込み、ストリーム名がある場合のみ読み進めるようにします。

offsetofで構造体内部の位置を取れます。(弱気にassert() していますが。)

C
[POPUP]
  1. #include <windows.h>
  2. #include <stdio.h>
  3. #include <string.h>
  4. #include "stream_common.cc"
  5. // ストリームヘッダを読む
  6. bool read_header(HANDLE hFile, LPVOID* context) {
  7. WIN32_STREAM_ID sid;
  8. memset(&sid, 0, sizeof(sid));
  9. size_t header_size = offsetof(WIN32_STREAM_ID, cStreamName);
  10. assert(header_size == 20);
  11. // BackupRead() は、ファイルに含まれるストリームを結合したバイト列を読み込む
  12. // sid, ストリーム1, sid, ストリーム2, ...
  13. DWORD ret_bytes = 0;
  14. BOOL r = BackupRead(hFile,
  15. (BYTE*) &sid, header_size,
  16. &ret_bytes,
  17. FALSE,
  18. FALSE,
  19. context);
  20. if (!r)
  21. error("BackupRead");
  22. // ストリームの終端でさらにBackupRead()すると、正常に終了して、ret_bytes = 0
  23. printf("ret %ld¥n", ret_bytes);
  24. if (!ret_bytes)
  25. return false;
  26. printf("dwStreamId = %ld, dwStreamAttributes = %ld, Size = %ld, dwStreamNameSize = %ld¥n",
  27. sid.dwStreamId,
  28. sid.dwStreamAttributes,
  29. sid.Size.LowPart,
  30. sid.dwStreamNameSize);

代替ストリームのときは、ストリーム名が格納できるメモリを動的に確保します。NTFSのファイル名は非常に長くできるので、静的に確保してはいけません。

C
[POPUP]
  1. // 主ストリームはストリーム名がない
  2. if (!sid.dwStreamNameSize)
  3. printf("stream name: n/a¥n");
  4. else {
  5. // ストリーム名を読む。ストリーム名は MAX_PATH より長いことがある。
  6. WCHAR* name = (WCHAR*) malloc(sid.dwStreamNameSize + sizeof(WCHAR));
  7. memset(name, 0, sid.dwStreamNameSize + sizeof(WCHAR));
  8. r = BackupRead(hFile, (BYTE*) name, sid.dwStreamNameSize,
  9. &ret_bytes, FALSE, FALSE, context);
  10. printf("stream name: ret %ld¥n", ret_bytes);
  11. if (!r)
  12. error("read stream name");
  13. string sn;
  14. w2a(name, sid.dwStreamNameSize / sizeof(WCHAR), sn);
  15. printf("%s¥n", sn.c_str());
  16. free(name);
  17. }

ストリームの内容があるとき(長さ1バイト以上)は、BackupSeek() API でファイルを読み進めます。BackupSeek() には相対位置を渡します。

C
[POPUP]
  1. // 内容があるとき、次のストリームへ進める
  2. if (sid.Size.LowPart || sid.Size.HighPart) {
  3. DWORD dw1, dw2;
  4. r = BackupSeek(hFile,
  5. sid.Size.LowPart, sid.Size.HighPart,
  6. &dw1, &dw2,
  7. context);
  8. if (!r)
  9. error("seek");
  10. }
  11. return true;
  12. }

BackupRead() は、ファイルの最後まで読み込んだ状態で呼び出されると、呼び出しに成功し、かつ読み込めたバイト数0を返します。そのときは、リソース (context) を解放します。

リソースの解放も BackupRead() を呼び出します。close...などの関数が別にあるわけではありません。

C
[POPUP]
  1. const char* fname = "test.txt";
  2. int main() {
  3. HANDLE hFile = CreateFile(fname,
  4. GENERIC_READ,
  5. FILE_SHARE_READ,
  6. NULL,
  7. OPEN_EXISTING,
  8. FILE_FLAG_BACKUP_SEMANTICS,
  9. NULL);
  10. if (hFile == INVALID_HANDLE_VALUE)
  11. error("open file");
  12. LPVOID context = NULL;
  13. bool has_next;
  14. do {
  15. has_next = read_header(hFile, &context);
  16. } while (has_next);
  17. // リソースを解放する
  18. BOOL r = BackupRead(hFile,
  19. NULL, 0,
  20. NULL,
  21. TRUE, // bAbort
  22. FALSE,
  23. &context);
  24. if (!r)
  25. error("end read");
  26. CloseHandle(hFile);
  27. return 0;
  28. }

ストリーム名その2

BackupRead(), BackupSeek() はドキュメント化された方法ですが、まどろっこしいです。undocumented ですが、ntdll.dll の NtQueryInformationFile() を呼び出す方法もあります。

まず、構造体などを宣言します。

C
[POPUP]
  1. #include <windows.h>
  2. #include <ntdef.h>
  3. #include <stdio.h>
  4. #include "stream_common.cc"
  5. // <ddk/winddk.h>
  6. typedef struct _IO_STATUS_BLOCK {
  7. _ANONYMOUS_UNION union {
  8. NTSTATUS Status;
  9. PVOID Pointer;
  10. } DUMMYUNIONNAME;
  11. ULONG_PTR Information;
  12. } IO_STATUS_BLOCK;
  13. // <ddk/winddk.h>
  14. typedef enum _FILE_INFORMATION_CLASS {
  15. FileStreamInformation = 22,
  16. } FILE_INFORMATION_CLASS, *PFILE_INFORMATION_CLASS;
  17. // <ddk/ntifs.h>
  18. typedef struct _FILE_STREAM_INFORMATION {
  19. ULONG NextEntryOffset;
  20. ULONG StreamNameLength;
  21. LARGE_INTEGER StreamSize;
  22. LARGE_INTEGER StreamAllocationSize;
  23. WCHAR StreamName[1]; // 可変長
  24. } FILE_STREAM_INFORMATION, *PFILE_STREAM_INFORMATION;
  25. typedef NTSTATUS (*NtQueryInformationFileFunc)(
  26. /* IN */ HANDLE hFile,
  27. /* OUT */ IO_STATUS_BLOCK* io,
  28. /* OUT */ void* ptr,
  29. /* IN */ LONG len,
  30. /* IN */ FILE_INFORMATION_CLASS information_class);

GetProcAddress() で NtQueryInformationFile 関数を取得します。

C
[POPUP]
  1. NtQueryInformationFileFunc NtQueryInformationFile = NULL;
  2. void load_dll() {
  3. HINSTANCE dll = LoadLibrary("ntdll.dll");
  4. if (!dll)
  5. error("load ntdll");
  6. NtQueryInformationFile = (NtQueryInformationFileFunc)
  7. GetProcAddress(dll, "NtQueryInformationFile");
  8. if (!NtQueryInformationFile)
  9. error("get address");
  10. }

一撃でストリームの情報を取得できます。

C
[POPUP]
  1. int main() {
  2. load_dll();
  3. HANDLE hFile = CreateFile("test.txt",
  4. GENERIC_READ,
  5. FILE_SHARE_READ,
  6. NULL,
  7. OPEN_EXISTING,
  8. 0,
  9. NULL);
  10. if (hFile == INVALID_HANDLE_VALUE)
  11. error("open error");
  12. BYTE buf[10000]; // 固定長で確保すると不味そうだが?
  13. size_t bufsiz = sizeof(buf);
  14. memset(buf, 0, bufsiz);
  15. IO_STATUS_BLOCK io_status;
  16. memset(&io_status, 0, sizeof(io_status));
  17. NTSTATUS r = NtQueryInformationFile(hFile, &io_status, buf, bufsiz,
  18. FileStreamInformation);
  19. if (!NT_SUCCESS(r))
  20. error("query");
  21. dump((BYTE*) &io_status, sizeof(io_status));
  22. dump(buf, sizeof(FILE_STREAM_INFORMATION) * 3);
  23. BYTE* p = buf;
  24. while (p + ((FILE_STREAM_INFORMATION*) p)->NextEntryOffset <= buf + bufsiz) {
  25. FILE_STREAM_INFORMATION* info = (FILE_STREAM_INFORMATION*) p;
  26. string r;
  27. w2a(info->StreamName, info->StreamNameLength / sizeof(WCHAR), r);
  28. printf("name = %s¥n", r.c_str());
  29. if (!info->NextEntryOffset)
  30. break;
  31. p += info->NextEntryOffset;
  32. }
  33. return 0;
  34. }

実行結果はこうなります。

00 00 00 00 Z  00 00 00 
(  00 00 00 0e 00 00 00 15 00 00 00 00 00 00 00 
18 00 00 00 00 00 00 00 :  00 :  00 $  00 D  00 
A  00 T  00 A  00 00 00 00 00 00 00 1a 00 00 00 
3  00 00 00 00 00 00 00 8  00 00 00 00 00 00 00 
:  00 s  00 t  00 r  00 e  00 a  00 m  00 :  00 
$  00 D  00 A  00 T  00 A  00 00 00 00 00 00 00 

name = ::$DATA
name = :stream:$DATA

外部リンク

プログラマから見た NTFS 2000 Part1: ストリームとハード リンク
ストリーム、ハードリンクなどの解説。
8-3. NTFS のセキュリティ機能と落とし穴
ぬるり。: C# と NTFS ストリームの甘くなくもない関係
COMインターフェイスIPropertySetStorage経由でのストリームへのアクセス。
NTFS Alternate Streams: What, When, and How To