Geheime NTFS-Datenströme

Das Dateisystem NTFS von Windows XP, Vista und 7 unterstützt Alternate Data Streams (ADS). Die versteckten Datenströme ermöglichen es, Daten unsichtbar an eine Datei anzuhängen. Die Trägerdatei lässt sich wie ein Ordner nutzen, in dem man eine oder mehrere Dateien verstecken kann.

Diese Versteckmethode hat gleich mehrere Vorteile: Jeder Datei lassen sich beliebig viele unsichtbare Dateien zuweisen. Die im Windows Explorer angezeigte Größe der Trägerdatei ändert sich dabei nicht.

Sie können Dateien beliebigen Typs verstecken, zum Beispiel Office-Dokumente, Bilder, Musik oder Videos. Mit den Bordmitteln von Windows lassen sich aber nur versteckte Textdateien auslesen. Für andere Dateiformate benötigen Sie ein zusätzliches Tool.

Wenn Sie eine Datei mit angehängten NTFS-Streams auf eine Partition verschieben, die nicht mit dem Dateisystem NTFS formatiert ist, gehen die versteckten Daten verloren. Das ist zum Beispiel der Fall, wenn Sie die Datei auf einen USB-Stick verschieben.

Mit Bordmitteln von Windows lassen sich NTFS-Streams nur per Kommandozeile schreiben und lesen. Öffnen Sie die Kommandozeile, indem Sie [Windows R] drücken, cmd eingeben und mit „OK“ bestätigen. Um zum Beispiel die Textdatei „passwort.txt“ in der Bilddatei „urlaub.jpg“ zu verstecken, geben Sie auf der Kommandozeile folgenden Befehl ein:

Ersetzen Sie dabei passwort.txt durch den Pfad und Dateinamen der Datei, die Sie verstecken möchten. Den Dateinamen urlaub.jpg ersetzen Sie durch den Pfad und Dateinamen der Trägerdatei. Bestätigen Sie mit der Eingabetaste.

Das Auslesen einer versteckten Datei in einem NTFS-Stream erfolgt ebenfalls über die Kommandozeile:

Ersetzen Sie urlaub.jpg durch den Namen der Trägerdatei und passwort.txt durch den Namen, unter dem die versteckte Datei gespeichert wird. Drücken Sie die Eingabetaste.

Wenn Sie im NTFS-Stream eine andere Datei als eine Textdatei — etwa ein Video — versteckt haben, benötigen Sie das kostenlose Kommandozeilen-Tool Cat aus den GNU Utilities für Win32. Entpacken Sie das Archiv „UnxUtils.zip“ und speichern Sie aus dem Unterordner „usr\local\wbin“ die Datei „cat.exe“ im Ordner „C:\ Windows\System32“. Entpacken Sie die im NTFS-Stream versteckte Datei auf der Kommandozeile mit folgendem Befehl:

Ersetzen Sie auch hier urlaub.jpg durch den Pfad und Dateinamen der Trägerdatei und video.wav durch den Pfad und Dateinamen der Datei, die versteckt ist. Bestätigen Sie mit der Eingabetaste.

NTFS-Streams haben den Vorteil, dass sie unsichtbar sind und man so nur gezielt darauf zugreifen kann. Das hat allerdings auch den Nachteil, dass sich auf dem Rechner vorhandene NTFS-Streams nur schwer auffinden lassen.

Das kostenlose Programm Streamfinder sucht auf Ihrem Rechner nach angehängten NTFS-Streams, findet die darin versteckten Dateien und speichert sie. Streamfinder findet sämtliche versteckten NTFS- Datenströme auf Ihrem Rechner . Es lässt sich detailliert festlegen, welche Ordner auf NTFS-Laufwerken durchsucht werden sollen. Entpacken Sie das Archiv auf Ihrem Rechner und klicken Sie doppelt auf die Datei „StreamFinder .exe“. Das Tool erfordert keine Installation.

Suche: Wählen Sie in Streamfinder zunächst aus, welche Verzeichnisse das Tool nach NTFS-Streams durchsuchen soll. Klicken Sie dazu unter „Suchoptionen, Verzeichnis“ auf „Verzeichnis auswählen ...“. Markieren Sie einen Ordner und bestätigen Sie mit „OK“. Starten Sie die Suche mit einem Klick auf „Start“.

Speichern: Um den an eine Datei angehängten NTFS- Stream zu speichern, markieren Sie in den Suchergebnissen die entsprechende Datei. Wählen Sie anschließend im Menü den Eintrag „Stream, Speichern unter ...“.

Löschen: Mit Streamfinder lassen sich auch angehängte NTFS-Streams löschen. Markieren Sie dazu in den Suchergebnissen eine Datei und wählen Sie im Menü „Stream, Löschen“. Bestätigen Sie mit einem Klick auf „Ja“.