Что за файлы ntfsck 00000000
Обновлено: 07.07.2024
Портал BleepingComputer провел серию тестов и убедился, что данная однострочная команда может быть скрыта в файлах ярлыка Windows, архивах ZIP и пакетных файлов. Таким образом, киберпреступники могли использовать различные векторы атаки, чтобы спровоцировать повреждение жесткого диска и индекса файловой системы.
«Критически недооцененная» уязвимость NTFS
В августе 2020 года, октябре 2020 года и, наконец, на этой неделе, исследователь из InfoSec Йонас Л привлек внимание к уязвимости NTFS в Windows 10, которая до сих пор не исправлена.
Эксплуатацию уязвимости можно выполнить с помощью однострочной команды, после чего мгновенно происходит повреждение жесткого диска NTFS. Система предлагает перезагрузить компьютер, чтобы восстановить поврежденные записи на диске.
Уязвимость затрагивает все последние версии операционной системы Windows 10 начиная с версии 1803. Она сохраняется в том числе и в новейшей версии 20H2.
Что еще тревожней, эксплуатация возможно даже в сеансах со стандартными учетными записями, когда пользователи обладают низкими привилегиями.
Диск можно повредить, если определенным образом попытаться получить доступ к атрибуту $i30 NTFS в папке.
Отказ от ответственности
Выполнение приведенной ниже команды на работающей системе приведет к повреждению диска и, возможно, сделает его недоступным.
Проверяйте эту команду ТОЛЬКО на виртуальной машине, которую вы можете восстановить до более раннего снимка, если диск будет поврежден
Приводим пример команды, которая приводит к повреждению диска:
Атрибут индекса NTFS или строка «$i30» представляет собой список файлов и подпапок каталога. В некоторых случаях индекс NTFS может включать удаленные файлы и папки, что удобно при восстановлении объектов во время экспертизы.
Доподлинно неизвестно, почему доступ именно к этому атрибуту с идентификатором 30 повреждает диск. Йонас отметил, что ключ реестра, который помог бы диагностировать проблему, не работает.
Я понятия не имею, почему именно эта команда приводит к повреждению индекса. Очень сложно установить истинную причину, потому что ключ реестра, который вызывает BSOD при повреждении не работает. Пускай в этом разберутся те, кто имеет доступ к исходному коду.
После запуска команды в командной строке и нажатия Enter пользователь Windows 10 получит ошибку «Файл или папка повреждены. Чтение невозможно».
Windows немедленно выведет уведомление с предложение перезагрузить компьютер и восстановить поврежденный том диска. При перезагрузке запускается утилита проверки диска Windows, которая начинает восстановление жесткого диска, как показано на видео.
После повреждения дисков Windows 10 начнет генерировать ошибки в журнале событий, указывая, что основная таблица файлов (MFT) для конкретного диска содержит поврежденную запись.
Тесты BleepingComputer показывают, что команду можно применять к любым дискам, а не только к системному диску С. При этом указанный диск будет поврежден.
Способы эксплуатации уязвимости нулевого дня
Злоумышленники могут злонамеренно использовать команду в различных демонстрационных (Proof-of-Concept) эксплойтах.
Один из способов эксплуатации даже не требует открытия файла. Для этого нужно создать файл ярлыка интернет-ссылки Windows (.url) со следующим расположением иконки: C:\:$i30:$bitmap.
Как только этот файл ярлыка загружается на ПК с Windows 10 и пользователь просматривает папку, содержащую ярлык, Проводник Windows попытается отобразить значок файла.
Для этого Проводник Windows попытается получить доступ к указанному пути иконки в фоновом режиме, тем самым повредив жесткий диск NTFS.
Затем на компьютере станут появляться уведомлении о перезагрузке для восстановления жесткого диска. Таким образом, эксплуатация произошла даже без открытия файла или двойного клика по ярлыку.
Эксплуатация через ZIP-архивы, HTML-файлы и другими методами
Злоумышленники могут проявить креативность при доставке полезной нагрузке жертве.
Хотя политика Same-origin в браузерах ограничивает атаки, обслуживаемые с удаленного сервера (например, расположенные на сервере HTML-документ, ссылающийся на file:///C:/:$i30:$bitmap), существуют нестандартные средства для обхода таких защит.
Исследователь заявляет, что для удаленного запуска этого эксплойта можно использовать другие векторы атаки, например, HTML-страницы, которые встраивают ресурсы из общих сетевых ресурсов или общих дисков со ссылками на индекс $i30. В некоторых возможно повреждение главной таблицы файлов NTFS (MFT).
В некоторых тестах BleepingComputer после того, как утилита Windows 10 chkdsk «исправила» ошибки жесткого диска при перезагрузке, содержимое файла эксплойта, в данном случае созданный ярлык Windows с путем иконки C:\:$i30:$bitmap был очищен и заменен пустыми байтами. Это значит, что файла ярлыка Windows достаточно, чтобы провести разовую атаку.
Кроме того, жертва вряд ли загрузит ярлык Windows (.url) из Интернета.
Чтобы сделать атаку более реалистичной и надежной, злоумышленники могут обменными методами заставить пользователей загрузить ZIP-архив для доставки созданного файла.
Например, злоумышленник включить вредоносный файл ярлыка в архив с большим количеством легитимных файлов. В этом случае велика вероятность не только загрузки архива, но и эксплуатации уязвимости после распаковки архива и просмотра файлов.
Если же архив не будет извлечен, то эксплойт не будет запущен.
Даже при извлечении в ходе восстановления жесткого диска будет очищен распакованный файл ярлыка Windows, но копия внутри архива сохранится. Если пользователь попытается повторно извлечь ZIP, диск будет снова поврежден.
Согласно источникам в сообществе InfoSec подобные уязвимости известны много лет, но Microsoft до сих пор их не исправила.
В ответ на запрос BleepingComputer по поводу данной уязвимости, представитель Microsoft сообщил:
У Microsoft есть обязательства перед клиентами по расследованию выявленных проблем безопасности, и мы предоставим обновления для затронутых устройств в кратчайшие сроки.
Всем привет. Помогите пожалуйста решить вопрос. Имеется внешний жесткий диск 1тб. На нем папка фильмов гигов 800. В один момент эта папка переименовалась в "ntfsck", а фильмы в ней стали "file 000001, . 000002 и т. д. На компе посмотреть фильмы конечно можно, но телевизор перестал видеть фильмы в папке. Как "вылечить" диск, что бы снова смотреть с телевизора?
для первого варианта проще воспользоваться программами для массового переименования, например krename для kde, либо его аналоги для других DE (поищите самостоятельно)..
В одной из тем написал комментарий, а теперь создам отдельно тему.
Давайте попридумываем обложки для компьютерных игр. Вот вам мои идеи
Политическая сатира приветствуется
П.С. (простите за качество контента - пользую Paint)
Классно на ютюбе сделали- навел мышку не нажимая на ролик и он начинает воспроизводиться через несколько секунд с титрами, т.е. можно понять- это то что искал или не то! Интересно, дано так?
Всем привет! Помогите пожалуйста! Сын накопил денег )). Хочет новый комп. Сами не сможем подобрать комплектующие. Одному достаточно известному магазину не очень доверяем. Помогите со сборкой пожалуйста. Что-бы все было совместимо и главное сбалансировано. У сына уже есть видеокарта. Нужно все остальное, включая корпус. На чем можно экономить, а на чем не стоит? Нужны конкретные названия железа, где именно купить придумаем, хотя и от вас такая инфа пригодится. Видеокарта у сына Palit GeForce RTX 2080… (читать далее)
В этой статье рассмотрено, как проверить распределение дискового пространства файловой системы NTFS, чтобы обнаружить файлы и папки с оскорбленными файлами или найти повреждения громкости на компьютерах Microsoft Windows Server 2003.
Применяется к: Windows Server 2003
Исходный номер КБ: 814594
Сводка
Распределение дискового пространства тома NTFS может показаться неправильным по любой из следующих причин:
Следующие сведения помогут оптимизировать, отремонтировать или получить более полное представление об использовании дискового пространства в томах NTFS.
Слишком большой размер кластера
Только файлы и папки, которые включают внутренние метафили NTFS, такие как таблица master File (MFT), индексы папок и другие, могут потреблять пространство диска. Эти файлы и папки потребляют все выделения пространства файлов с помощью нескольких кластеров. Кластер — это коллекция соотественных секторов. Размер кластера определяется размером раздела при форматировании тома.
Дополнительные сведения о кластерах см. в сведениях о размере кластеров по умолчанию для NTFS, FAT и exFAT.
Когда файл создается, он потребляет минимум одного кластера дискового пространства в зависимости от первоначального размера файла. При добавлении данных в файл NTFS увеличивает выделение файла в нескольких размерах кластера.
Чтобы определить текущий размер кластера и статистику громкости, запустите команду chkdsk только для чтения из командной подсказки. Для этого выполните указанные ниже действия.
В командной подсказке введите команду: chkdsk d: .
Где d: это буква диска, которую необходимо проверить.
Просмотр результатов. Например:
4096543 общего дискового пространства KB. <--- общая отформатированная емкость диска.
2906360 КБ в файлах 19901 г. <--- пространства, используемом данными файлов пользователя.
6344 КБ в 1301 индексах. <--- пространства, используемой индексами NTFS.
0 КБ в плохих секторах. <--- space проиграла плохим секторам.
49379 КБ, используемая системой. <--- содержит метафили MFT и других NTFS.
22544 KB занят файлом журнала. <--- NTFS Log file - (Можно корректировать с помощью chkdsk /L:size)
1134460 доступно на диске. <--- свободное пространство диска4096 bytes в каждом блоке распределения. <--- размер кластера. (4K)
1024135 единицы общего распределения на диске. <--- общие кластеры на диске.
283615 единицы распределения, доступные на диске. <--- доступные бесплатные кластеры.
Умножьте каждое значение, которое отчеты о выходе в килобайтах (KB) будут умножаться на 1024, чтобы определить точные значения byte. Например: 2906360 x 1024 = 2 976 112 640 бит. Эти сведения можно использовать для определения использования дискового пространства и размера кластера по умолчанию.
Чтобы определить оптимальный размер кластера, необходимо определить впустую пространство на диске. Для этого выполните указанные ниже действия.
Щелкните любой файл или папку, а затем выберите Выберите все в меню Редактирование.
При выборе всех выбранных файлов и папок щелкните правой кнопкой мыши любой файл или папку, щелкните Свойства, а затем нажмите вкладку General.
Общая вкладка отображает общее количество файлов и папок в целом томе и содержит две статистики размера файлов: РАЗМЕР и РАЗМЕР НА ДИСКЕ.
Если вы не используете сжатие NTFS для файлов или папок, содержащихся в томе, разница между РАЗМЕРом и РАЗМЕРОМ НА ДИСКе может представлять некоторое впустую пространство, так как размер кластера больше необходимого. Может потребоваться использовать меньший размер кластера, чтобы значение SIZE ON DISK было максимально приближено к значению SIZE. Большая разница между размером НА ДИСКе и значением SIZE указывает на то, что размер кластера по умолчанию слишком велик для среднего размера файла, хранимого в томе.
Изменить размер кластера можно только переформатированием тома. Для этого необходимо заказать объем, а затем форматизировать его с помощью команды формата и переключателя, чтобы указать /a соответствующее распределение. Например: format D: /a:2048 (В этом примере используется размер кластера 2-KB).
Кроме того, можно включить сжатие NTFS для восстановления пространства, потерянного из-за неправильного размера кластера. Однако это может привести к снижению производительности.
Атрибуты файлов или разрешения NTFS
И Windows, и команда списка каталогов отображают общую статистику файлов и папок только для тех файлов и папок, к которые у вас есть dir /a /s разрешения на доступ. По умолчанию файлы, скрытые файлы и защищенные файлы операционной системы, исключаются. Это поведение может Windows explorer или команду dir для отображения неточных итогов файлов и папок и статистики размеров.
Чтобы включить эти типы файлов в общую статистику, измените параметры папки. Для этого выполните указанные ниже действия.
Чтобы определить папки и файлы, к которые нельзя получить доступ, выполните следующие действия:
В командной подсказке создайте текстовый файл из вывода dir /a /s команды.
Например: В командной подсказке введите следующую команду: dir d: /a /s >c:\d-dir.txt .
Запустите мастер резервного копирования или восстановления.
Щелкните Параметры в меню Tools, щелкните вкладку Резервное копирование журнала, щелкните Подробный и нажмите кнопку ОК.
В утилите резервного копирования щелкните вкладку Резервное копирование, а затем выберите поле для всего затронутого тома (например: D:), а затем нажмите кнопку Начните резервное копирование.
После завершения резервного копирования откройте отчет о резервном копировании и сравните папку для папки с выходом журнала NTBackup с d-dir.txt, сохраненным на шаге 1.
Так как резервное копирование может получить доступ ко всем файлам, в отчете могут содержаться папки и файлы, которые Windows Explorer и не отображаются в команде dir. Вам может быть проще использовать интерфейс NTBackup для поиска тома без архива громкости при поиске больших файлов или папок, к которые невозможно получить доступ с помощью Windows Explorer.
После обнаружения файлов, к которые вы не имеете доступа, можно добавить или изменить разрешения с помощью вкладки Security во время просмотра свойств файла или папки в Windows Explorer. По умолчанию вы не можете получить доступ к папке сведения о томе системы. Чтобы включить папку в команду, необходимо добавить правильные dir /a /s разрешения.
D:\folder_name\ не доступен
Доступ запрещен
Если у вас есть такие папки, обратитесь в службы поддержки продуктов Майкрософт для получения дополнительной помощи.
Имена недействительных файлов
Папки или файлы, содержащие недействительные или зарезервированные имена файлов, также могут быть исключены из статистики файлов и папок. В NTFS допустимы папки или файлы, содержащие ведущие или точки заднего пользования, но они не допустимы с точки зрения подсистемы Win32. Поэтому ни Windows, ни командная подсказка не могут надежно работать с ними.
Файл или папка для переименования ошибок
Не удается переименовать файл: невозможно читать из исходных файлов или дисков.
Файл или папка для удаления ошибок
Не удается удалить файл. Не удается прочитать из источника файла или диска.
Если у вас есть папки или файлы, которые нельзя удалить или переименовать, обратитесь в службы поддержки продуктов Майкрософт.
Расширение NTFS Master File Table (MFT)
Когда создается и форматизируется том NTFS, создаются метафилы NTFS. Один из этих метафилов называется Master File Table (MFT). Он небольшой при его создания (около 16 КБ), но он растет по мере создания файлов и папок на томе. Когда файл создается, он вошел в MFT в качестве сегмента записей файлов (FRS). FrS всегда составляет 1024 bytes (1 KB). По мере того, как файлы добавляются в том, MFT растет. Однако при удалении файлов связанные frSs помечены как бесплатные для повторного использования, но общее распределение frSs и связанных MFT остается. Поэтому после удаления большого количества файлов пространство, используемого MFT, не возвращается.
Чтобы точно увидеть размер MFT, можно использовать встроенный дефрагментер для анализа тома. В итоговом отчете приводится подробная информация о размере и количестве фрагментов в MFT.
Фрагментация master File Table (MFT)
Общий размер MFT = 26 203 КБ
Количество записей MFT = 21 444
Процент использования MFT = 81%
Общие фрагменты MFT = 4
Однако для получения дополнительных сведений о том, сколько пространства (накладных расходов) использует весь NTFS, выполните команду chkdsk.exe, а затем выполните просмотр вывода для следующей строки:
В настоящее время только сторонние defragmenters консолидировать неиспользование записей FRS MFT и восстановить неиспользование MFT выделенное пространство.
Альтернативные потоки данных
NTFS позволяет файлам и папкам содержать альтернативные потоки данных. С этой функцией можно связать несколько распределений данных с одним файлом или папкой. Использование альтернативных потоков данных в файлах и папках имеет следующие ограничения:
- Windows Explorer и команда dir не сообщают данные в альтернативных потоках данных в рамках статистики размера файла или объема. Вместо этого они показывают только общие bytes для основного потока данных.
- Выход из chkdsk точно сообщает пространство, используемого пользовательскими файлами данных, включая альтернативные потоки данных.
- Квоты дисков точно отслеживают и сообщают о всех распределениях потока данных, которые являются частью файлов данных пользователя.
- NTBackup записи количество bytes резервного копирования в отчете резервного копирования журнала. Однако он не показывает, какие файлы содержат альтернативные потоки данных. Он также не показывает точные размеры файлов, которые включают данные в альтернативных потоках.
Коррупция файловой системы NTFS
Другие функции NTFS, которые могут вызвать путаницу в распределении файлов
NTFS также поддерживает жесткие ссылки и точки репара, которые позволяют создавать точки монтажа громкости и стыки каталогов. Эти дополнительные функции NTFS могут вызвать путаницу при попытке определить, сколько места потребляет физический том.
Твердая ссылка — это запись каталога для файла независимо от того, где данные файла находятся в этом томе. Каждый файл имеет по крайней мере одну твердую ссылку. В томах NTFS каждый файл может иметь несколько жестких ссылок, поэтому один файл может отображаться во многих папках (или даже в одной папке с разными именами). Так как все ссылки относятся к одному файлу, программы могут открывать любые ссылки и изменять файл. Файл удаляется из файловой системы только после удаления всех ссылок на него. После создания жесткой ссылки программы могут использовать ее, как и любое другое имя файла.
Windows Проводник и командная подсказка показывают, что все связанные файлы имеют одинаковый размер, хотя все они имеют одинаковые данные и не используют такое количество дискового пространства.
Точки крепления тома и стыки каталогов позволяют пустой папке на томе NTFS указать на корневой или подмостки другого тома. Windows Обозреватель и команда dir/s следуют точке репара, подсчитывают все файлы и папки в томе назначения, а затем включают их в статистику тома хостов. Это может ввести в заблуждение, что на томе хостов используется больше места, чем на самом деле.
В сводке вы можете использовать выход chkdsk, NTBackup GUI или журналы резервного копирования, а также просмотр квот дисков, чтобы определить, как пространство диска используется в томе. Однако Windows Explorer и команда dir имеют некоторые ограничения и недостатки при их назначении.
Kir…, он толще модели 13 года? нормально ли он вешается на стену? может есть фотка интерфейсов сзади?
интересует как встроенный браузер проигрывает флеш видео --- не отваливается ли флеш не тормозит ? и набор приложений для новой webos такой же как в старом поколении телевизоров ?
Выживает ведь не тот кто умеет жить на пять, а тот кто просто не умеет умирать!siongroup:как встроенный браузер проигрывает флеш видео
Встроенный браузер не поддерживает флэш. Но играет другие форматы. Т.е. сизонвар например не работает.
Говорят, в этом ТВ, заторможенное меню. Так ли это?
В Российской сборке нету PVR, реально ли у нас купить польскую?
хм, а почему очков в комплекте только 2 шт? На официальном сайте LG написано, что должно быть 4 шт. да и на российском сайте м-видео написано - 4.
С телефона(планшета) есть управление?
sersenk:С телефона(планшета) есть управление?
Нет. У меня польская версия (2ое очков и обычный пульт) и в комплекте идет NFC метка с ссылкой на программу в маркете. Но в этой программе нет нашего телевизора. Может быть появится позже.
Купил сей аппарат 2 дня назад, пока не нашёл, как подключить мышку (через порт USB не получается, телек как-будьто не видит её, а без мышки так неудобно набирать символы в браузере). Если кто-нибудь может подсказать, то большушее спасибо. (
Купил данный аппарат и могу сказать вот что:
1. Меню тормознутое, ресурсов телевизора и в самом деле не хватает
2. В левом верхнем углу 2 засвета. Хорошо видно на черном фоне
3. Дизайн очень понравился, в сравнении с моделями 13 года.
Появились красные линии по краям объектов. Решается путем сброса настроек. Хотя никаких настроек никто не менял. Через некоторое время проблема повторяется. Пока разбираюсь, возможно проблема с провайдером
Не получается зайти в LG Store. пишет "Служба Временно Недоступна". Версия прошивки 03.00.72 ( больше не обновляется). Настройки сбрасывал на заводские. Что посоветуете сделать?
При просмотре 3D иногда двоится изображение (порой просто расплывается на несколько секунд, либо постоянно двоятся объекты нижней части экрана заднего фона), может быть ли это дефект поляризационной пленки?
Здравствуйте! Купил неделю назад 60LB650v польской сборки. Обратил внимание на засветы по углам на черном фоне. Как думаете нужно ли терябить гарантийную службу или это нормальное явление? Видны только на черном фоне а так вроде нет.
bambi:1. Меню тормознутое, ресурсов телевизора и в самом деле не хватает
2. В левом верхнем углу 2 засвета. Хорошо видно на черном фоне
Меню на самом деле работает на много шустрее, чем в гнусмасах . Обновите прошивку на телевизоре. Для этого нужно выбрать при первом включении (так же можно в настройках) страну Россию.
Засветы у меня тоже присутствуют, только в правом верхнем углу. Видимо "особенность" сборки.
Be_positive:Не получается зайти в LG Store. пишет "Служба Временно Недоступна". Версия прошивки 03.00.72 ( больше не обновляется). Настройки сбрасывал на заводские. Что посоветуете сделать?
тоже самое, измените страну на Россию и обновляйте прошивку. И все будет "летать" и ЛЖ сторе заработает.
Удачи
Читайте также: