如果你发现一个NTFS磁盘一下子就全部装满,你就要小心了。因为这样的磁盘不仅浪费了系统资源,而且它还意味着一个更为严重的问题,比如说,恶意活动或者是磁盘损坏。
通常来说,如果只是诸如簇太大之类的普通问题,磁盘会逐渐的装满。但是一个被劫持的磁盘或者是数据腐化的磁盘就会迅速的装满――严格的说,是一夜之间。
电脑罪犯一般都会使用一些存在安全隐患的电脑系统来储存盗窃来的文件副本或者他们使用的工具等等,更不用说在这些系统上运行FTP站点以及非法的聊天室。这些活动能够占用掉信任企业的数十亿字节的磁盘空间。通常他们都会把这些文件隐藏起来以躲过系统的常规检查。但是,他们没办法掩盖磁盘突然装满这一事实。
你第一步要做的是打开“显示隐藏文件”选项,检查Internet Explorer浏览器的驱动。不过,这只是一个开始。那些讨厌的电脑罪犯有各种各样的方法可以躲过浏览器的检查隐藏文件。
一个常用的隐藏文件的方法是使用交换数据流(Alternate Data Streams),这是Windows系统的一个特性,它能够连同文件本身一起,储存属性和其他的元信息。使用交换数据流储存的文件可以是一个执行文件,也可能是其它任何形式的文件。
交换数据流文件最令人讨厌的地方在于,他们不是以单独文件的形式在目录列表中显示,而且他们也不会改变所依附的文件显示出来的大小。即使依附的交换数据流有几兆大小,一个1.5兆的文件显示出来还是1.5兆。
更糟糕的是,交换数据流是无法被诸如IE浏览器或者Windows命令行之类的工具所发现的。检查一下时间戳,你可以发现被改动的文件。但是千万要小心那些没有明显原因而突然装满的磁盘。通常你需要一个特殊的工具,例如LADS,它是一个免费工具,你可以从以下地址下载:http://www.heysoft.de/Frames/f_home_en.htm。 这个工具能够在你的系统中发现并且清除交换数据流文件。
有时候找到问题所在本身就是一件很困难的工作,这就要看罪犯的手法是否高明或是使用的工具有多复杂了。你可能会发现其它电脑被入侵的迹象,例如无法解释的网络活动或者在不寻常的端口上运行的服务等等。
还有一种可能性就是驱动器已经因为电脑或者电源的故障而损坏。虽然远不及电脑被入侵问题严重,它所带来的麻烦也不小。在这种情况下,你可能需要重新安装甚至更换驱动。
在第二部分,我将着重谈一谈和Windows Server 2003以及NTFS的工作方式有关的其它问题。
