如果你發現一個NTFS磁盤一下子就全部裝滿,你就要小心了。因為這樣的磁盤不僅浪費了系統資源,而且它還意味著一個更為嚴重的問題,比如說,惡意活動或者是磁盤損壞。 通常來說,如果只是諸如簇太大之類的普通問題,磁盤會逐漸的裝滿。但是一個被劫持的磁盤或者是數據腐化的磁盤就會迅速的裝滿——嚴格的說,是一夜之間。 電腦罪犯一般都會使用一些存在安全隱患的電腦系統來儲存盜竊來的文件副本或者他們使用的工具等等,更不用說在這些系統上運行FTP站點以及非法的聊天室。這些活動能夠占用掉信任企業的數十億字節的磁盤空間。通常他們都會把這些文件隱藏起來以躲過系統的常規檢查。但是,他們沒辦法掩蓋磁盤突然裝滿這一事實。 你第一步要做的是打開“顯示隱藏文件”選項,檢查Internet Explorer浏覽器的驅動。不過,這只是一個開始。那些討厭的電腦罪犯有各種各樣的方法可以躲過浏覽器的檢查隱藏文件。 一個常用的隱藏文件的方法是使用交換數據流(Alternate Data Streams),這是Windows系統的一個特性,它能夠連同文件本身一起,儲存屬性和其他的元信息。使用交換數據流儲存的文件可以是一個執行文件,也可能是其它任何形式的文件。 交換數據流文件最令人討厭的地方在於,他們不是以單獨文件的形式在目錄列表中顯示,而且他們也不會改變所依附的文件顯示出來的大小。即使依附的交換數據流有幾兆大小,一個1.5兆的文件顯示出來還是1.5兆。 更糟糕的是,交換數據流是無法被諸如IE浏覽器或者Windows命令行之類的工具所發現的。檢查一下時間戳,你可以發現被改動的文件。但是千萬要小心那些沒有明顯原因而突然裝滿的磁盤。通常你需要一個特殊的工具,例如LADS,它是一個免費工具,你可以從以下地址下載:。 這個工具能夠在你的系統中發現並且清除交換數據流文件。 有時候找到問題所在本身就是一件很困難的工作,這就要看罪犯的手法是否高明或是使用的工具有多復雜了。你可能會發現其它電腦被入侵的跡象,例如無法解釋的網絡活動或者在不尋常的端口上運行的服務等等。 還有一種可能性就是驅動器已經因為電腦或者電源的故障而損壞。雖然遠不及電腦被入侵問題嚴重,,它所帶來的麻煩也不小。在這種情況下,你可能需要重新安裝甚至更換驅動。 在第二部分,我將著重談一談和Windows Server 2003以及NTFS的工作方式有關的其它問題。
