ADS是什麼#

ADS 是 NTFS 檔案系統的一個特性，允許單個檔案包含多個「資料流」。每個檔案至少有一個主資料流，但可以附加多個替代資料流。filename:streamname

可以用 dir /r來查看，通常是用來儲存檔案摘要資訊

主要成因#

在rar的ads的檔名中包含..\\，解壓縮的時候會將其解析為相對路徑，藉此可以把檔案放在非預期的路徑，像是\Start Menu\Programs\Startup，以此方式來植入後門

一般來說檔名是不能包含.\等字元的，但這邊利用的是先綁定正常的檔名的資料流，接著直接修改rar內的bytes，把這些正常的檔名改成具有..\\的相對路徑，這樣當解壓縮時，就會讀取到這些路徑，並在指定的位置植入檔案

要注意rar為了檢查內容是被更動過，會使用CRC驗證，因此修改檔名時也要重新計算CRC並更新