代替データストリームの取得はNtQueryInformationFile一択

C#でNTFSの代替データストリーム(Alternate Data Stream)を読み書きしたくなったので調べたことをメモ。正確な部分は把握しきれてないが、非公開関数であるNtQueryInformationFileで列挙するのが確実のようだ。

代替データストリームの取得（列挙）には以下の3つの方法がある。

1. BackupRead関数を使う
2. FindFirstStreamW関数, FindNextStreamW関数を使う (Windows Vista以降)
3. NtQueryInformationFile関数を使う (非公開関数)

正攻法は1, 2で、調べた限りADSの読み書きを行う既存のC#ライブラリは、1のBackupRead/BackupWriteを使っている。

ところがどう言う訳か、BackupReadでは列挙されないストリームが存在しうる。dir /rやNirSoft AlternateStreamViewでは表示されるにも関わらずだ。NTFSによるアクセス権限の問題らしいが、詳しいことは分からない。

NtQueryInformationFileはアクセス権限を無視して情報を取得できるらしく、前述のdirやAlternateStreamViewはこのAPIを使っているのだろう。多分。

2の方法は試してないが、アクセス権を無視するオプションはないらしいので望み薄と思われる。

こちらの記事のC#でNtQueryInformationFileを使ったサンプルで、無事目的のADSが取得できることを確認。というわけで、非公開関数ではあるもののNtQueryInformationFileを使うのが確実っぽい。

• NTFS代替データストリーム（ADS）一覧取得 | Memo+
• NTFS代替ストリーム | Netsphere Laboratories
• NTFS Alternate Streams: What, When, and How To
• Windows の謎を調べた - Neo's World
  • 登 大遊 - Windows のファイルのコピーは、驚くほど奥が深い。 | Facebook
• .NET Matters: Iterating NTFS Streams | Microsoft Docs
• Enumerating Alternate Data Streams - CodeProject
• A Win32-Based Technique for Finding and Hashing NTFS Alternate Data Streams