NTFS交换数据流(即Alternate Data Stream)是NTFS磁盘格式的一个特性,在NTFS文件系统中,每个文件都可以包含多个数据流,即除了主文件之外,还可以有多个非主文件流寄宿在主文件流中,其使用资源派生来维持与文件相关的信息。Windows中很多工具(例如资源管理器等)对数据流文件支持的不好恰恰很容易被病毒木马等恶意程序利用,使其非法使用NTFS数据流将自身隐藏起来,来逃避用户对其的清查。例如对于有些Root Kit木马来说,就是利用NTFS数据流来强化其隐藏功能的。