V predchádzajúcom článku sme spomenuli, že keď sa pokúsite otvoriť spustiteľný súbor stiahnutý z internetu, systém Windows vydá bezpečnostné upozornenie o pokuse o spustenie potenciálne nebezpečného obsahu (podrobnosti nájdete v časti Ako vypnúť bezpečnostné upozornenie v systéme Windows). Ako systém zistí, že súbor bol stiahnutý z internetu? Skúsme to zistiť.
Všetky spustiteľné súbory stiahnuté z internetu pomocou prehliadača dostanú špeciálnu značku. Toto pravidlo podporuje nielen prehliadač Internet Explorer, ale aj najpopulárnejšie prehliadače, ako napríklad Mozilla Firefox a Google Chrome. Pri kopírovaní, premenovaní alebo presune súboru do iného oddielu pomocou systému súborov NTFS zostane varovanie stále.
Táto známka predstavuje alternatívny tok NTFS, súbor vlastní.
poznámka. srdcové alternatívne toky údajov NTFS (ADS - alternatívne dátové toky). - schopnosť každého súboru NTFS vytvárať niekoľko ďalších tokov údajov (metaúdaje). V predvolenom nastavení sú všetky údaje súboru uložené v hlavnom prúde, je však možné pre súbor vytvoriť jeden alebo viac ďalších potov údajov a ich veľkosť môže dokonca prekročiť veľkosť hlavného súboru. Prevažná väčšina aplikácií (vrátane Prieskumníka) pracuje iba so štandardným tokom a nedokáže prečítať údaje z alternatívnych tokov NTFS.Aby ste sa ubezpečili, že súboru stiahnutému z Internetu je priradené špeciálne označenie (alternatívny tok NTFS), v okne príkazového riadka zadajte súbory v distribučnom adresári pomocou príkazu:
smer / r
Ako vidíme, k spustiteľným súborom v tomto adresári je priradené alternatívne vlákno Zone.Identifier, napríklad: install_flash_player_16_active_x.exe: Zone.Identifier
Otvorte obsah alternatívneho toku v programe Poznámkový blok:
Notepad.exe install_flash_player_16_active_x.exe: Zone.Identifier
Vidíme, že tento stream je súbor s [ZoneTransfer], ktorá označuje identifikátor prenosovej zóny ZoneId (rovnaké bezpečnostné zóny ako v nastaveniach IE). ID prenosovej zóny môže obsahovať jednu z 5 hodnôt od 0 do 4.
- ZoneId = 0: Lokálny počítač
- ZoneId = 1: Lokálny intranet
- ZoneId = 2: Dôveryhodné stránky
- ZoneId = 3: Internet
- ZoneId = 4: Obmedzené stránky
Pri sťahovaní súboru z konkrétnej zóny zabezpečenia prehliadač umiestni štítok pre túto zónu. Pri spúšťaní súborov s atribútom ZoneId rovným 3 alebo 4 v alternatívnom toku NTFS systém uznáva, že súbor bol prijatý z Internetu alebo z nedôveryhodného zdroja na základe označenia zóny. Systém Windows skontroluje túto značku v spustiteľných súboroch začínajúcich Windows XP SP2.
Ak chcete manuálne odstrániť daný štítok (alternatívny prúd) zo súboru, stačí kliknúť na tlačidlo uvoľnenie vo vlastnostiach súboru.
Uistite sa, že alternatívny tok pre tento súbor teraz chýba:
Windows vo všeobecnosti postrádajú rozumné prostriedky na prácu s alternatívnymi dátovými tokmi. Ak napríklad existuje úloha na okamžité odstránenie tejto funkcie z mnohých súborov, je najlepšie použiť nástroj konzoly tretej strany Mark Rusinovich - prúdy.
Napríklad, ak chcete rekurzívne odstrániť alternatívne toky zo všetkých súborov exe v adresári c: \ Download \, spustite príkaz:
c: \ TOOLS \ streams.exe -s -d c: \ Download \ *. exe
Konzola ukazuje, že alternatívny tok súboru bol odstránený: Vymazané: Zone.Identifier: $ DATA
Je dôležité. Obslužný program streamov odstráni všetky alternatívne toky z daných súborov a neumožňuje zacielenie na konkrétny tok. Preto nespúšťajte príkaz streams vo formáte streams.exe -s -d c: \ *. Exe, pretože to môže viesť k funkčnej nefunkčnosti systému v dôsledku odstránenia dôležitých informácií z alternatívnych tokov NTFS v systémových súboroch.
Ak máte PowerShell 3.0, môžete zoznam súborov v adresári (rekurzívne) v prúde Zone.Identifier pomocou nasledujúceho príkazu:
Get-ChildItem -Recurse | Get-Item -Stream Zone.Identifier -ErrorAction SilentlyContinue | Select-Object FileName
Samotný atribút sa odstráni nasledovne:
Remove-Item. \ Installfile.exe -Stream Zone.Identifier
Vo Windows PowerShell 4.0 môžete zrušiť označenie Zone.Identifier pomocou samostatnej rutiny cmdlet:
Unblock-File installfile.exe
Túto menovku môžete nastaviť pre ľubovoľný súbor ručne. Vykonajte príkaz
notepad.exe install_flash_player_16_active_x.exe: Zone.Identifier
pretože neexistuje žiadny tok, systém ponúkne vytvorenie nového súboru. Dohodneme sa a skopírujeme text do okna poznámkového bloku:
[ZoneTransfer]
ZoneId = 3
Uložte zmeny. Uistite sa, že k súboru je priradený alternatívny tok.
