U prethodnom smo članku spomenuli da prilikom pokušaja otvaranja izvršne datoteke preuzete s Interneta Windows daje sigurnosno upozorenje o pokušaju pokretanja potencijalno opasnog sadržaja (za detalje pogledajte Kako isključiti sigurnosno upozorenje u sustavu Windows). Kako sustav određuje da je datoteka preuzeta s Interneta? Pokušajmo to shvatiti.
Sve izvršne datoteke preuzete s Interneta pomoću preglednika dobivaju posebnu oznaku. Ovo pravilo ne podržava samo Internet Explorer, već i većina popularnih preglednika, kao što su Mozilla Firefox i Google Chrome. Pri kopiranju, preimenovanju ili premještanju datoteke na drugu particiju s datotečnim sustavom NTFS, upozorenje i dalje ostaje.
Ova oznaka predstavlja alternativni NTFS tok, datoteka u vlasništvu.
primjedba. srce alternativni protoci podataka NTFS (ADS - alternativni tokovi podataka). - sposobnost svake NTFS datoteke za stvaranje nekoliko dodatnih tokova podataka (metapodataka). Prema zadanim postavkama, svi podaci datoteka pohranjuju se u glavnom toku, ali moguće je stvoriti jedan ili više dodatnih podataka za datoteku, a njihova veličina može čak premašiti veličinu glavne datoteke. Velika većina aplikacija (uključujući Explorer) radi samo sa standardnim tokom i ne može čitati podatke iz alternativnih NTFS tokova.Kako biste bili sigurni da je datoteci koja je preuzeta s Interneta dodijeljena posebna oznaka (alternativni NTFS stream), u prozoru naredbenog retka navedite datoteke u direktoriju distribucije sa naredbom:
dir / r
Kao što vidimo, izvršnim datotekama u ovom direktoriju dodijeljena je alternativna nit Zone.Identifier, na primjer: install_flash_player_16_active_x.exe: Zone.Identifier
Otvorite sadržaj alternativnog toka u bilježnici:
Notepad.exe install_flash_player_16_active_x.exe: Zone.Identifier
Vidimo da je ovaj stream datoteka sa [ZoneTransfer], što označava identifikator zone prijenosa ZoneId (iste sigurnosne zone prisutne u postavkama IE-a). ID zone prijenosa može sadržavati jednu od 5 vrijednosti od 0 do 4.
- ZoneId = 0: Lokalni stroj
- ZoneId = 1: Lokalni intranet
- ZoneId = 2: Pouzdana web mjesta
- ZoneId = 3: Internet
- ZoneId = 4: web-lokacije s ograničenjem
Kada preuzimate datoteku iz određene sigurnosne zone, preglednik stavlja oznaku za tu zonu. Kada pokreće datoteke s atributom ZoneId jednakim 3 ili 4 u alternativnom NTFS streamu, sustav prepoznaje da je datoteka primljena s Interneta ili iz nepouzdanog izvora na temelju oznake zone. Windows provjerava ovu oznaku na izvršnim datotekama koje započinju sa sustavom Windows XP SP2.
Da biste ručno izbrisali datu naljepnicu (alternativni tok) iz datoteke, samo kliknite gumb puštanje u svojstvima datoteke.
Provjerite da sada nema alternativnog toka za ovu datoteku:
Općenito govoreći, Windows nema dovoljno zdravih sredstava za rad s alternativnim protocima podataka. Ako, na primjer, postoji zadatak da ovu značajku odmah uklonite iz mnogih datoteka, najbolje je upotrijebiti uslužni program za konzolu treće strane Marka Rusinoviča. - potoci.
Na primjer, da biste rekurzivno uklonili alternativne tokove iz svih exe datoteka u direktoriju c: \ Download \, pokrenite naredbu:
c: \ ALATI \ streams.exe -s -d c: \ Preuzmi \ *. exe
Konzola pokazuje da je izbrisan alternativni tok datoteke: Izbrisano: Zone.Identifikator: $ DATA
Važno je. Uslužni program potoka briše sve alternativne tokove iz danih datoteka i ne dopušta ciljanje određenog toka. Stoga, nemojte pokrenuti naredbu streams u formatu streams.exe -s -d c: \ *. Exe, jer ovo može dovesti do kvara sustava zbog uklanjanja važnih informacija iz alternativnih NTFS tokova u sistemskim datotekama.
Ako imate PowerShell 3.0, možete navesti datoteke u direktoriju (rekurzivno) s streamom Zone.Identifier pomoću sljedeće naredbe:
Get-ChildItem -Recurse | Get-Item -Stream Zone.Identifier -ErrorAction SilentlyContinue | Odaberite-Objekt Ime datoteke
Sam atribut uklanja se na sljedeći način:
Remove-Item. \ Installfile.exe -Stream Zone.Identifier
U sustavu Windows PowerShell 4.0 možete poništiti oznaku Zone.Identifier naljepnice pomoću zasebnog cmdleta:
Deblokirajte datoteku installfile.exe
Možete postaviti ručno ovu oznaku za proizvoljnu datoteku. Da biste to učinili, izvršite naredbu
notepad.exe install_flash_player_16_active_x.exe: Zone.Identifier
jer nema protoka, sustav će ponuditi stvaranje nove datoteke. Slažemo se i kopiramo tekst u prozor bilježnice:
[ZoneTransfer]
ZoneId = 3
Spremite promjene. Provjerite je li datoteci dodijeljen zamjenski tok.
