Kako Windows ugotovi, da je bila datoteka prenesena iz interneta

V prejšnjem članku smo omenili, da pri poskusu odpiranja izvršljive datoteke, naložene z interneta, Windows opozori varnostno opozorilo o poskusu lansiranja potencialno nevarne vsebine (podrobnosti glejte Kako izklopiti varnostno opozorilo v sistemu Windows). Kako sistem ugotovi, da je bila datoteka prenesena iz interneta? Poskusimo to ugotoviti.

Namig. V sistemu Windows 8 lahko SmartScreen blokira tudi datoteke, naložene z interneta..

Vse izvršljive datoteke, prenesene iz interneta s pomočjo brskalnika, dobijo posebno oznako. To pravilo ne podpira samo Internet Explorer, temveč tudi večina priljubljenih brskalnikov, kot sta Mozilla Firefox in Google Chrome. Pri kopiranju, preimenovanju ali premikanju datoteke na drugo particijo z datotečnim sistemom NTFS še vedno ostane opozorilo.

Ta znamka predstavlja alternativni NTFS tok, datoteka v lasti.

Opomba. Bistvo alternativni tokovi podatkov NTFS (ADS - nadomestni podatkovni tokovi). - zmožnost vsake datoteke NTFS ustvariti več dodatnih podatkovnih tokov (metapodatkov). Vsi podatki so privzeto shranjeni v glavnem toku, vendar je mogoče ustvariti enega ali več dodatnih podatkovnih datotek, njihova velikost pa lahko celo presega velikost glavne datoteke. Velika večina aplikacij (vključno z Explorerjem) deluje samo s standardnim tokom in ne more brati podatkov iz alternativnih NTFS tokov.

Če želite biti prepričani, da je datoteki, preneseni iz interneta, dodeljena posebna nalepka (alternativni tok NTFS), v oknu ukaznega seznama datoteke v distribucijskem imeniku z ukazom:

dir / r

Kot lahko vidimo, je v tem imeniku izvršnim datotekam dodeljena alternativna nit Cona.Identifikator, na primer: install_flash_player_16_active_x.exe: Zone.Identifier

Odprite vsebino alternativnega toka v beležnici:

Notepad.exe install_flash_player_16_active_x.exe: Zone.Identifier

Vidimo, da je ta tok datoteka z datoteko [ZoneTransfer], ki označuje identifikator prenosnega območja Zoneid (enaka varnostna območja, ki so prisotna v nastavitvah IE). ID območja prenosa lahko vsebuje eno od 5 vrednosti od 0 do 4.

  • ZoneId = 0: Lokalni stroj
  • ZoneId = 1: lokalni intranet
  • ZoneId = 2: Zanesljiva spletna mesta
  • ZoneId = 3: Internet
  • ZoneId = 4: spletna mesta z omejitvami

Pri prenosu datoteke iz določenega varnostnega območja brskalnik postavi oznako za to območje. Ko zaženete datoteke z atributom ZoneId, ki je enak 3 ali 4, v alternativnem toku NTFS sistem prepozna, da je bila datoteka prejeta iz interneta ali nezaupljivega vira na podlagi oznake cone. Windows preveri to oznako v izvršljivih datotekah, začenši z Windows XP SP2.

Če želite ročno izbrisati dano nalepko (nadomestni tok) iz datoteke, samo kliknite gumb Odkleni v lastnostih datotek.

Prepričajte se, da nadomestni tok za to datoteko zdaj manjka:

Namig. Če želite preprečiti, da bi sistem označil prenesene datoteke, lahko datoteke shranite iz interneta v datotečni sistem, ki ni NTFS. Na primer FAT, exFat itd..

Na splošno Windows nima dovolj zdravih sredstev za delo z alternativnimi pretoki podatkov. In če na primer obstaja naloga, da to funkcijo takoj odstranite iz številnih datotek, je najbolje uporabiti pripomoček za konzolo drugega proizvajalca Marka Rusinoviča - potokov.

Na primer, da rekurzivno odstranite alternativne tokove iz vseh datotek exe v imeniku c: \ Download \, zaženite ukaz:

c: \ TOOLS \ streams.exe -s -d c: \ Download \ *. exe

Na konzoli je razvidno, da je bil alternativni tok datoteke izbrisan: Izbrisano: cona.Identifikator: $ DATA

Je pomembno. Pomožni tok izbriše vse alternativne tokove iz danih datotek in ne dovoli ciljanja na določen tok. Zato ukaza streams ne zaženite v obliki streams.exe -s -d c: \ *. Exe, ker to lahko privede do okvare sistema zaradi odstranitve pomembnih informacij iz alternativnih tokov NTFS v sistemskih datotekah.


Če imate PowerShell 3.0, lahko datoteke s seznama Zone.Identifier s pomočjo naslednjega ukaza naštejete v imeniku (rekurzivno).

Get-ChildItem -ponovite | Get-Item -Stream Zone.Identifier -ErrorAction SilentlyContinue | Izberite-Object Ime datoteke

Atribut se odstrani na naslednji način:

Remove-Item. \ Installfile.exe -Stream Zone.Identifier

V operacijskem sistemu Windows PowerShell 4.0 lahko s pomočjo ločenega ukaznega polja odznačite oznako Zone.Identifier:

Odkleni datoteko installfile.exe

To oznako za poljubno datoteko lahko nastavite ročno, če želite to narediti, izvedite ukaz

notepad.exe install_flash_player_16_active_x.exe: Zone.Identifier

Ker pretok ni, sistem bo ponudil ustvarjanje nove datoteke. Strinjamo se in kopiramo besedilo v okno beležnice:

[ZoneTransfer]
ConaId = 3

Spremembe shranite. Prepričajte se, da je datoteki dodeljen nadomestni tok.