Egy előző cikkben megemlítettük, hogy amikor az Internetről letöltött végrehajtható fájlt próbál megnyitni, a Windows biztonsági figyelmeztetést küld a potenciálisan veszélyes tartalom elindításának kísérletéről (a részletekért lásd: Hogyan kell kikapcsolni a biztonsági figyelmeztetést a Windowsban). Hogyan határozza meg a rendszer, hogy a fájlt letöltötték az internetről? Próbáljuk kitalálni.
Az internetről egy böngészővel letöltött futtatható fájlok külön jelölést kapnak. Ezt a szabályt nem csak az Internet Explorer támogatja, hanem a legnépszerűbb böngészők, például a Mozilla Firefox és a Google Chrome. A fájl másolása, átnevezése vagy áthelyezésekor egy másik partícióra az NTFS fájlrendszerrel a figyelmeztetés továbbra is fennáll.
Ez a jel képviseli alternatív NTFS adatfolyam, fájl tulajdonosa.
megjegyzés. szív alternatív NTFS adatfolyamok (ADS - Alternatív adatfolyamok). - az egyes NTFS fájlok képessége több további adatfolyam (metaadat) létrehozására. Alapértelmezés szerint az összes fájl adat a főfolyamban tárolódik, de a fájlhoz egy vagy több kiegészítő adatvesztés is létrehozható, és ezek mérete meghaladhatja a fő fájl méretét. Az alkalmazások túlnyomó többsége (beleértve az Explorer alkalmazást is) csak egy szabványos adatfolyammal működik, és nem tudja olvasni az adatokat az alternatív NTFS adatfolyamokból.Annak biztosítása érdekében, hogy az internetről letöltött fájlhoz speciális címkét rendeljenek (alternatív NTFS adatfolyam), a parancssor ablakban sorolja fel a terjesztési könyvtár fájljait a következő paranccsal:
dir / r
Mint láthatjuk, ebben a könyvtárban a futtatható fájlokhoz alternatív szál kerül hozzárendelésre Zone.Identifier, például: install_flash_player_16_active_x.exe: Zone.Identifier
Nyissa meg az alternatív adatfolyam tartalmát a jegyzettömbön:
Notepad.exe install_flash_player_16_active_x.exe: Zone.Identifier
Látjuk, hogy ez a patak egy fájl a [ZoneTransfer], amely jelzi az átviteli zóna azonosítóját ZoneId (ugyanazok a biztonsági zónák, amelyek az IE beállításokban vannak). Az átviteli zóna azonosítója tartalmazhat az 5 érték egyikét 0-tól 4-ig.
- ZoneId = 0: Helyi gép
- ZoneId = 1: Helyi intranet
- ZoneId = 2: Megbízható webhelyek
- ZoneId = 3: Internet
- ZoneId = 4: Korlátozott helyek
Amikor fájlt tölt le egy adott biztonsági zónáról, a böngésző címkét helyez rá az adott zónára. Amikor a fájlokat egy 3 vagy 4 értékű ZoneId attribútummal indítja egy alternatív NTFS adatfolyamban, a rendszer felismeri, hogy a fájlt az internetről vagy egy megbízhatatlan forrásból fogadta a zóna címkéje alapján. A Windows ellenőrzi ezt a címkét a Windows XP SP2-vel kezdődő végrehajtható fájlokon.
Egy adott címke (alternatív adatfolyam) fájlból történő manuális törléséhez csak kattintson a gombra kioldó a fájltulajdonságokban.
Győződjön meg arról, hogy hiányzik a fájl alternatív patakja:
Általánosságban elmondható, hogy a Windowsnak nincs ésszerű eszköze az alternatív adatfolyamokkal való együttműködéshez. És ha például van egy feladat, hogy ezt a szolgáltatást azonnal eltávolítsa sok fájlból, akkor a legjobb, ha Mark Rusinovich harmadik fél konzol segédprogramját használja. - patakok.
Például az alternatív folyamok rekurzív eltávolításához az összes exe fájlból a c: \ Download \ könyvtárban futtassa a következő parancsot:
c: \ TOOLS \ streams.exe -s -d c: \ Letöltés \ *. exe
A konzol azt mutatja, hogy a fájl alternatív adatfolyamát törölték: Törölve: Zone.Identifier: $ DATA
Fontos. A patak-segédprogram törli az összes alternatív streamet az adott fájlokból, és nem engedi megcélozni egy adott patakot. Ezért ne futtassa a patak parancsot a streams.exe -s -d c: \ * formátumban. Exe, mert ez rendszerhibákhoz vezethet, mivel a fontos információkat eltávolítják a rendszerfájlokban található alternatív NTFS-folyamokból.
Ha van PowerShell 3.0, akkor a könyvtárban található fájlokat (rekurzív módon) felsorolhatja a Zone.Identifier patak segítségével a következő paranccsal:
Get-ChildItem -Fizetés | Get-Item -Stream Zone.Identifier -ErrorAction SilentlyContinue | Select Object FileName
Maga az attribútum az alábbiak szerint kerül eltávolításra:
Eltávolító elem. \ Installfile.exe -Stream Zone.Identifier
A Windows PowerShell 4.0 rendszerben eltávolíthatja a Zone.Identifier címke jelölését egy külön parancsmag segítségével:
Unblock-File installfile.exe feloldása
Ezt a címkét tetszőleges fájlhoz manuálisan állíthatja be, ehhez hajtsa végre a parancsot
notepad.exe install_flash_player_16_active_x.exe: Zone.Identifier
mert nincs áramlás, a rendszer felajánlja egy új fájl létrehozását. Egyetértünk és másoljuk a szöveget a jegyzettömb ablakába:
[ZoneTransfer]
ZoneId = 3
Mentés a változásokra. Győződjön meg arról, hogy a fájlhoz hozzá van rendelve egy másik adatfolyam.
