Dalam artikel sebelumnya, kami menyebutkan bahwa ketika Anda mencoba untuk membuka file yang dapat dieksekusi yang diunduh dari Internet, Windows mengeluarkan peringatan keamanan tentang upaya untuk meluncurkan konten yang berpotensi berbahaya (untuk detail, lihat Cara mematikan peringatan keamanan di Windows). Bagaimana sistem menentukan bahwa file diunduh dari Internet? Mari kita coba mencari tahu.
Semua file yang dapat dieksekusi yang diunduh dari Internet menggunakan browser menerima tanda khusus. Aturan ini didukung tidak hanya oleh Internet Explorer, tetapi oleh sebagian besar browser populer, seperti Mozilla Firefox dan Google Chrome. Saat menyalin, mengganti nama, atau memindahkan file ke partisi lain dengan sistem file NTFS, peringatan itu tetap ada.
Tanda ini mewakili aliran alternatif NTFS, file yang dimiliki.
Catatan. Esensi stream data alternatif NTFS (ADS - Aliran Data Alternatif). - kemampuan untuk setiap file NTFS untuk membuat beberapa aliran data tambahan (metadata). Secara default, semua data file disimpan dalam aliran utama, tetapi dimungkinkan untuk membuat satu atau lebih data berkeringat tambahan untuk file tersebut, dan ukurannya bahkan dapat melebihi ukuran file utama. Sebagian besar aplikasi (termasuk Explorer) hanya berfungsi dengan aliran standar dan tidak dapat membaca data dari aliran NTFS alternatif.Untuk memastikan bahwa file yang diunduh dari Internet diberi label khusus (aliran NTFS alternatif), di jendela prompt perintah, daftarkan file dalam direktori distribusi dengan perintah:
dir / r
Seperti yang bisa kita lihat, utas alternatif ditugaskan untuk file yang dapat dieksekusi di direktori ini Zone.Identifier, misalnya: install_flash_player_16_active_x.exe: Zone.Identifier
Buka konten stream alternatif di notepad:
Notepad.exe instal_flash_player_16_active_x.exe: Zone.Identifier
Kami melihat bahwa aliran ini adalah file dengan [Transfer Zona], yang menunjukkan pengidentifikasi zona transmisi Zoneid (zona keamanan yang sama yang ada dalam pengaturan IE). ID zona transmisi dapat berisi satu dari 5 nilai dari 0 hingga 4.
- ZoneId = 0: Mesin lokal
- ZoneId = 1: Intranet lokal
- ZoneId = 2: Situs tepercaya
- ZoneId = 3: Internet
- ZoneId = 4: Situs terbatas
Saat mengunduh file dari zona keamanan tertentu, browser menempatkan label untuk zona itu. Ketika memulai file dengan atribut ZoneId sama dengan 3 atau 4 dalam aliran NTFS alternatif, sistem mengakui bahwa file tersebut diterima dari Internet atau sumber yang tidak dipercaya berdasarkan label zona. Windows memeriksa tag ini pada file yang dapat dieksekusi yang dimulai dengan Windows XP SP2.
Untuk secara manual menghapus label yang diberikan (aliran alternatif) dari file, cukup klik tombol Buka kunci dalam properti file.
Pastikan aliran alternatif untuk file ini sekarang hilang:
Secara umum, Windows tidak memiliki sarana waras untuk bekerja dengan aliran data alternatif. Dan, jika, misalnya, ada tugas untuk menghapus fitur ini segera dari banyak file, yang terbaik adalah menggunakan utilitas konsol pihak ketiga Mark Rusinovich - stream.
Misalnya, untuk menghapus aliran alternatif dari semua file exe secara rekursif di direktori c: \ Download \, jalankan perintah:
c: \ TOOLS \ streams.exe -s -d c: \ Unduh \ *. exe
Konsol menunjukkan bahwa aliran alternatif file telah dihapus: Dihapus: Zone.Identifier: $ DATA
Itu penting. Utilitas stream menghapus semua stream alternatif dari file yang diberikan dan tidak mengizinkan penargetan aliran tertentu. Oleh karena itu, jangan jalankan perintah stream dalam format streams.exe -s -d c: \ * .exe, karena ini dapat menyebabkan kerusakan sistem karena penghapusan informasi penting dari aliran NTFS alternatif dalam file sistem.
Jika Anda memiliki PowerShell 3.0, Anda bisa daftar file di direktori (secara rekursif) dengan aliran Zone.Identifier menggunakan perintah berikut:
Dapatkan-ChildItem -Recurse | Dapatkan-Item -Stream Zone.Identifier -ErrorAction SilentlyContinue | Pilih-Nama File Objek
Atribut itu sendiri dihapus sebagai berikut:
Hapus-Item. \ Installfile.exe -Stream Zone.Identifier
Di Windows PowerShell 4.0, Anda dapat menghapus centang label Zone.Identifier menggunakan cmdlet terpisah:
Buka blokir-File installfile.exe
Anda dapat mengatur label ini untuk file arbitrer secara manual. Untuk melakukan ini, jalankan perintah
notepad.exe install_flash_player_16_active_x.exe: Zone.Identifier
Karena tidak ada aliran, sistem akan menawarkan untuk membuat file baru. Kami setuju dan menyalin teks ke jendela notepad:
[ZoneTransfer]
ZoneId = 3
Simpan perubahan. Pastikan file tersebut diberi aliran alternatif.
