ในบทความก่อนหน้านี้ เราได้กล่าวถึงว่าเมื่อพยายามเปิดไฟล์ปฏิบัติการที่ดาวน์โหลดจากอินเทอร์เน็ต Windows จะแสดงคำเตือนด้านความปลอดภัยในการเรียกใช้เนื้อหาที่อาจเป็นอันตราย (สำหรับรายละเอียด โปรดดู วิธีปิดใช้งานคำเตือนด้านความปลอดภัยใน Windows) ระบบจะระบุได้อย่างไรว่าไฟล์นั้นถูกดาวน์โหลดจากอินเทอร์เน็ต? มาลองค้นหากันดู
ไฟล์ปฏิบัติการทั้งหมดที่ดาวน์โหลดจากอินเทอร์เน็ตในเบราว์เซอร์จะได้รับเครื่องหมายพิเศษ กฎนี้ไม่เพียงได้รับการสนับสนุนโดย Internet Explorer เท่านั้น แต่ยังสนับสนุนโดยเบราว์เซอร์ยอดนิยมอื่นๆ เช่น Mozilla Firefox และ Google Chrome เมื่อคัดลอก เปลี่ยนชื่อ หรือย้ายไฟล์ไปยังพาร์ติชั่น NTFS อื่น ตัวทำเครื่องหมายจะยังคงอยู่
เครื่องหมายนี้เป็น สตรีมไฟล์ NTFS ทางเลือก .
หมายเหตุ . สตรีมข้อมูล NTFS ทางเลือก อนุญาตให้สร้างสตรีมข้อมูลเพิ่มเติม (ข้อมูลเมตา) หลายรายการสำหรับไฟล์ NTFS แต่ละไฟล์ ตามค่าเริ่มต้น ข้อมูลไฟล์ทั้งหมดจะถูกเก็บไว้ในสตรีมหลัก แต่สามารถสร้างสตรีมเพิ่มเติมได้ตั้งแต่หนึ่งไฟล์ขึ้นไป และขนาดของไฟล์อาจเกินขนาดของสตรีมไฟล์หลักด้วยซ้ำ แอปพลิเคชันส่วนใหญ่ (รวมถึง Windows Explorer) ใช้งานได้กับสตรีมมาตรฐานเท่านั้น และไม่สามารถอ่านข้อมูลจากสตรีมข้อมูล NTFS สำรองได้
เพื่อให้แน่ใจว่ามีการกำหนดเครื่องหมายพิเศษให้กับไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ต ให้แสดงรายการไฟล์สำหรับไดเร็กทอรีที่มีการแจกแจงโดยใช้คำสั่งต่อไปนี้:
dir /r
อย่างที่เราเห็นกระแสทางเลือก Zone.Identifier ถูกกำหนดให้กับไฟล์สั่งการ เช่น install_flash_player_16_active_x.exe:Zone.Identifier .
เปิดสตรีมสำรองใน Notepad:
Notepad.exe install_flash_player_16_active_x.exe:Zone.Identifier
เราจะเห็นว่าสตรีมนี้เป็นไฟล์ที่มีส่วน [ZoneTransfer ] ซึ่ง ID โซนการโอน (ZoneId) ระบุไว้ (นี่คือโซนความปลอดภัยที่สามารถพบได้ในการตั้งค่า IE) ID โซนการถ่ายโอนสามารถมีค่าหนึ่งในห้าค่าตั้งแต่ 0 ถึง 4
- ZoneId=0:เครื่องในเครื่อง
- ZoneId=1:อินทราเน็ตภายในเครื่อง
- ZoneId=2:ไซต์ที่เชื่อถือได้
- ZoneId=3:อินเทอร์เน็ต
- ZoneId=4:ไซต์ที่ถูกจำกัด
เมื่อคุณดาวน์โหลดไฟล์จากโซนความปลอดภัย เบราว์เซอร์จะกำหนด ZoneId ที่สอดคล้องกันให้กับโซนนั้น เมื่อพยายามเรียกใช้ไฟล์ที่มี ZoneId เท่ากับ 3 หรือ 4 ในสตรีม NTFS สำรอง โดยอิงตาม ID นี้ ระบบจะตรวจพบว่าไฟล์ถูกดาวน์โหลดไฟล์จากอินเทอร์เน็ตหรือแหล่งที่ไม่น่าเชื่อถือ Windows ได้ตรวจสอบเครื่องหมายของไฟล์เรียกทำงานนี้ตั้งแต่ Windows XP SP2
หากต้องการลบเครื่องหมายนี้ (สตรีมสำรอง) ด้วยตนเอง คุณควรคลิก เลิกบล็อก ในคุณสมบัติของไฟล์
ตรวจสอบให้แน่ใจว่าไฟล์นี้ไม่มีสตรีมสำรองในขณะนี้
ที่จริงแล้ว Windows ไม่มีเครื่องมือใด ๆ ในการจัดการกับสตรีมข้อมูลสำรอง ตัวอย่างเช่น หากคุณต้องลบออกจากหลายไฟล์พร้อมกัน คุณควรใช้เครื่องมือคอนโซลของบุคคลที่สามโดย Mark Rusinovich — สตรีม .
ตัวอย่างเช่น หากต้องการลบสตรีมสำรองของไฟล์เรียกทำงานทั้งหมดใน c:\Download\ ซ้ำๆ ให้เรียกใช้คำสั่งนี้:
c:\TOOLS\streams.exe -s -d c:\Download\*.exe
ในพรอมต์คำสั่ง คุณจะเห็นว่าสตรีมสำรองของไฟล์ถูกลบไปแล้ว:Deleted :Zone.Identifier:$DATA
สำคัญ . สตรีม ลบสตรีมสำรองทั้งหมดของไฟล์ที่ระบุและไม่อนุญาตให้กำหนดเป้าหมายสตรีมบางรายการ ดังนั้น อย่าเรียกใช้ สตรีม คำสั่ง streams.exe -s -d c:\*.exe เนื่องจากอาจส่งผลให้ระบบล้มเหลวหลังจากลบข้อมูลสำคัญที่มีอยู่ในสตรีม NTFS ทางเลือกแล้ว
ใน PowerShell 3.0 คุณสามารถแสดงรายการไฟล์ที่มีสตรีม Zone.Identifier ในไดเร็กทอรี โดยใช้คำสั่งนี้:
Get-ChildItem -Recurse | Get-Item -Stream Zone.Identifier -ErrorAction SilentlyContinue | Select-Object FileName
แอตทริบิวต์จะถูกลบออกดังนี้:
Remove-Item .\install-file.exe -Stream Zone.Identifier
ใน Windows PowerShell 4.0 คุณสามารถลบ Zone.Identifier โดยใช้ cmdlet แยกต่างหาก:
Unblock-File install-file.exe
คุณสามารถกำหนดเครื่องหมายให้กับไฟล์ใดๆ ก็ตามที่รันคำสั่งนี้ด้วยตนเอง:
notepad.exe install_flash_player_16_active_x.exe:Zone.Identifier
เนื่องจากไม่มีสตรีม ระบบจะแจ้งให้สร้างไฟล์ใหม่ ยอมรับและคัดลอกข้อความต่อไปนี้ไปยังหน้าต่าง Notepad:
[ZoneTransfer]
ZoneId=3
บันทึกการเปลี่ยนแปลง ตรวจสอบให้แน่ใจว่าได้กำหนดสตรีมสำรองให้กับไฟล์แล้ว
