Дело о таинственных файлах на рабочем столе

Размещено 20/02/2009

Несколько недель назад моя жена сказала мне, что иногда в папке Desktop ее компьютера появлялись файлы, которые не отображались на самом рабочем столе. Она заговорила об этом не только потому, что была удивлена несоответствием, но так как она хотела переместить некоторые из этих таинственных файлов в другие папки. Откровенно говоря, я не понял, о чем она говорит, хотя для меня это совершенно неудивительно, поэтому я сказал ей, чтобы когда она в следующий раз увидит эти таинственные файлы, она позвала меня.

Несколько дней спустя я вернулся домой с работы и моя жена встретила меня у дверей, объяснив, что проблема снова повторилась, и она оставила окно открытым, чтобы показать мне эти таинственные файлы. Я с предвкушением подошел к компьютеру и изучил ситуацию. На компьютере было открыто окно IE, развернутое на весь экран, с большим количеством открытых вкладок с открытыми письмами. На переднем плане было открыто диалоговое окно IE «Открыть файл», в котором отображался список файлов в папке Desktop, возникающее при щелчке по кнопке «Приложить файл». Диалоговое окно выглядело следующим образом:

Я свернул окно IE, чтобы увидеть сам рабочий стол, который находился на фоне, и убедился, что несколько файлов, которые присутствовали в диалоговом окне, в частности, папка Maui Feb. 08 и JPG-файлы CIMG13xx, отсутствовали. Я открыл окно Windows Explorer, чтобы зайти в папку Desktop, чтобы посмотреть, будут ли видны эти файлы в проводнике, но там также ничего не было:

Раньше я никогда с таким не сталкивался. Я знал, что это работа для Process Monitor. Так как на компьютере моей жены инструментов Sysinternals не установлено (грустно, но правда), я запустил их прямо из сети, используя адрес Sysinternals Live — live.sysinternals.com\tools\procmon.exe. С помощью функции Process Monitor по записи активности я закрыл и снова открыл диалоговое окно выбора файлов в редакторе почты и начал искать CIMG — набор имен файлов, многие из которые отображались в диалоговом окне выбора файлов, но не в Windows Explorer. Первое совпадение произошло при перечислении операций с папками, содержащих такие имена файлов, которые показываются в самой правой колонке Details:

Файлы находились в профиле пользователя в папке Appdata\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Daryl\Desktop. Эта папка Virtualized является директорией, создаваемой IE7 при запуске в защищенном режиме (Protected Mode, PMIE), который является стандартным в Windows Vista и Windows Server 2008. PMIE использует уровни целостности, представленные в Vista и Server 2008, для ограничения записей реестра и местоположений на диске, которые может модифицировать код, запущенный в IE. Как я уже описывал в более ранней статье, изолированная программная среда определяется местоположением, имеющим значение Low Integrity, уровнем на котором запускается PMIE, и определяет, какие объекты может изменять PMIE, что позволяет сохранять избранные ссылки и временные файлы как кэш IE и историю браузера. Однако, PMIE не может изменять другие папки в пользовательском профиле, такие как папки документов, ветки реестра и папки диска с указанием автоматически загружаемых программ для каждого пользователя, так как они имеют уровень целостности Medium. Это препятствует так называемому drive-by-download вредоносного ПО, которое может заразить процесс IE благодаря постоянному присутствию в системе.
Чтобы сохранить обратную совместимость с наследственным кодом, таким как элементы управления ActiveX и Browser Helper Objects, которые могут быть написаны с необходимостью создания файлов вне изолированной среды, PMIE создает компенсационный слой, который перехватывает операции с реестром и диском и перенаправляет операции, направленные за пределы изолированной среды в виртуализированную папку.

Чтобы удостоверится в том, что именно это здесь и произошло, я изучил представленный выше стек трассировки виртуализированных операций, нажав правой кнопкой по строчке и выбрав элемент Stack. Стек показал, что библиотека Acredir.dll перехватывала операции и запускала функцию переадресации:

Двойной щелчок на строке в трассировке стека открыл диалоговое окно свойств модуля, в котором было написано, что DLL является «Windows Compatibility DLL», таким образом, доказывая, что это часть реализации PMIE:

Я уже был знаком с виртуализацией PMIE, но никогда не видел виртуализированные файлы на компьютере, поэтому для меня не было очевидного ответа, что стало причиной такого несоответствия. Process Monitor показал причину, поэтому все, что мне оставалось сделать — удалить виртуализированные файлы. Большинство пользователей не знают, что могут перемещать и удалять файлы из диалогового окна выбора файлов, поэтому я использовал возможность показать своей жене, что она может управлять виртуализированными файлами из диалогового окна редактора почты при выборе файлов, если она вдруг столкнется с данной проблемой в будущем. Мы удалили файлы, которые ей были не нужны, и переместили нужные файлы в ее папки библиотек фотографий.

Дело было закрыто. Моя жена была поражена той легкости, с которой мне удалось обнаружить причину появления таинственных файлов. Однако, она еще больше удивилась, узнав, что именно я написал программу для решения этой проблемы. В связи с появлением проблемы моя жена, сама того не желая, изучила виртуализацию PMIE и уровни целостности.

Между прочим, скорее всего вы увидите файлы и папки, если загляните в виртуализированную папку PMIE в вашем профиле, так как даже самые рутинные операции в IE приводят к переадресации. Здесь вы можете увидеть файлы кэша эскизов, которые создает диалоговое окно оболочки для просмотра файлов в IE. Обычно оболочка хранит файлы кэша эскизов в вашем профиле, но PMIE не имеет туда доступа, поэтому все они виртуализируются.

Как очистить папку «Temporary Internet Files»

В данной статье описывается, каким образом можно удалить содержимое папки «Temporary Internet Files» с компьютера. Посмотрите видеоролик о том, каким образом можно самостоятельно удалить содержимое папки «Temporary Internet Files».

Удаление содержимого папки «Temporary Internet Files»

Выполните приведенные ниже действия, соответствующие вашей версии Windows.

Нажмите и удерживайте (или щелкните правой кнопкой мыши) кнопку Пуск > Панель управления > Свойства обозревателя.

Откройте вкладку Общие, а затем выберите Удалить в разделе История просмотра.

Выберите команду Удалить все > Да > ОК.

Выберите кнопку Пуск > Панель управления > Сеть и Интернет > Свойства обозревателя.

Откройте вкладку Общие, а затем выберите Удалить в разделе История просмотра.

Выберите команду Удалить все > Да > ОК.

Закройте Internet Explorer.

Закройте все окна проводника.

Откройте меню Пуск > Панель управления, затем дважды щелкните по значку Свойства обозревателя.

На вкладке Общие выберите команду Удалить файлы в разделе Temporary Internet Files.

В диалоговом окне Удаление файлы установите флажок Удалить все автономное содержимое.

Нажмите кнопку ОК два раза.

Если в папке «Temporary Internet Files» находится содержимое большого количества веб-страниц, то процесс удаления может занять несколько минут.

В папке «Temporary Internet Files» (или папке кэша) размещается содержимое веб-страниц, сохраняемое программами Windows Internet Explorer и MSN Explorer на жестком диске для ускорения просмотра. Это позволяет Internet Explorer и MSN Explorer при каждом обращении к веб-странице загружать только файлы, изменившиеся с момента последнего посещения данной страницы, и не загружать веб-страницу целиком.

Администратор мог изменить параметры хранения файлов в папке «Temporary Internet Files» и отключить возможность изменения этих параметров пользователем. Так администратор может скрыть вкладку Общие в диалоговом окне Свойства обозревателя. Если получить доступ к диалоговому окну Свойства обозревателя или вкладке Общие невозможно, обратитесь за дополнительными сведениями к администратору.

После выполнения указанных шагов в папке Temporary Internet Files могут оставаться файлы, имена которых начинаются со слова «Cookie». Эти файлы являются указателями на настоящие файлы «cookie», находящиеся в папке Cookies. Для получения дополнительной информации щелкните приведенный ниже номер статьи базы знаний Майкрософт:

158769 В папке «Temporary Internet Files» после очистки остаются файлы сookie Для получения дополнительной информации об удалении файлов «cookie» щелкните приведенный ниже номер статьи базы знаний Майкрософт:

278835 Как удалить файлы Cookie в Internet Explorer

В некоторых случаях после выполнения указанных действий в папке «Temporary Internet Files» могут оставаться загруженные с веб-сайтов файлы, которые не отображаются в проводнике. Для получения дополнительной информации щелкните приведенный ниже номер статьи базы знаний Майкрософт:

301057 Папка «Temporary Internet Files» занимает больше места на диске, чем указано

Для получения дополнительной информации о папке «Temporary Internet Files» щелкните приведенные ниже номера статей базы знаний Майкрософт:

155353Как настроить размер кэша для папки «Temporary Internet Files»

172949 Как переместить папку «Temporary Internet Files»

263070 Как параметры кэша Internet Explorer влияют на просмотр веб-страниц

175885 Не удается просмотреть папку «Temporary Internet Files» на компьютере с общим доступом

Расположение папки временных файлов Интернета в Windows 7/8/10

Те, кто перешел с Windows XP на Windows Vista, были озадачены тем, где находятся временные файлы Интернета в этой операционной системе.

Где находится папка временных интернет-файлов

Начиная с Windows Vista и далее в Windows 7 , папка временных файлов Интернета находится по адресу:

C: \ Users \ имя пользователя \ AppData \ Local \ Microsoft \ Windows \ Temporary Internet Files

В Windows 8 и Windows 8.1 интернет-кэш или временные интернет-файлы хранятся в этой папке:

C: \ Users \ имя пользователя \ AppData \ Local \ Microsoft \ Windows \ INetCache

Предполагая, что ваша Windows установлена ​​на диске C. Чтобы увидеть это, вам нужно не только установить флажок Показать скрытые файлы и папки в параметрах папки, но и снять флажок Скрыть защищенные файлы/папки операционной системы .

Где находится файл index.dat

А затем, где находится файл index.dat , расположенный в Windows 7 | 8? Index.dat – это файлы, скрытые на вашем компьютере, которые содержат все веб-сайты, которые вы когда-либо посещали. Каждый URL и каждая веб-страница указаны там. Чтобы получить к нему доступ, вам нужно будет ввести в адресной строке Explorers следующее местоположение и нажать кнопку «Перейти»:

C: \ Users \ имя пользователя \ AppData \ Local \ Microsoft \ Windows \ Временные файлы Интернета \ Content.IE5

Только тогда вы сможете увидеть файл index.dat. Заключение ? Папка Content.IE5 очень скрыта !

Теперь возникает естественный вопрос: почему Microsoft решила присвоить ей статус Защищенных системных файлов/папок?

В конце концов, папка «Temporary Internet Files» (Cache) является рассадником и источником распространения вирусов, троянских загрузчиков и других вредоносных программ, загружаемых из Интернета. Помимо вашей папки «Windows», это одна из папок, в которой можно найти большинство таких вредоносных файлов. Так почему же такой «очаг» получает такую ​​защиту, когда даже некоторым Windows dll не предоставляются такие привилегии?

Расположение папки временных файлов Интернета

Работа в Интернете может привести к определенным угрозам безопасности. Вы можете столкнуться с вредоносными программами на вашем компьютере, или троянский загрузчик тайно загрузит нежелательную программу, или вы даже можете обнаружить, что ваш браузер взломан! Невинно нажимая на ссылку в электронном письме или даже вводя неверный веб-адрес, вы можете обнаружить, что ваш браузер посещает «враждебный» сайт.

Читайте также:  Windows openvpn server routing

Для защиты от этих угроз IE в Windows Vista и более поздних версиях работает в защищенном режиме . А кэш теперь рассматривается как виртуальная папка с теми же низкими привилегиями, что и у самого процесса Internet Explorer.

Вообще говоря, в Windows 7 процессы выполняются с уровнями целостности, определенными функцией MIC (обязательный контроль целостности). «Защищенный режим» Internet Explorer, работает как процесс с «низкими привилегиями». Это предотвращает запись в Internet Explorer областей файловой системы или реестра, для которых требуются более высокие права! Затем происходит следующее: Windows создает набор папок и файлов для использования с Internet Explorer в защищенном режиме.

Эти папки и файлы имеют тот же уровень Низких привилегий, что и Internet Explorer. Эти 4 папки с «низкими привилегиями», используемые Internet Explorer в Windows при повседневной работе, – это «Кэш», «Куки», «История» и «Temp».

• % LocalAppData% \ Microsoft \ Windows \ Временные файлы Интернета \ Низкий
• % AppData% \ Microsoft \ Windows \ Cookies \ Low
• % LocalAppData% \ Microsoft \ Windows \ History \ Low
• % LocalAppData% \ Temp \ Low

Windows 7/8 также создает Виртуальные папки для хранения файлов, которые Internet Explorer пытается сохранить в защищенных местах. Таким образом, вместо того, чтобы вызывать сбой надстройки при попытке записать файл данных в папку Windows или Program Files, Windows 7 или Vista перенаправляет операцию записи в виртуальный эквивалент. Таким образом, программа продолжает работать, считая, что она записала файлы в системную папку; мало понимая, что данные фактически были записаны в виртуализированную скрытую папку, которая отражает фактический путь и хранится в папке «Временные файлы Интернета».

Аналогичным образом, если есть какая-либо попытка записи в реестр, она перенаправляется в область с низким уровнем целостности реестра.

Управление интернет-кешем

Для управления Интернет-кешем откройте Internet Explorer> Свойства обозревателя> Инструменты> Свойства обозревателя> Вкладка «Общие»> История просмотра.

Выберите нужный размер для своего кэша здесь.Вы также можете просмотреть Загруженные программы здесь, нажав «Просмотр объектов» . Вместо того, чтобы скрывать папку и т. Д. В параметрах папки explors, вы можете просмотреть содержимое папки «Временные файлы Интернета», просто нажав «Просмотреть файлы» . Если вы хотите переместить кеш в другое место, нажмите «Переместить папку» , чтобы сделать это. Вам будет предложено установить новое местоположение.

Контроль, как Internet Explorer должен использовать кэш

У вас есть 4 варианта:

1. Каждый раз, когда я захожу на веб-страницу : это гарантирует, что информация, которую вы видите, всегда актуальна, но может немного замедлить просмотр.
2. Каждый раз, когда я запускаю Internet Explorer : это приведет к тому, что IE будет проверять наличие более новой версии, один раз за сеанс IE. Проверка выполняется при первом посещении страницы, но не до тех пор, пока вы не перезапустите браузер.
3. Автоматически . Это опция по умолчанию. Здесь IE видит частоту обновления страниц. Если страница не обновляется часто, IE уменьшает частоту, с которой он проверяет эту страницу.
4. Никогда . С помощью этой опции Internet Explorer никогда не проверяет наличие новых файлов и всегда отображает содержимое кеша.

Примечание. Даже после обновления страницы у вас создается впечатление, что ваш IE, кажется, читает из кэша, как, например, чтение вчерашних новостей, когда он должен загружаться заново, просто нажмите и удерживайте клавишу Shift, а затем нажмите, чтобы Refresh.

Всегда полезно очищать кэш время от времени, в зависимости от ваших привычек просмотра. Сделайте это еженедельно или хотя бы ежемесячной привычкой. Вы можете использовать утилиту очистки диска или Quick Clean, чтобы сделать это.

Перейдите сюда, чтобы узнать, почему создаются временные файлы в Windows, и здесь, чтобы прочитать о папке «Расположение файлов cookie» в Windows 7/8. Папка установщика Windows – это еще одна системная папка, о которой вы можете прочитать.