- Как Windows определяет, что файл скачан из Интернета
- Zone identifier windows 10
- Вопрос
- Все ответы
- ZoneIDTrimmer: Remove Zone.Identifier alternative data stream stored by Windows
- Remove Zone.Identifier
- ZoneIDTrimmer download
- How to Remove Zone.Identifier from Multiple Files Quickly in Windows
- Zone identifier windows 10
Как Windows определяет, что файл скачан из Интернета
В одной из предыдущих статей мы упоминали, что Windows при попытке открыть скачанный из Интернета исполняемый файл выдает предупреждение системы безопасности о попытке запуска потенциально опасного содержимого (подробности в статье Как отключить предупреждение системы безопасности в Windows). Каким же образом система определяет, что файл был скачан из Интернета? Попробуем разобраться.
Все исполняемые файлы, загруженные из Интернета с помощью браузера получают особую отметку. Это правило поддерживается не только браузером Internet Explorer, но и большинством популярных браузеров, например Mozilla Firefox и Google Chrome. При копировании, переименовании или перемещении файла на другой раздел с файловой системной NTFS, предупреждение все равно остается.
Данная отметка представляет собой альтернативный поток NTFS, принадлежащий файлу.
Чтобы убедится, что скачанному из Интернета файлу назначена особая метка (альтернативный поток NTFS), в окне командной строке выведем список файлов в каталоге с дистрибутивами командой:
Как мы видим, исполняемым файлам в этом каталоге назначен альтернативный поток Zone.Identifier, к примеру: install_flash_player_16_active_x.exe:Zone.Identifier
Откроем содержимое альтернативного потока в блокноте:
Мы видим, что данный поток представляет собой файл с секцией [ZoneTransfer], в которой указан идентификатор зоны передачи ZoneId (те самые зоны безопасности, которые присутствуют в настройках IE). ID зоны передачи может содержать одно из 5 значений от 0 до 4.
- ZoneId=0: Local machine (Локальный компьютер)
- ZoneId=1: Local intranet (Местная сеть)
- ZoneId=2: Trusted sites (Надежные сайты)
- ZoneId=3: Internet (Интернет)
- ZoneId=4: Restricted sites (Опасные сайты)
При загрузке файла из определенной зоны безопасности, браузер ставит им метку этой зоны. При запуске файлов, у которых в альтернативном NTFS потоке атрибут ZoneId равен 3 или 4, система на основании метки зоны распознает, что файл получен из Интернета или недоверенного источника. Windows проверяет наличие данной метки у исполняемых файлов начиная с Windows XP SP2.
Чтобы вручную удалить данную метку (альтернативный поток) у файла, достаточно нажать кнопку Разблокировать в свойствах файла.
Убедимся, что альтернативной поток у данного файла теперь отсутствует:
Вообще говоря, в Windows отсутствуют вменяемые средства работы с альтернативными потоками данных. И, если, к примеру, возникнет задача убрать этот признак сразу у множества файлов, лучше всего будет воспользоваться сторонней консольной утилитой Марка Русиновича — streams.
К примеру, чтобы рекурсивно удалить альтернативные потоки у всех exe-файлов в каталоге c:\Download\, выполните команду:
c:\TOOLS\streams.exe -s -d c:\Download\*.exe
В консоли видно, что альтернативный поток у файла удален: Deleted :Zone.Identifier:$DATA
При наличии PowerShell 3.0, вывести список файлов в каталоге (рекурсивно) с потоком Zone.Identifier можно такой командой:
Get-ChildItem -Recurse | Get-Item -Stream Zone.Identifier -ErrorAction SilentlyContinue | Select-Object FileName
Сам атрибут снимается так:
Remove-Item .\installfile.exe -Stream Zone.Identifier
В Windows PowerShell 4.0 снять метку Zone.Identifier можно с помощью отдельного командлета:
Данную метку можно для произвольного файла установить вручную, для этого выполним команду
Т.к. поток отсутствует, система предложит создать новый файл. Соглашаемся и в окно блокнота копируем текст:
Сохраняем изменения. Убеждаемся, что файлу назначен альтернативный поток.
Zone identifier windows 10
Вопрос
I’ve come across what i believe to be an issue, if not, then I’m just seeking some clarification.
When the built in application. .\Appdata\local\packages\Microsoft.WindowsCamera_8wekyb3d8bbwe is used to create video files or still images. The zoneid is being set to 3.
My understanding is that this is being flagged as being downloaded from the internet.
Just wondering if this is the expected behavior or a bug.
Все ответы
Did you mean the file created by the Camera or Camera app itself?
How did you check it? If yes, share the screenshot here.
If it’s Camera app itself, it’s expected behavior.
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
As my account isn’t verified I cant attach the screenshot.
I’ve dumped the contents of my cmd session out and attached the text here however.
Its great news that it is expected behavior, I do want to ask why a locally created file would be marked as zone 3. As you can see below, its from the windows camera application.
Its saved into the default directory
C:\users\xxx\Pictures\Camera Roll\
Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.
C:\Users\PC_3\Documents\ADS>dir /r
Volume in drive C is Windows
Volume Serial Number is 8680-E759
ZoneIDTrimmer: Remove Zone.Identifier alternative data stream stored by Windows
ZoneIDTrimmer is a freeware that will help you quickly remove the Zone.Identifier alternative data stream stored by Windows, when it downloads files from the Internet.
Remove Zone.Identifier
It is the Attachment Manager in Windows that protects you against unsafe attachments and downloads by identifying the file type and the respective security settings. Based on the Zone Information, if it identifies an attachment that might be unsafe, it prevents you from opening the file, or it warns you before you open the file. We have seen how to automatically unblock downloaded files or disable unblocking features of Attachment Manager using the Group Policy or Registry Editor.
In this post, we will see how to unblock individual files downloaded from the Internet easily with a click using ZoneIDTrimmer. ZoneIDTrimmer doesn’t change the content of your files; it only removes the Zone.Identifier alternative data stream. ZoneIDTrimmer will help you detect and remove the Zone.Identifier an alternative data stream (ADS) stored by Windows in files downloaded from the Internet, email attachments saved on your disk, etc, causing a security warning when these files are used.
After you have downloaded and installed this software, the affected files and folders containing such files will be marked in File Explorer with an exclamation sign, and “Trim Zone ID” command will be added to the context menu.
Identify the file whose Zone.Identifier you wish to remove. If you check its Properties, you will see the Blocked indicator.
Right-click on this file and select Trim Zone ID.
You will see a confirmation that the Zone ID has been removed.
Now check the Properties of this file again. You will not see the ‘Unblock’ option since the file has already been unblocked.
Thus, using this command you can get rid of Zone.Identifier stream in selected file or folder and prevent security warnings. The exclamation mark on such files will get removed.
ZoneIDTrimmer download
You can download ZoneIDTrimmer from here. Worked just fine on my Windows 10 x64.
Also, check out:
- Phrozen ADS Revealer will reveal possible malicious ADS or Alternate Data Stream files in your Windows file system.
- GMER Rootkit Detector removes Alternate Data Streams, Drivers hooking SSDT, drivers hooking IDT, Drivers hooking IRP calls, etc.
How to Remove Zone.Identifier from Multiple Files Quickly in Windows
When you download a file from the internet, Windows operating system automatically adds an alternate data stream (ADS) to that file to identify it as a foreign file that must be handled with extra care. This newly added ADS is called “Zone.Identifier” and has a small content “[ZoneTransfer] ZoneId=3”. Using this extra data, Windows can tell that this file came from the internet. Every time you access such a file, Windows may show a warning message indicating that since you downloaded this file, it could be harmful and that you should take extra precaution.
Typically, you can remove this Zone.Identifier ADS from the File Explorer easily. For this, you can right-click on the file, select Properties and then click on the Unblock File button. This method is very easy but you have to use it on each of the files separately – one by one. This can take a long time if you have to unblock multiple files.
If you want to unblock multiple files (clear the Zone.Identifier stream from a large number of files) then you can make use of the Unblock-File PowerShell cmdlet. Here is how:
- Open the folder files of which you want to unblock (clear the Zone.Identifier stream).
- Click on the File and then select Open Windows PowerShellOpen Windows PowerShell.
- In the PowerShell prompt, type dir .\* | Unblock-File
Zone identifier windows 10
Профиль | Отправить PM | Цитировать
здравствуйте уважаемые участники форума! Мне нужна ваша помощь. Решил добавить в контекстное меню папки команду Streams для отображения и удаления Zone.Identifier (Альтернативные потоки NTFS). Вручную не очень удобно к тому же он у тех файлов которых я скопировал с HDD друга(у меня отключено Zone.Identifier)
Например хочу посмотреть какие файлы в папке имеет Альтернативные потоки NTFS :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\Streams\command]
@=»cmd /k streams64.exe -s \»C:\\Users\\Admin\\Downloads\»»
\»C:\\Users\\Admin\\Downloads\»» как же сделать так чтобы вместе этого адреса чтоб был текущий каталог с контекстного меню которого вызвал эту команду
| Мне нужна ваша помощь. Решил добавить в контекстное меню папки команду Streams для отображения и удаления Zone.Identifier (Альтернативные потоки NTFS). Вручную не очень удобно к тому же он у тех файлов которых я скопировал с HDD друга(у меня отключено Zone.Identifier) » |
Использовать можно как для просмотра, так и для удаления.
ЗЫ Сразу отвечу на вопрос, который, вероятно, возникнет: «зачем +cmd?» Затем, что, увы, powershell не выводит альтернативные потоки каталогов.
——-
scio me nihil scire
| …альтернативные потоки каталогов. » |
Которые ещё нужно поискать 
.
Если же говорить о практике использования — смотреть особого смысла нет, достаточно тупо исполнять удаление альтернативного потока данных Zone.Identifier (именно одного этого потока, а не всех подряд). Такой я для себя сделал вывод, когда реализовывал аналогичное под Far Manager’ом.
| Конфигурация компьютера | ||||||
| Память: 8,00 ГБ | ||||||
| Если же говорить о практике использования — смотреть особого смысла нет » |
——-
scio me nihil scire
| ? размер — одно число, на диске другое. » |
| не, я в том смысле, что мне лично ни разу каталоги с ADS не попадались. » |
Если ADS может существовать у каталога, а это вполне допустимо, то и необходимость его получения/просмотра очевидна.
| Так тут просто разница по кластерам показывается. Не? » |
——-
scio me nihil scire
Последний раз редактировалось YuS_2, 14-08-2019 в 20:44 .
| А смотреть — всегда полезно, прежде чем, что-то удалять и уничтожать. » |
| Просто лично у меня концепция «сначала посмотри, есть ли поток Zone.Identifier, потом удали его» в практическом использовании достаточно быстро выродилась в «просто удали поток Zone.Identifier», потому как это быстрее, а конечный результат тот же » |
| Самый простой способ, создать раздел FAT32 и использовать его как буфер. никаких альтпотоков не останется. » |
Это если файлы получены из ненадежного источника, либо если заведомо требуется удалить все скрытые потоки.
А если сам что-то спрятал (причины можно даже не рассматривать), но в каком из файлов/каталогов — любимый склероз поет пестню. что делать? Ведь они скрыты, те потоки и увидеть их стандартными способами — никак.
Кроме того: чтобы удалить, что-нибудь ненужное, нужно сначала получить что-нибудь ненужное.
Это в том смысле, что не станем же мы, при необходимости удаления этого Zone.Identifier, удалять во всех подряд файлах и каталогах, ибо в таком случае, вот это:
——-
scio me nihil scire
Последний раз редактировалось YuS_2, 15-08-2019 в 07:52 .
