Zone identifier что это
Zone.Identifier
В Windows 7, когда запускаешь исполняемый файл, загруженный из интернета, выскакивает предупреждение «Не удаётся проверить издателя. Вы действительно хотите запустить эту программу?». Так реализована защита от случайного запуска недоверенных файлов, загруженных из сети.
Как система узнаёт, что файл был загружен из интернета? Дело в том, что к файлу прицеплен поток NTFS под названием Zone.Identifier. В Проводнике его не видно, но наличие этого потока можно проверить в специализированном софте для операций с потоками NTFS, например в NTFS Stream Explorer.
Поток создаётся в момент сохранения файла на жёсткий диск у неподписанных программ. Делает это, должно быть, сам браузер. Не важно, чем создаётся поток, важно то, как на него реагирует система. Если программа подписана цифровой подписью, никаких сообщений не будет.
Для отключения запросов достаточно удалить поток Zone.Identifier программой NTFS Stream Explorer.
Содержимое Zone.Identifier
Поток Zone.Identifier это поток, содержащий текстовые данные. Он содержит внутри себя следующие строчки:
Параметр ZoneId с числом означает зону, откуда прибыл файл на компьютер. Допустимы следующие значения:
При значении 3 система выдаст предупреждение, описанное выше. Если ZoneId содержит значение 4, то появится следующее предупреждение:
Открытие файла блокируется. Появляется надпись «Эти файлы нельзя открыть. Параметры безопасности Интернета не позволили открыть один или несколько файлов».
Zone identifier что это
Как Windows определяет, что файл был загружен из Интернета
Часто при попытке запустить файлы, скачанные из интернета, появляется примерно такое окно:
Такую «черную метку» файлу обычно ставит браузер Internet Explorer. При этом файл можно переименовать, скопировать или даже переместить на другой диск, предупреждение все равно будет оставаться. Снять блокировку с файла можно примерно так. Но каким образом система определяет, что файл скачан из интернета? Эта информация записывается в так называемые альтернативные потоки NTFS. Суть технологии альтернативных потоков заключается в том, что у файла на дисковой системе NTFS одновременно может быть несколько потоков, содержащих данные. Проводник Windows и большинство файловых менеджеров могут работать только с главным потоком, который представляет собой основное содержимое файла.
Зато альтернативные потоки NTFS можно легко посмотреть в консоли обычной командой DIR с ключом /R
Можно воспользоваться консольной утилитой Streams от Mark Russinovich.
Для любителей оконных интерфейсов есть замечательная программа NTFS Stream Explorer, которая тоже позволяет обнаружить и посмотреть альтернативные потоки NTFS.
Или бесплатная утилита AlternateStreamView от NirSoft.
Что же интересного записано в этом файле, а главное, как его открыть? Проще всего это делается при помощи обычного Блокнота, который входит в состав каждой Windows. Набираем в командной строке следующее:
notepad C:\setup.exe:Zone.Identifier
В Блокноте открывается содержимое альтернативного потока Zone.Identifier. Да, это самый обычный текстовый (а точнее ini) файл:
Параметр ZoneId=3 отвечает именно за то, чтобы файл считался небезопасным, и на основании именно этого значения система принимает решение о показе предупреждения.
Хорошо, наличие спрятанного альтернативного потока мы определили, его содержимое посмотрели. А дальше-то что? А дальше можно разблокировать основной файл путем удаления альтернативного потока.
Альтернативный поток NTFS также удаляется при разблокировке файла через меню Проводника Windows. После удаления потока файл запускается без каких-либо предупреждений.
Можно ли заблокировать файл обратно? Да, можно. Для этого, как несложно догадаться, надо создать альтернативный поток Zone.Identifier с нужным содержимым. Делается это при помощи все того же Блокнота уже знакомой нам командой:
notepad C:\setup.exe:Zone.Identifier
На запрос о создании нового файла надо ответить подтверждением.
Осталось записать в созданный файл потока строчки, отвечающие за блокировку основного файла, и сохранить изменения.
[ZoneTransfer]
ZoneId=3
После этого файл снова становится небезопасным со всеми вытекающими последствиями. Путем несложных экспериментов я также выяснил, что значение ZoneId=4 при попытке запустить файл приводит вот к такому интересному эффекту:
То есть файл становится полностью блокированным для запуска. Пусть ваша фантазия подскажет вам, где это можно использовать.
Напоследок хочу предупредить вас, что неразумное создание или удаление альтернативных потоков может привести к непредсказуемым последствиям, вплоть до сбоев в работе системы. Как и при работе с любыми другими внутренностями Windows, надо быть очень осторожным.
Как Windows узнает, что файл был загружен из интернета
В озможно, при просмотре свойств скачанных с интернета файлов вам уже приходилось сталкиваться с предупреждением «Этот файл получен с другого компьютера…» и прочее, и прочее. Причём такое предупреждение выводится не только для исполняемых файлов, но и простых текстовых документов, картинок, аудио и других «нейтральных» типов данных. Антивирусная программа тут ни причём — метку ставит сама система. Однако каким образом Windows определяет, что файл был загружен из интернета, а не создан на локальном компьютере?
В представленном примере альтернативный поток имеет файл Vikingi_Vikings.torrent, что хорошо видно на скриншоте. Поскольку метка Zone.Identifier:$DATA нам ещё ничего не говорит, откроем содержимое потока в обычном Блокноте.
В результате получаем идентификатор зоны передачи:
[ZoneTransfer]
ZoneId=3
Эта метка указывает на текущие настройки зон безопасности, те самые, получить доступ к которым можно через свойства браузера в панели управления. Параметр ZoneId может принимать пять значений от 0 до 4. Когда пользователь загружает файл, браузер автоматически определяет зону безопасности и ставит ему соответствующую этой зоне метку. Файлы, загруженные с местной сети, получают метку 1, значение 2 присваивается файлам, скачанным с надёжных сайтов, 3 — с сайтов, входящих в среднюю зону безопасности, идентификатор 4 получают файлы, скачанные с потенциально опасных ресурсов. Метка 0 служит для обозначения файлов, полученных с локальной машины.
Какого-либо особого значения для пользователя метка ZoneTransfer не имеет. Необходимость в удалении альтернативного потока может возникнуть разве что в тех случаях, когда система начинает чинить препятствия при работе с отмеченными файлами. Удалить же поток очень просто — достаточно нажать в свойствах файла «разблокировать» и сохранить результат. Ну а если вы хотите, чтобы система не ставила идентификаторов загруженным из сети файлам, сохраняйте их на носитель с файловой системой, отличной от NTFS.
Удалить альтернативный поток данных Zone.Identifier
ZoneIDТриммер это бесплатная программа, которая поможет вам быстро удалить Zone.Identifier альтернативный поток данных, хранящийся в Windows, когда она загружает файлы из Интернета.
Удалить Zone.Identifier
Это диспетчер вложений в Windows, который защищает вас от небезопасных вложений и загрузок, определяя тип файла и соответствующие параметры безопасности. На основе информации о зоне, если он определяет вложение, которое может быть небезопасным, он не позволяет вам открыть файл или выдает предупреждение перед открытием файла. Мы видели, как автоматически разблокировать загруженные файлы или отключить функции разблокировки диспетчера вложений с помощью групповой политики или редактора реестра.
В этом посте мы увидим, как легко разблокировать отдельные файлы, загруженные из Интернета, с помощью ZoneIDTrimmer одним щелчком мыши. ZoneIDTrimmer не изменяет содержимое ваших файлов; он удаляет только альтернативный поток данных Zone.Identifier. ZoneIDTrimmer поможет вам обнаружить и удалить Zone.Identifier — альтернативный поток данных (ADS), который Windows хранит в файлах, загруженных из Интернета, во вложениях электронной почты, сохраненных на вашем диске, и т. Д., Вызывая предупреждение системы безопасности при использовании этих файлов.
После того, как вы загрузили и установили это программное обеспечение, затронутые файлы и папки, содержащие такие файлы, будут отмечены в проводнике файлов восклицательным знаком, а команда «Обрезать идентификатор зоны» будет добавлена в контекстное меню.
Определите файл, Zone.Identifier которого вы хотите удалить. Если вы проверите его Свойства, вы увидите индикатор Заблокировано.
Щелкните этот файл правой кнопкой мыши и выберите «Обрезать идентификатор зоны».
Вы увидите подтверждение того, что идентификатор зоны был удален.
Теперь снова проверьте свойства этого файла. Вы не увидите опцию «Разблокировать», поскольку файл уже был разблокирован.
Таким образом, с помощью этой команды вы можете избавиться от потока Zone.Identifier в выбранном файле или папке и предотвратить появление предупреждений системы безопасности. Восклицательный знак на таких файлах будет удален.
ZoneIDTrimmer скачать
Вы можете скачать ZoneIDTrimmer из здесь. Работал отлично на моей Windows 10 x64.
Также обратите внимание:
Как Windows определяет, что файл скачан из Интернета
В одной из предыдущих статей мы упоминали, что Windows при попытке открыть скачанный из Интернета исполняемый файл выдает предупреждение системы безопасности о попытке запуска потенциально опасного содержимого (подробности в статье Как отключить предупреждение системы безопасности в Windows). Каким же образом система определяет, что файл был скачан из Интернета? Попробуем разобраться.
Все исполняемые файлы, загруженные из Интернета с помощью браузера получают особую отметку. Это правило поддерживается не только браузером Internet Explorer, но и большинством популярных браузеров, например Mozilla Firefox и Google Chrome. При копировании, переименовании или перемещении файла на другой раздел с файловой системной NTFS, предупреждение все равно остается.
Данная отметка представляет собой альтернативный поток NTFS, принадлежащий файлу.
Чтобы убедится, что скачанному из Интернета файлу назначена особая метка (альтернативный поток NTFS), в окне командной строке выведем список файлов в каталоге с дистрибутивами командой:
Как мы видим, исполняемым файлам в этом каталоге назначен альтернативный поток Zone.Identifier, к примеру: install_flash_player_16_active_x.exe:Zone.Identifier
Откроем содержимое альтернативного потока в блокноте:
Мы видим, что данный поток представляет собой файл с секцией [ZoneTransfer], в которой указан идентификатор зоны передачи ZoneId (те самые зоны безопасности, которые присутствуют в настройках IE). ID зоны передачи может содержать одно из 5 значений от 0 до 4.
При загрузке файла из определенной зоны безопасности, браузер ставит им метку этой зоны. При запуске файлов, у которых в альтернативном NTFS потоке атрибут ZoneId равен 3 или 4, система на основании метки зоны распознает, что файл получен из Интернета или недоверенного источника. Windows проверяет наличие данной метки у исполняемых файлов начиная с Windows XP SP2.
Чтобы вручную удалить данную метку (альтернативный поток) у файла, достаточно нажать кнопку Разблокировать в свойствах файла.
Убедимся, что альтернативной поток у данного файла теперь отсутствует:
Вообще говоря, в Windows отсутствуют вменяемые средства работы с альтернативными потоками данных. И, если, к примеру, возникнет задача убрать этот признак сразу у множества файлов, лучше всего будет воспользоваться сторонней консольной утилитой Марка Русиновича — streams.
К примеру, чтобы рекурсивно удалить альтернативные потоки у всех exe-файлов в каталоге c:\Download\, выполните команду:
В консоли видно, что альтернативный поток у файла удален: Deleted :Zone.Identifier:$DATA
При наличии PowerShell 3.0, вывести список файлов в каталоге (рекурсивно) с потоком Zone.Identifier можно такой командой:
Сам атрибут снимается так:
В Windows PowerShell 4.0 снять метку Zone.Identifier можно с помощью отдельного командлета:
Данную метку можно для произвольного файла установить вручную, для этого выполним команду
Т.к. поток отсутствует, система предложит создать новый файл. Соглашаемся и в окно блокнота копируем текст:
Сохраняем изменения. Убеждаемся, что файлу назначен альтернативный поток.