पिछले लेखों में से एक में, हमने उल्लेख किया है कि इंटरनेट से डाउनलोड की गई निष्पादन योग्य फ़ाइल को खोलने का प्रयास करते समय विंडोज़ संभावित खतरनाक सामग्री को चलाने की सुरक्षा चेतावनी दिखाता है (विवरण के लिए, विंडोज़ में सुरक्षा चेतावनियां कैसे अक्षम करें देखें)। सिस्टम कैसे निर्धारित करता है कि फ़ाइल इंटरनेट से डाउनलोड की गई है? आइए इसका पता लगाने की कोशिश करते हैं।
ब्राउज़र में इंटरनेट से डाउनलोड की गई सभी निष्पादन योग्य फ़ाइलों को एक विशेष मार्कर मिलता है। यह नियम न केवल इंटरनेट एक्सप्लोरर द्वारा समर्थित है, बल्कि मोज़िला फ़ायरफ़ॉक्स और Google क्रोम जैसे अन्य लोकप्रिय ब्राउज़रों द्वारा भी समर्थित है। किसी फ़ाइल को किसी अन्य NTFS विभाजन में कॉपी, नाम बदलने या स्थानांतरित करते समय, मार्कर अभी भी साथ रहता है।
यह मार्कर एक वैकल्पिक NTFS फ़ाइल स्ट्रीम है ।
नोट . वैकल्पिक NTFS डेटा स्ट्रीम प्रत्येक NTFS फ़ाइल के लिए कई अतिरिक्त डेटा (मेटाडेटा) स्ट्रीम बनाने की अनुमति दें। डिफ़ॉल्ट रूप से, सभी फ़ाइल डेटा मुख्य स्ट्रीम में संग्रहीत होते हैं, लेकिन फ़ाइल के लिए एक या अधिक अतिरिक्त स्ट्रीम बनाना संभव है और उनका आकार प्राथमिक फ़ाइल स्ट्रीम के आकार से भी अधिक हो सकता है। अधिकांश एप्लिकेशन (विंडोज एक्सप्लोरर सहित) केवल मानक स्ट्रीम के साथ काम करते हैं और वैकल्पिक एनटीएफएस डेटा स्ट्रीम से डेटा नहीं पढ़ सकते हैं।
यह सुनिश्चित करने के लिए कि इंटरनेट से डाउनलोड की गई फ़ाइल को एक विशेष मार्कर असाइन किया गया है, निम्न कमांड का उपयोग करके वितरण वाली निर्देशिका के लिए फ़ाइलों की सूची प्रदर्शित करें:
dir /r
जैसा कि हम देख सकते हैं, वैकल्पिक धारा Zone.Identifier निष्पादन योग्य फ़ाइलों को असाइन किया गया है, जैसे install_flash_player_16_active_x.exe:Zone.Identifier ।
नोटपैड में वैकल्पिक स्ट्रीम खोलें:
Notepad.exe install_flash_player_16_active_x.exe:Zone.Identifier
हम देख सकते हैं कि यह स्ट्रीम एक फाइल है जिसमें एक सेक्शन [ZoneTransfer . है ], जिसमें एक स्थानांतरण क्षेत्र आईडी (ZoneId) अधिकृत है। (ये सुरक्षा क्षेत्र हैं जो IE सेटिंग्स में पाए जा सकते हैं।) स्थानांतरण क्षेत्र आईडी में 0 से 4 तक के पांच मानों में से एक हो सकता है।
- ZoneId=0:स्थानीय मशीन
- ZoneId=1:स्थानीय इंट्रानेट
- ZoneId=2:विश्वसनीय साइटें
- ZoneId=3:इंटरनेट
- ZoneId=4:प्रतिबंधित साइटें
जब आप किसी सुरक्षा ज़ोन से कोई फ़ाइल डाउनलोड करते हैं, तो ब्राउज़र उसे संबंधित ज़ोनआईड असाइन करता है। अपने वैकल्पिक एनटीएफएस स्ट्रीम में 3 या 4 के बराबर ज़ोनआईड के साथ एक फ़ाइल चलाने की कोशिश करते समय, इस आईडी के आधार पर सिस्टम यह पता लगाता है कि एक फ़ाइल इंटरनेट या एक अविश्वसनीय स्रोत से डाउनलोड की गई है। Windows XP SP2 के बाद से Windows निष्पादन योग्य फ़ाइलों के इस मार्कर की जाँच कर रहा है।
इस मार्कर (वैकल्पिक स्ट्रीम) को मैन्युअल रूप से हटाने के लिए, आपको केवल अनब्लॉक click पर क्लिक करना चाहिए फ़ाइल गुणों में।
सुनिश्चित करें कि इस फ़ाइल में अभी वैकल्पिक स्ट्रीम नहीं है।
दरअसल, वैकल्पिक डेटा स्ट्रीम से निपटने के लिए विंडोज के पास कोई टूल नहीं है। उदाहरण के लिए, यदि आपको उन्हें एक साथ कई फाइलों से हटाना है, तो बेहतर होगा कि आप मार्क रुसिनोविच के तृतीय-पक्ष कंसोल टूल का उपयोग करें — स्ट्रीम ।
उदाहरण के लिए, c:\Download\ में सभी निष्पादन योग्य फ़ाइलों की वैकल्पिक स्ट्रीम को पुनरावर्ती रूप से हटाने के लिए, यह कमांड चलाएँ:
c:\TOOLS\streams.exe -s -d c:\Download\*.exe
कमांड प्रॉम्प्ट में, आप देख सकते हैं कि फ़ाइल की वैकल्पिक स्ट्रीम हटा दी गई है:हटाई गई :Zone.Identifier:$DATA
महत्वपूर्ण . स्ट्रीम निर्दिष्ट फ़ाइलों की सभी वैकल्पिक धाराओं को हटा देता है और एक निश्चित स्ट्रीम को लक्षित करने की अनुमति नहीं देता है। इसलिए, धाराएं न चलाएं streams.exe -s -d c:\*.exe . के रूप में कमांड करें , चूंकि वैकल्पिक NTFS स्ट्रीम में निहित महत्वपूर्ण जानकारी को हटा दिए जाने के बाद इसके परिणामस्वरूप सिस्टम विफल हो सकता है।
पावरशेल 3.0 में, आप किसी निर्देशिका में ज़ोन.आइडेंटिफ़ायर स्ट्रीम वाली फ़ाइलों की सूची प्रदर्शित कर सकते हैं इस आदेश का उपयोग करते हुए:
Get-ChildItem -Recurse | Get-Item -Stream Zone.Identifier -ErrorAction SilentlyContinue | Select-Object FileName
विशेषता को इस प्रकार हटा दिया जाता है:
Remove-Item .\install-file.exe -Stream Zone.Identifier
Windows PowerShell 4.0 में, आप अलग cmdlet का उपयोग करके Zone.Identifier को हटा सकते हैं:
Unblock-File install-file.exe
आप इस कमांड को मैन्युअल रूप से चलाने वाली किसी भी फ़ाइल को मार्कर असाइन कर सकते हैं:
notepad.exe install_flash_player_16_active_x.exe:Zone.Identifier
चूंकि कोई स्ट्रीम नहीं है, सिस्टम एक नई फ़ाइल बनाने का संकेत देता है। निम्नलिखित पाठ को नोटपैड विंडो में स्वीकार करें और कॉपी करें:
[ZoneTransfer]
ZoneId=3
परिवर्तन सहेजें। सुनिश्चित करें कि फ़ाइल को एक वैकल्पिक स्ट्रीम असाइन की गई है।
