Поток Zone.Identifier

Подтверждение запуска

В Windows 7, когда запускаешь исполняемый файл, загруженный из интернета, выскакивает предупреждение «Не удаётся проверить издателя. Вы действительно хотите запустить эту программу?». Так реализована защита от случайного запуска недоверенных файлов, загруженных из сети.

Как система узнаёт, что файл был загружен из интернета? Дело в том, что к файлу прицеплен поток NTFS под названием Zone.Identifier. В Проводнике его не видно, но наличие этого потока можно проверить в специализированном софте для операций с потоками NTFS, например в NTFS Stream Explorer.

Поток создаётся в момент сохранения файла на жёсткий диск у неподписанных программ. Делает это, должно быть, сам браузер. Не важно, чем создаётся поток, важно то, как на него реагирует система. Если программа подписана цифровой подписью, никаких сообщений не будет.

Для отключения запросов достаточно удалить поток Zone.Identifier программой NTFS Stream Explorer.

Содержимое Zone.Identifier

Zone.Identifier

Поток Zone.Identifier это поток, содержащий текстовые данные. Он содержит внутри себя следующие строчки:

[ZoneTransfer]
ZoneId=3

Параметр ZoneId с числом означает зону, откуда прибыл файл на компьютер. Допустимы следующие значения:

• 0 — локальный компьютер
• 1 — интранет
• 2 — доверенный источник
• 3 — интернет
• 4 — недоверенный источник

При значении 3 система выдаст предупреждение, описанное выше. Если ZoneId содержит значение 4, то появится следующее предупреждение:

Предупреждение

Открытие файла блокируется. Появляется надпись «Эти файлы нельзя открыть. Параметры безопасности Интернета не позволили открыть один или несколько файлов».

По теме файловых потоков также есть следующее:

• NTFS Stream Explorer 2.00 Программа для работы с потоками NTFS и справка по ней.
• Алгоритм получения списка потоков NTFS на C/C++.
• Скрытое хранение данных в потоках файла $Repair.