Как Windows хранит информацию о том, что файл загружен из интернета

Многие, наверное, замечали, что если скачивать файлы из интернета при помощи Internet Explorer, то потом такие программы, как Microsoft Word или Excel будут выдавать предупреждение о том, что файл скачан из интернета и является небезопасным. Аналогичное, предупреждение будет получено при попытке установки программ.

Файлы, рассматриваемые Windows как небезопасные, по внутреннему содержимому не отличаются от обычных. Информация о чужеродном происхождении файла записывается в специальные потоки ADS (alternate data stream) файловой системы NTFS

Содержимое потоков ADS можно увидеть с помощью бесплатной утилиты streams из пакета SysInternalsSuite.
Помимо того, сам факт наличия заголовков можно увидеть с помощью стандартной команды dir /r

Информацию в ADS можно добавить самостоятельно. Для этого нужно к имени существующего файла прибавлять через двоеточие имя секретного файла, который не будет виден напрямую в файловой системе. Например, командой notepad.exe file.txt:BigSecret.txt мы запустим блокнот, который запросит создание нового файла file.txt:BigSecret.txt, в который можно ввести любые данные и сохранить как обычный файл. Можно пользоваться стандартными средствами перенаправления потоков ввода-вывода Windows. То есть, чтобы увидеть содержимое файла можно в консоли командой more file.txt:BigSecret.txt

Понятно, что такие данные зависят от основного файла, если удалить файл, то потоковый файл тоже исчезнет

Теперь нам понятно, как повторить поведение windows, для этого нужно просто в файл file.txt:Zone.Identifier записать следующее содержимое:

[ZoneTransfer]
ZoneId=3

Пример bat-файла:

SET OUTNAME=file.msi
echo some data>%OUTNAME%
echo [ZoneTransfer]>"%OUTNAME%:Zone.Identifier"
echo ZoneId=3 >>"%OUTNAME%:Zone.Identifier"

Для быстрого удаления всей информации потоков можно пользоваться ключом -d утилиты streams.

Вдогонку стоит упомянуть о неочевидном факте, обнаруженном в книге The Art of Software Security Assessment. А именно то, что в Windows пробелы и точки в конце имени файла игнорируются. При создании файла c:file.txt…. на диске будет успешно создан(или открыт существующий файл) c:file.txt

Как удалить файл hiberfil.sys в Windows 7

Windows для сохранения содержимого оперативной памяти при так называемой гибернации компьютера (hibernation) использует файл hiberfil.sys. Но если в Windows XP (в которой, кстати, этот режим в русской локализации назывался «спящим», да-да, тем самым «спящим», который теперь в Windows 7 делает то же, что и «ждущий» в Windows XP) при отключении возможности гибернации этот файл сразу же удалялся, то в Windows 7 из интерфейса панели управления удалить его не так и просто. При этом, естественно, что файл может занимать много места — пропорционально объему оперативной памяти. Быстрее всего удалить его можно с помощью консоли Windows с правами администратора. Для этого вводим открываем меню «Пуск» и вводим в командной строке cmd:

В контекстном меню по пункту cmd (правой кнопкой мыши) выбираем «Запуск от имени администратора». Теперь в консоли вводим простую команду отключения режима гибернации, которая удалит файл hiberfil.sys

powercfg –h off

После выполнения команды файл удаляется практически моментально без необходимости в перезагрузке.

Включить Telnet Windows 7

В Windows 7 по умолчанию не доступен компонент Telnet. Его можно установить с помощью диалога «Включение или отключение компонентов windows», однако часто из-за ошибок в Windows это окно отображается пустым. Поэтому гораздо проще просто набрать команду в консоли, запущенной с администраторскими правами:

dism /online /Enable-Feature /FeatureName:TelnetClient

Как узнать физический путь расшаренной папки

Иногда ворох папок, расшаренных по сети достигает неимоверного количества и вспомнить о том, где какая папка лежит на самом деле не так просто. Для того, чтобы узнать где физически лежит папка проще всего воспользоваться простой командой net share.

На скриншоте видно, что папка с сетевым именем Temp находится на компьютере по физическому пути C:Temp