21. 2月 2019 13:02
/
丘山大一
/
Blog . OS . Windows
コメント (0)
昔調べたんですけど、記事にしていなかったので記事にしました。
アレ
コレ。
大体何も考えずに「許可する」を選択して閉じるヤツです(セキュリティ意識の欠如という大問題)。
正体について
ファイルシステムであるNTFSにおける代替ストリームです。
といってもなんのこっちゃですね。
ざっくり言ってしまえば、実態となるファイルに追加で情報を入れられます。上の画像は「セキュリティ情報を付加されたファイル」ということになります。
ファイルのプロパティからでは機能の具体的な名称が分からないので調べづらいですが、「NTFS」「代替ストリーム」あたりをキーワードにweb検索すれば色々ヒットします。
詳細を見る
コマンド
dir /r
で簡単に見られます。
二行目のコロン「:」の後にくっついているのがソレです。
ここでは「Zone.Identifier」がくっついている、ということが分かります。が、DATAの中身が分かりませんので、今度はpowershell を使って中身を見ます。
こうすると色々見えてきます。
[ZoneTransfer]の
ZoneIdに3がセット
HostUrl にはダウンロード元のアドレスがセット
されていることが分かります。
Windowsファイルシステムなので
代替ストリームはxcopyによるコピーや、エクスプローラ上でのコピーによっても引き継がれます。
WSLでコピー(cp)した場合は引き継がれません。
どのファイルシステムが管理しているか、どのようにファイルが作成されたかによって代替ストリームが残るかどうかが決まってしまうので、重要な情報は基本的におけません。ちょっとした追加情報を残すことにとどめることになると思います。
追加できるデータについて
実は好き勝手に追加できます。
遊んでみようと思えば遊べるかと。
日本語も入れられます。一文字ごとに3バイト増えるようなので、内部的にはunicode? なのかな。
オマケ:AD環境について
最新のADは分かりませんが、以前確認したところ「ゾーン情報を削除する方法を非表示にする」というグループポリシーがありました。
AD配下のマシンでゾーン情報が出てこない場合はこれが有効になっているのかもしれません。
