Έχετε ξεχασμένα αρχεία στον υπολογιστή σας που δεν θυμάστε από που τα κατεβάσατε; Ακόμα και το όνομά τους δεν σας λέει τίποτα; Δείτε τρείς τρόπους για να ανακαλύψετε την πηγή τους.
Μπορεί να έχετε κατεβάσει ένα αρχείο πριν από μήνες, ακόμα και χρόνια και δεν θυμάστε από που το έχετε κατεβάσει. Μπορείτε να το βρείτε διαβάζοντας απλά τα Alternate Data Streams του αρχείου.
Ενημερωτικά, όταν κάνετε λήψη ενός αρχείου και το αποθηκεύετε σε ένα τόμο NTFS, οι πληροφορίες για το αρχείο αποθηκεύονται στο NTFS alternate data streams (ADS).
To alternate data streams περιέχει τα ZoneID, HostUrl, και ReferrerUrl.
Table of Contents
Τι είναι το Alternate Data Streams
Το Alternate Data Streams (ADS) είναι ένα χαρακτηριστικό ενός αρχείου (file attribute) που βρίσκεται μόνο στο σύστημα αρχείων NTFS.
Στο NTFS σύστημα, ένα αρχείο όταν δημιουργείται περιέχει και μερικά χαρακτηριστικά, που ένα από αυτά είναι το $Data, ή αλλιώς data attribute. Περιέχει απλά ένα κείμενο μέσα στο αρχείο.
Κανονικά αυτα τα data streams είναι άδεια (“”). Οτιδήποτε γράφεται εκεί μέσα θεωρείται εναλλακτική πληροφορία.
Αυτές οι πληροφορίες δεδομένων έχουν κακή φήμη αφού έχουν χρησιμοποιηθεί για να γράψουν κρυφά δεδομένα. Οποιαδήποτε απόκλιση των δεδομένων που δεν σχετίζονται με το από πού προήλθε ένα αρχείο, θεωρείται κακόβουλο λογισμικό (π.χ. Backdoor.Rustock.A)
Προσδιορίστε αν υπάρχουν ADS
Οι πληροφορίες για τα ADS θα είναι άθικτες εκτός αν χρησιμοποιήσετε την επιλογή “unblock” στις ιδιότητες αρχείου ή αν το μετακινήσετε σε ένα σύστημα FAT32.
Για να δείτε αν υπάρχουν πληροφορίες ανοίξτε την Γραμμή Εντολών και μεταβείτε στο φάκελο που περιέχει το αρχείο που ενδιαφέρεστε. Εκεί τρέξτε την εντολή:
dir /r
Εάν η λίστα καταλόγου εμφανίζει το Zone.Identifier:$DATA σε ένα αρχείο, αυτό σημαίνει ότι το ZoneID για αυτό το αρχείο είναι άθικτο.
Αν το δείτε να έχει μέγεθος μόνο 50 bytes τότε ουσιαστικά δεν περιέχει σημαντικές πληροφορίες. Αν έχει μεγαλύτερο μέγεθος τότε ότι θέλετε να μάθετε είναι εκεί μέσα!.
Για να διαβάσετε τα πεδία ZoneID, HostUrl, και ReferrerUrl σε αυτό το αρχείο, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους.
Χρήση του σημειωματαρίου
Στο παράδειγμά μας για να διαβάσετε το Zone ID για το αρχείο “03_ACCESSIBILITY_22.pdf”, γράψτε τα εξής:
notepad 03_ACCESSIBILITY_22.pdf:Zone.Identifier
Εκεί θα δείτε τα ZoneId, ReferrerUrl, και HostUrl.
Λάβετε υπόψη σας ότι και στις τρεις λύσεις, αν το όνομα του αρχείου έχει κενά τότε θα πρέπει να βάλετε αποσιωποιητικά σε αυτό, όπως για παράδειγμα :
notepad "MOBILE INTERACTION DESIGN.pdf:Zone.Identifier"
Χρήση της εντολής more
Στην Γραμμή Εντολών γράψτε την εξής εντολή:
more < 03_ACCESSIBILITY_22.pdf:Zone.Identifier
Η παραπάνω εντολή εμφανίζει τις απαιτούμενες πληροφορίες στην ίδια την οθόνη της κονσόλας.
Χρήση του PowerShell
Μπορείτε επίσης να δείτε τις πληροφορίες του ZoneID με το PowerShell.
Μεταβείτε στον κατάλογο που περιέχει το αρχείο και, στη συνέχεια, εκτελέστε:
get-content -path "03_ACCESSIBILITY_22.pdf" -stream zone.identifier
Η τιμή “ZoneID” μπορεί να είναι 2, 3 ή 4. Η ζώνη του Internet (διαδικτύου) είναι “2”, η ζώνη Intranet (εσωτερικό δίκτυο) είναι “3”, και οι περιορισμένες ιστοσελίδες (Restricted sites) είναι 4.
Το “HostUrl” είναι η απευθείας λήψη από το σημείο όπου κατέβηκε το αρχείο.
Το “ReferrerUrl” είναι η σελίδα παραπομπής (referrer page) από όπου κάνατε κλικ στο σύνδεσμο λήψης.
