Als je een bestand met Internet Explorer download, slaat deze zone informatie op in een ADS (Alternate Data Stream).
Voorheen kon je ADS alleen bekijken met speciale tooltjes, vanaf Windows 8 / 2012 is dat ook mogelijk met Powershell.
Hieronder zie je dat in de map c:\test een viertal bestanden staan, twee daarvan zijn gedownload en twee ervan zijn zelf gemaakt. Met dit of get-item kun je niet zien welke gedownload zijn en welke niet. Dat komt omdat deze informatie in een ADS zit opgeslagen.
Je kunt met het volgende commando achterhalen welke bestanden gedownload zijn:
Get-Item -Path * -Stream * | where {$_.Stream -eq "Zone.Identifier"} | ft filename,stream,length -a
Je kunt daarna achterhalen met welk ZoneId het bestand is gedownload:
Get-Content -Path .\download1.zip -Stream Zone.Identifier
Hieronder kun je zien dat ZoneId =3 betekent dat het bestand van Internet afkomstig is:
Value Setting
------------------------------
0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone
------------------------------
0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone
Het is overigens mogelijk om bestanden in een ADS te zetten van een ander bestand.
Hieronder zie je dat ik het programma notepad.exe in de ADS van bestand lokaalgemaakt1.txt plaats:
Met powershell kun je de stream bekijken:
Get-Item -Path * -Stream * | ft filename,stream,length -a
Waarbij het vroeger mogelijk was om met commando “start bestandsnaam:adsbestand” het programma te openen is dat in Windows 8 iig niet meer mogelijk:
Je kunt de ADS weghalen door onderstaande commando’s uit te voeren:
C:\Test>type lokaalgemaakt1.txt > lokaalgemaakt1.bak
C:\Test>del lokaalgemaakt1.txt
C:\Test>ren lokaalgemaakt1.bak lokaalgemaakt1.txt
Als je daarna weer in PS naar de streams bekijkt zie je dat deze verdwenen is:
Get-Item -Path * -Stream * | ft filename,stream,length -a
Geen opmerkingen:
Een reactie posten