家studyをつづって

セキュリティ関係の会社で働きながら、日々勉強したことをつづっていきます。

ファイルのダウンロード元を記録するADS

ADSとは

Windows NTの標準ファイルシステムであるNTFS(NT File System)で管理するファイルやフォルダには、代替データストリーム(Alternate Data Stream、ADS)という、ファイルやフォルダの付加情報を記録する領域があります。

 

 

 

ADSには、セキュリティ管理のためにインターネットからダウンロードしたファイルに対して、ダウンロード元情報等を記載した「Zone.Identifier」という情報があります。
Zone.Identifierには、以下のような内容が含まれています。

  • HostIpAddress:ダウンロード元のホストIPアドレス
  • ZoneId:インターネットゾーン(3=インターネット)
  • ReferrerUrl:ダウンロードを開始したページのURL(HTTPリファラ)
  • HostUrl:ファイルのダウンロードURL

 

ADS(Zone.Identifier)の中身を見てみる

ADSは主にWindows OSが管理のために利用していますが、コマンドプロンプト等のアプリケーションからもアクセスすることが可能です。
アクセスする際の表記方法は以下のような形式です。

 

記載のイメージ

>C:\ファイル名:ADS名

 

インターネット上のサイトから画像ファイル(nasca_neko.png)をダウンロードしてきて、Zone.Identifierのを見てみます。

f:id:iestudy:20201023211305p:plain

ファイルのダウンロード


ダウンロードしてきた「nasca_neko.png」に対して、「more」コマンドでZone.Identifierの中身を表示させた結果が以下の図です。

f:id:iestudy:20201023211454p:plain

実行結果