Заметка Bypass Windows ZoneID

Мини-Теория​

Я думаю все видели данные Security варнинги

Так что же это такое ?

ZoneID в Windows - это атрибут, который присваивается файлам и потокам данных для определения их безопасности и источника. ZoneID указывает на зону безопасности, из которой был получен файл или поток данных. Этот атрибут используется операционной системой Windows для определения уровня доверия к файлу или данных и принятия соответствующих мер безопасности.

Пример работы ZoneID​

К примеру поднимем маленький питоновский веб-сервер на порту 8000 и создадим файл main.go

python3 -m http.server 8000

После чего скачиваем любой файл с нашего веб-сервера, сторонней машиной и проверяем ZoneID установленного файла

Get-Item -Path "path/to/file" -Stream *

И мы видим, что у нас успешно установился Stream : Zone.Identifier у которого ZoneID = 3, т.е 3 — Internet (Интернет)

Get-Content -Path .\main.go -Stream Zone.Identifier

Параметр ZoneID может принимать пять значений от 0 до 4.

• 0 — Local machine (Локальный компьютер)
• 1 — Local internet (Местная сеть)
• 2 — Trusted sites (Надежные сайты)
• 3 — Internet (Интернет)
• 4 — Restricted sites (Опасные сайты)

Структура потока также может меняться в зависимости от приложения, выполнявшего загрузку. В результате анализа было обнаружены следующие свойства:

• AppZoneId
• IP-адрес хоста
• URL-адрес хоста
• LastWriterPackageFamilyName
• ReferrerUrl
• ZoneID

Как же обойти этот ZoneID ? (Ответ оказался очень страным и простым)​

При установке файлов через Curl, Wget, Invoke-WebRequest эти инструменты не устанавливают метаданные, которые Windows использует для установки ZoneID