网络安全：使用.NET 检测网络下载文件及其来源

本文将介绍如何在 .NET 中判断一个文件是否是从网络下载文件，下载地址是哪里。Windows系统通过备用数据流（Alternate Data Streams, ADS）标记网络下载文件。当文件从Internet下载时，系统会自动创建名为Zone.Identifier的隐藏数据流，其中包含文件来源等安全信息。

1. 背景

当我们通过 Windows 下载文件时，系统会自动为这些文件添加一个特殊的标记，称为 Zone.Identifier。这个标记存储了文件的来源信息，例如下载地址和来源页面。针对这些网络来源的文件，在使用中会触发比如“此文件来自其他计算机，可能被阻止以帮助保护该计算机” 的安全警告提示。

文件属性

部分软件，如 Word 或我们开发人员常用的 Visual Studio，可能会在打开这些文件时都会检查这个标记，并在文件属性中显示相关信息，进行适当的安全提示。

安全提示

2. 如何去除提示

当然，为了去除这个标记，除了通过软件信任外，你也可以在属性中手动勾选点击“解除锁定”按钮，或者使用 PowerShell 命令 Unblock-File 来删除这个标记。

# 查看所有数据流
Get-Item-Path file.zip -Stream*

# 删除安全标记
Unblock-File-Path file.zip

3. 实现原理

3.1 关键数据流结构

Zone.Identifier数据流包含以下核心信息：

[ZoneTransfer]
ZoneId=3# 安全区域标识
ReferrerUrl=https://... # 来源页面URL
HostUrl=https://...     # 实际下载地址

3.2 ZoneId 安全区域含义

值	安全区域	说明
0	本地计算机	本地生成的文件
1	本地内联网	企业网络中的文件
2	受信任的站点	添加到信任列表的网站
3	Internet	网络下载文件（重点关注）
4	受限站点	被标记为危险的网站

4. 使用.NET 检测

以下是一个完整的 .NET 实现代码示例，用于检测文件是否来自网络下载，并读取其 Zone.Identifier 数据流。

4.1 完整实现代码

classProgram
{
  staticvoidMain()
  {
    string filePath =@"I:\tmp\chats-main.zip";

    string zoneIdentifierPath = filePath +":Zone.Identifier";

    if(File.Exists(zoneIdentifierPath))
    {
      string zoneInfo =File.ReadAllText(zoneIdentifierPath);
      Console.WriteLine("Zone Identifier content:");
      Console.WriteLine(zoneInfo);
    }
    else
    {
      Console.WriteLine("No Zone.Identifier stream found.");
    }
  }
}

4.2 关键特性说明

1.数据流访问方式•使用FileStream直接操作文件名:Zone.Identifier•常规文件API（如File.Exists()）无法检测ADS存在2.典型输出示例

[ZoneTransfer]
ZoneId=3
ReferrerUrl=https://github.com/
HostUrl=https://codeload.github.com/sdcb/chats/zip/main

4.3 进一步解析

可以使用下面简单的INI解析器进一步解析Zone.Identifier内容，提取下载来源和安全区域信息：

staticDictionary<string,Dictionary<string,string>>ParseIni(string iniContent)
{
  var data =newDictionary<string,Dictionary<string,string>>(StringComparer.OrdinalIgnoreCase);
  string currentSection ="";
  foreach(var line in iniContent.Split(new[] {'\r','\n'},StringSplitOptions.RemoveEmptyEntries))
  {
    var trimmed = line.Trim();
    if(trimmed.StartsWith(";")|| trimmed.StartsWith("#")|| trimmed =="")
       continue;
    if(trimmed.StartsWith("[")&& trimmed.EndsWith("]"))
    {
       currentSection = trimmed.Substring(1, trimmed.Length-2).Trim();
       if(!data.ContainsKey(currentSection))
          data[currentSection]=newDictionary<string,string>(StringComparer.OrdinalIgnoreCase);
    }
    else
    {
      int idx = trimmed.IndexOf('=');
      if(idx >0)
      {
         string key = trimmed.Substring(0, idx).Trim();
         string value = trimmed.Substring(idx +1).Trim();
         if(!data.ContainsKey(currentSection))
            data[currentSection]=newDictionary<string,string>(StringComparer.OrdinalIgnoreCase);
            data[currentSection][key]= value;
      }
    }
  }
  return data;
}

5. 实际应用场景

1.安全检测系统
自动扫描下载目录中的文件，识别高风险下载来源2.文件溯源工具
追踪用户获取的文件原始下载地址3.企业合规检查
验证外部分发文件是否通过安全渠道获取

6. 总结

此技术为文件安全分析提供了底层支持，可以帮助开发者和安全专家快速识别网络下载文件的来源。通过 .NET 的数据流访问功能，我们可以轻松地获取和解析 Zone.Identifier 数据流，从而实现对文件来源的有效监控和管理。在特殊的软件使用场景中，可以有效的识别打开的文件是否来自网络下载，并进行相应的安全处理。

引入地址