setodaNote

忘れる用のメモ書き for Cybersecurity

Windows 10 における Zone Identifier の挙動:Web ブラウザによって異なる記録内容

🦉フォレンジック 📚調べてみた

背景

TLを眺めていたら以下の記事を見かけた。 Zone Identifier に記録される内容が Web ブラウザによって異なるというもの。 とっても面白かったので手元の環境でも試してみた。

thinkdfir.com

(参考)Zone Identifierとは

記事の内容をなぞって検証してみる

検証環境

検証した環境は以下の通り。特にバージョンを合わせることまではしなかった。Windows7 の IE が 8 なのはご愛嬌。

Windows 10 Enterprise 1809             Windows 7 Enterprise SP1
 Chrome  : 69.0.3497.81                 Chrome  : 68.0.3440.106
 Firefox : 62.0                         Firefox : 62.0
 IE      : 11.1.17751.0                 IE      : 8.0.7601.17514
Download File
 Site URL:https://www.google.com/doodles/mid-autumn-festival-2015-japan
 Image URL:https://www.google.com/logos/doodles/2015/mid-autumn-festival-2015-japan-5731387940274176-hp2x.jpg

ダウンロードしたファイルの Zone Identifier を確認

それぞれのブラウザを使って Google から適当な画像ファイルをダウンロードし dir /r で Zone Identifier の有無を確認してみる。

Windows10 環境

IE 以外はすべて Zone Identifier が付与されていた。サイズに注目すると大きさが異なるのが分かる。

f:id:soji256:20180906203533p:plain
ZoneID が保存されていることの確認(Windows10 環境)

Zone Identifier 内容を確認してみると、記事で書かれていた通り、Chrome でダウンロードしたファイルには ZoneId に加えて ReferrerUrl と HostUrl が、Edge でダウンロードしたファイルには ZoneId に加えて LastWriterPackageFamilyName が、Firefox でダウンロードしたファイルには ZoneId のみが記録されていた。

f:id:soji256:20180906205101p:plain
Zone Identifier の内容(Windows10 環境)

Windows7 環境

IE 以外はすべて Zone Identifier が付与されていた。サイズに注目すると大きさが同じなのが分かる。

f:id:soji256:20180906204025p:plain
ZoneID が保存されていることの確認(Windows7 環境)

Zone Identifier 内容を確認してみると、Windows10 とは異なり、すべて ZoneId のみが記録されていた。

f:id:soji256:20180906204917p:plain
Zone Identifier の内容(Windows7 環境)

ダウンロード元サイトを変更するとどうなるのか

Chrome の場合に記録されている ReferrerUrl がダウンロード元サイトを変えることで変わるのか確認してみた。 画像URLをブラウザ表示した後、右クリックメニューから画像を保存してみたところ、ReferrerUrl が画像URLに変わった。 ダウンロード元サイトによって値は変化している様子。

f:id:soji256:20180906224924p:plain
ダウンロード元サイトを変更すると ReferrerUrl も変化する

ZIP ファイルの場合はどうなるのか

ダウンロードした ZIP ファイルに Zone Identifier が付与されている場合、 展開したファイルすべてにも Zone Identifier が引き継がれる(7-zip などツールで展開した場合は消去するものもある)。 ブラウザでダウンロードしたファイルに付与されている Zone Identifier の内容がすべて引き継がれるのかも確認してみた。

Chrome で Sysinternals をダウンロードしてみた。Zone Identifier の内容を確認したところ下記の通り記録されていた。

f:id:soji256:20180906212531p:plain
Sysinternals Suite の Zone Identifier の確認

この ZIP ファイルを右クリックメニューの「すべて展開」から展開し、その Zone Identifier を確認してみる。 すると ZoneId は継承されていた一方、予想外に ReferrerUrl が ZIP のファイルパスに変更されていた。

f:id:soji256:20180906212823p:plain
ZIP 内のファイルを展開したときの Zone Identifier

いくつか実験をしてみたところ、どのブラウザでダウンロードしたかによらず、 ZoneId の継承と ReferrerUrl としてアーカイバのファイルパスが付与されるようだった。 Windows10 のアーカイブ展開処理の仕様なのかも。 ZoneId を継承する解凍ツールでどうなるかちょっと気になったが、今回は試さなかった。

まとめと感想

Zone Identifier 付与の挙動が Windows 7 と windows 10 では異なっていた。 Windows 10 の場合はソフトウェアによって記録内容が異なる様子。 ZoneId が付与されるとう点は共通しているが、その他の内容についてはソフトウェアによって異なっていた。

Windows 10 にはまだまだ面白い仕組み(Windows 7 と微妙に違うとこ)が沢山ありそう。

関連記事

soji256.hatenablog.jp

更新履歴

  • 2019/03/21 見出しレベルを修正。
  • 2020/03/02 見出しレベルを修正。
  • 2020/03/19 表記を一部修正。
  • 2021/02/15 関連記事を追加。