WinRAR 在 7.10 版中修改了安全策略,默认情况下 WinRAR 向文件添加的数据仅包含安全值,这个安全值可以继续利用 MoTW 机制弹出安全提醒,但不再支持通过安全值分析具体的下载地址。
MoTW 是微软开发的安全机制,当通过网络下载可执行文件或压缩等格式的文件时,文件会被自动标记来源于网络,当用户打开该文件时系统会弹出警告提醒用户注意安全。该安全机制实际上还会记录文件下载的地址,例如当文件通过 landiannews.com 下载,则 Zone.Identifier 替代数据流会被添加到文件中。
这个替代数据流可以被 Windows NT 检测到并用来弹出警告,在 WinRAR 中,即便攻击者将恶意文件通过 WinRAR 打包分享,在执行解压时 WinRAR 也会将来源地址的替代数据流添加到文件中,从而在用户打开时依然弹出警告。
但这里也存在潜在的隐私问题,例如当你从某个私有地址下载文件并分享给其他人,则其他人可以通过替代数据流找出真实地址,这里包含的包括文件的 Zone ID、文件的 URL、引用文件的 URL、在某些情况下还会显示下载文件的主机的 IP 地址。
这其实就是一个选项的问题,如果用户仍然希望分享完整的替代数据流,可以在 WinRAR 7.10 设置、安全选项里将 “仅区域值” 取消勾选,反之,默认的设置是勾选仅安全值,因此会删除包含隐私的内容。