Tuesday, July 25th, 2017

Дело о таинственных файлах на рабочем столе

Published on Март 4, 2009 by   ·   Комментариев нет

Несколько недель назад моя жена сказала мне, что иногда в папке Desktop ее компьютера появлялись файлы, которые не отображались на самом рабочем столе. Она заговорила об этом не только потому, что была удивлена несоответствием, но так как она хотела переместить некоторые из этих таинственных файлов в другие папки. Откровенно говоря, я не понял, о чем она говорит, хотя для меня это совершенно неудивительно, поэтому я сказал ей, чтобы когда она в следующий раз увидит эти таинственные файлы, она позвала меня.

Несколько дней спустя я вернулся домой с работы и моя жена встретила меня у дверей, объяснив, что проблема снова повторилась, и она оставила окно открытым, чтобы показать мне эти таинственные файлы. Я с предвкушением подошел к компьютеру и изучил ситуацию. На компьютере было открыто окно IE, развернутое на весь экран, с большим количеством открытых вкладок с открытыми письмами. На переднем плане было открыто диалоговое окно IE «Открыть файл», в котором отображался список файлов в папке Desktop, возникающее при щелчке по кнопке «Присоединить файл». Диалоговое окно выглядело следующим образом:

Очень много файлов на рабочем столе

Я свернул окно IE, чтобы увидеть сам рабочий стол, который находился на фоне, и убедился, что несколько файлов, которые присутствовали в диалоговом окне, в частности, папка Maui Feb. 08 и JPG-файлы CIMG13xx, отсутствовали. Я открыл окно Windows , чтобы зайти в папку Desktop, чтобы посмотреть, будут ли видны эти файлы в проводнике, но там также ничего не было:

Очень много файлов на рабочем столе

Раньше я никогда с таким не сталкивался. Я знал, что это работа для Process Monitor. Так как на компьютере моей жены инструментов Sysinternals не установлено (грустно, но правда), я запустил их прямо из сети, используя адрес Sysinternals Live — live.sysinternals.com\tools\procmon.exe. С помощью функции Process Monitor записывающей активность я закрыл и снова открыл диалоговое окно выбора файлов в редакторе почты и начал искать CIMG — набор имен файлов, многие из которые отображались в диалоговом окне выбора файлов, но не в Windows Explorer. Первое совпадение произошло при перечислении операций с папками, содержащих такие имена файлов, которые показываются в самой правой Details:

Очень много файлов на рабочем столе

Файлы находились в профиле пользователя в папке Appdata\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Daryl\Desktop. Папка Virtualized создается IE7 при запуске в защищенном режиме (Protected Mode, PMIE), который является стандартным в Windows Vista и Windows Server 2008. PMIE использует уровни целостности, представленные в Vista и Server 2008, для ограничения записей реестра и местоположений на диске, которые может модифицировать код, запущенный в IE. Как я уже описывал в более ранней статье, изолированная программная среда определяется местоположением, имеющим значение Low Integrity, уровнем на котором запускается PMIE, и определяет, какие объекты может изменять PMIE, что позволяет сохранять избранные ссылки и временные файлы как кэш IE и историю браузера. Однако, PMIE не может изменять другие папки в пользовательском профиле, такие как папки документов, ветки реестра и папки диска с указанием автоматически загружаемых программ для каждого пользователя, так как они имеют уровень целостности Medium. Это препятствует распространению так называемого drive-by-download вредоносного ПО, которое может заразить процесс IE благодаря постоянному присутствию в системе.

Чтобы сохранить обратную совместимость с унаследованным кодом, таким как элементы управления ActiveX и Browser Helper Objects, которые могут быть написаны с необходимостью создания файлов вне изолированной среды, PMIE создает компенсационный слой, который перехватывает операции с реестром и диском и перенаправляет операции, требующие доступ за пределы изолированной среды в виртуализированную папку.

Чтобы удостоверится в том, что произошло именно это, я изучил представленный выше стек трассировки виртуализированных операций, нажав правой кнопкой на строчке и выбрав элемент Stack. Выяснилось что библиотека Acredir.dll перехватывала операции и запускала функцию переадресации:

Очень много файлов на рабочем столе

Двойной щелчок на строке в трассировке стека открыл диалоговое окно свойств модуля, в котором было написано, что DLL является «Windows Compatibility DLL», таким образом, доказывая, что это часть реализации PMIE:

Очень много файлов на рабочем столе

Я уже был знаком с виртуализацией PMIE, но никогда не видел виртуализированные файлы на компьютере, поэтому для меня не было очевидного ответа, что стало причиной такого несоответствия. Process Monitor показал причину, поэтому все, что мне оставалось сделать — удалить виртуализированные файлы. Большинство пользователей не знают, что могут перемещать и удалять файлы из диалогового окна выбора файлов, поэтому я использовал возможность показать своей жене, что она может управлять виртуализированными файлами из диалогового окна редактора почты при выборе файлов, если она вдруг столкнется с данной проблемой в будущем. Мы удалили файлы, которые ей были не нужны, и переместили нужные файлы в ее папки фотографий.

Дело было закрыто. Моя жена была поражена той легкости, с которой мне удалось обнаружить причину появления таинственных файлов. Однако, она еще больше удивилась, узнав, что именно я написал программу для решения этой проблемы. В связи с появлением проблемы моя жена, сама того не желая, изучила виртуализацию PMIE и уровни целостности.

Между прочим, скорее всего вы увидите файлы и папки, если загляните в виртуализированную папку PMIE в вашем профиле, так как даже самые рутинные операции в IE приводят к переадресации. Здесь вы можете увидеть файлы кэша эскизов, которые создает диалоговое окно оболочки для просмотра файлов в IE. Обычно оболочка хранит файлы кэша эскизов в вашем профиле, но PMIE не имеет туда доступа, поэтому все они виртуализируются.
Источник: http://blogs.technet.com/mark_russinovich



Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]