Wer kennt das nicht: Es wurde eine Datei aus dem Netz geladen, und beim Starten bringt Windows eine Sicherheitswarnung das die Datei über keine digitale Signatur verfügt. Das liegt daran, dass der Datei nach dem Herunterladen vom Browser ein alternativer Datenstrom (Alternate Datastream, ADS) angefügt wird. Dies ist eine Möglichkeit vom NTFS-Dateisystem, um der Datei zusätzliche "versteckte" Daten mitzugeben. Diese enthalten in diesem Fall einen sog. "Zone Identifier" der mitteilt, aus welcher Quelle die Datei stammt.

(Der Herausgeber konnte nicht verifiziert werden. Möchten Sie diese Software ausführen?)

Zone Identifier auslesen

Der Zone Identifier einer Datei kann folgendermaßen ausgelesen werden:

notepad dateiname:Zone.Identifier

In diesem Fall erfahren wir, dass die Datei den Zone.Identifier "3" erhalten hat, welche besagt das die Datei aus dem Internet stammt. Insgesamt gibt es 6 dieser Werte:

NoZone = -1,
MyComputer = 0,
Intranet = 1,
Trusted = 2,
Internet = 3,
Untrusted = 4,

Unter Windows 7, aber NICHT unter XP kann der alternative Datenstrom auch mit dem DIR-Kommando ausgelesen werden:

dir /r DATEINAME

Um die Datei nun für Windows vertrauenswürdig zu machen, reicht es aus diesen Identifier zu entfernen. Dazu gibt es mehrere Wege:

NTFS-Stream entfernen

Möglichkeit 1: Datei auf Laufwerk mit anderem Dateisystem kopieren:

Die Datei auf ein z.B. FAT-formatiertes Laufwerk kopieren (etwa einen USB-Stick), damit werden die Datastreams gelöscht, da das FAT-Dateisystem diese Streams nicht unterstützt. Danach kann die Datei wieder vom Stick geholt werden.

Möglichkeit 2: Über die Kommandozeile:

type datei.exe > datei.bak
del datei.exe
ren datei.bak datei.exe

Möglichkeit 3: Mit dem Tool "Streams" von Sysinternals:

streams -d -s datei.exe