检测到来自互联网并被CASPOL“阻塞”的DLL

Question

在代码中是否有一种方法可以检测是否因为DLL是从internet下载的而被阻止加载？我知道caspol.exe实用程序可以读取权限设置，但如果可能的话，我希望保留在代码中。

Answer 1

阻止的内容由NTFS替代数据流控制，可以使用名为流的命令行实用工具删除。这是维基百科在广告上的引用。

Microsoft引入了附件执行服务，该服务在附加到文件的备用数据流中存储有关下载文件来源的详细信息，以保护用户免受可能带来风险的下载文件的影响。

它跟踪文件的来源，因此如果它起源于互联网，它将应用不受信任的安全策略。删除流将删除文件来自不受信任源的记录。这与右键单击文件、查看属性和选择unblock具有相同的影响。这也与使用caspol使dll完全信任具有相同的影响。

下面创建一个与文件测试相关联的零字节流。

echo hello > test:stream

下面的codeproject项目有一些用于使用它们的示例代码。我相信你需要从非托管代码中删除它们。

访问NTFS卷上的文件流