Альтернативный поток данных "Win32App_1" подключен к большому количеству папок
Мой компьютер с Windows 10 имеет большое количество альтернативных потоков данных NTFS с именем Win32App_1 прикреплен к различным папкам по всему системному диску. Детектор потока NoVirusThanks обнаруживает, что они имеют нулевой размер $DATA потоки.
Кто-нибудь знает, что могло создать эти потоки?
Автономное сканирование Защитника Windows не обнаруживает ничего нежелательного.
Я также вижу много Zone.Identifier$DATA потоки, хотя я уже знаю, что это просто потоки метаданных Windows для определения источника файла, который был загружен из Интернета. Я не беспокоюсь о них вообще.
Я сам установил Windows 10 на чистый диск, поэтому он не был добавлен производителем. Я не могу публиковать примеры, потому что я уже удалил потоки.
Обновление от 2017-04-18: Я только что снова проверил свою машину, и альтернативные потоки данных вернулись. С помощью more < C:\path\to\alternate_data_stream:Win32App_1 показывает, что содержимое потока является ничем, в соответствии с результатами, полученными от Stream Detector от NoVirusThanks. Я настроил монитор процессов SysInternals для поиска процессов, которые создают / касаются этих альтернативных потоков данных, и обновлю этот вопрос, если я увижу что-либо в результате этого мониторинга.
Просто к вашему сведению, я уже провел множество исследований по этому вопросу. Мой первый контакт с альтернативными потоками данных был, когда NTFS была впервые анонсирована в начале 90-х годов. Меня не очень беспокоит собственно ADS, поскольку все они имеют нулевой размер, но в большей или меньшей степени это потенциально "канарейка в шахте" для некоторых вредоносных программ.
Я запустил утилиту командной строки с открытым исходным кодом, которая идентифицирует и при необходимости удаляет альтернативные потоки данных NTFS. Проект размещается на gitHub на тот случай, если кто-то посчитает его полезным.
По состоянию на 10 мая я смог заметить, что на других машинах с Windows 10, не принадлежащих мне или не затронутых мной, альтернативные потоки данных с именем Win32App_1 подключены к различным папкам на системном диске. Похоже, они связаны с самой Windows 10. Я ожидаю, что они используются в каком-то процессе каталогизации.
2 ответа
Win32App_1 Альтернативный поток данных создается службой "Служба хранения", которая является частью операционной системы Windows. Версии службы до Windows 10 не создают эти потоки.
Если вы используете средство просмотра Portable-Executable, такое как dumpbin.exe инструмент, доступный в Visual Studio 2017, для просмотра разделов ресурсов %SystemRoot%\System32\StorSvc.dllВы можете увидеть Win32App_1, на который ссылаются несколько раз.
Я запустил Sysinternals Process Monitor около недели, чтобы определить, какой процесс создавал альтернативные потоки данных Win32App_1. Показало SvcHost.exe с командной строкой -k LocalSystemNetworkRestricted -s StorSvc как процесс создания потоков. Служба хранилища, по-видимому, используется апплетом "Хранилище" в приложении "Настройки".
Я использовал следующее для проверки параметров службы хранилища / хранилища в качестве источника потоков:
- Я использовал свое приложение ADSIdentifier для идентификации и удаления всех потоков с именем Win32App_1:
командная строка:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r - Я остановил и перезапустил службу "Служба хранения".
net stop "storage service"net start "storage service" - После запуска службы я открыл приложение "Настройки", зашел в раздел "Хранилище", щелкнул по системному диску (C:), чтобы отобразить сведения "Использование хранилища" для диска.
- Перезапустил ADSIdentifier и увидел, что потоки были воссозданы. командная строка:
ADSIdentifier /folder:C:\ /pattern:Win32App_1
Основное правило вычислений: пустой файл или поток сам по себе не может представлять угрозу.
Однако возможно, что приложение (доброжелательное или злонамеренное) присваивает смысл простому существованию пустого файла или альтернативного потока, например, сигнала на файл. Опыт подсказывает мне, что это редко.
В этом случае я бы пошел на практический ответ: составьте полный список файлов, имеющих эти потоки, удалите эти потоки, а затем в течение нескольких дней будьте бдительны, чтобы выяснить, что их создает. Очень возможно, что они не воссозданы. Если вы столкнулись с аномалией в результате потери этих потоков, восстановите их, используя ваш список.