Альтернативний потік даних “Win32App_1” додається до великої кількості папок

Моя машина Windows 10 має велику кількість альтернативних потоків даних NTFS, названих Win32App_1прикріпленими до різних папок на всьому системному диску. Детектор потоку NoVirusThanks виявляє їх як $DATAпотоки нульового розміру .

Хтось знає, що, можливо, створило ці потоки?

Офлайн-сканування Windows Defender не виявляє нічого небажаного.

Я також бачу багато Zone.Identifier $DATAпотоків, хоча я вже знаю, що це просто потоки метаданих Windows для визначення джерела файлу, завантаженого з Інтернету. Я їх взагалі не хвилюю.

Я сам встановив Windows 10 на порожній диск, тому виробник їх не додав. Я не можу публікувати приклади, оскільки потоки вже видалено.

Оновлення станом на 2017-04-18: Я щойно знову сканував свою машину, і альтернативні потоки даних повернулися назад. Використання more < C:\path\to\alternate_data_stream:Win32App_1показує, що вміст потоку є нічим, що відповідає результатам, про які повідомляв детектор потоку NoVirusThanks. У мене є програма моніторингу процесів SysInternals, щоб шукати процеси, які створюють / торкаються цих альтернативних потоків даних, і оновлю це питання, якщо я бачу щось в результаті цього моніторингу.

Просто FYI, я вже зробив цілий ряд досліджень цього. Мій перший контакт з альтернативними потоками даних був тоді, коли вперше було оголошено про NTFS на початку 90-х. Я не так сильно стурбований власне ADS, оскільки всі вони мають нульовий розмір, але більш-менш це потенційно є "канаркою у вугільній шахті" для деяких шкідливих програм.

Я запустив утиліту командного рядка з відкритим кодом, яка ідентифікує та необов'язково видаляє альтернативні потоки даних NTFS. Проект розміщується в gitHub, якщо хтось вважає його корисним.

Станом на 10 травня я міг помітити, що інші машини Windows 10, які не належать мені чи не торкаються мене, мають альтернативні потоки даних під назвою Win32App_1, додані до різних папок на всьому системному диску. Здається, вони пов’язані з самим Windows 10. Я сподіваюся, що вони використовуються в якомусь процесі каталогізації.

Альтернативний потік даних Win32App_1 створюється службою "Зберігання", яка є частиною Операційної системи Windows. Версії служби до Windows 10 не створюють цих потоків.

Якщо ви використовуєте переглядач портативних файлів, наприклад dumpbin.exeінструмент, доступний у Visual Studio 2017, для перегляду розділів ресурсів %SystemRoot%\System32\StorSvc.dll, ви можете побачити Win32App_1, на який посилалося кілька разів.

Я керував монітором процесів Sysinternals близько тижня, щоб визначити, який процес створював альтернативні потоки даних Win32App_1. Він показав SvcHost.exeкомандний рядок -k LocalSystemNetworkRestricted -s StorSvcяк процес створення потоків. Схоже, послуга зберігання використовується аплетом "Зберігання" в додатку "Налаштування" .

Я використовував наступне для перевірки параметрів служби зберігання / зберігання в якості джерела потоків:

1. Я використовував додаток ADSIdentifier для виявлення та видалення всіх потоків під назвою Win32App_1:
   командний рядок:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
2. Я зупинив і перезапустив послугу "Зберігання".
   net stop "storage service"
net start "storage service"
3. Після запуску послуги я відкрив додаток "Налаштування", зайшов у розділ "Зберігання", натиснув на свій системний диск (C :), щоб відобразити деталі "Використання сховища" для накопичувача.
4. Повторно запустив ADSIdentifier і побачив, що потоки були відтворені. командний рядок:ADSIdentifier /folder:C:\ /pattern:Win32App_1

Основне правило обчислень: Порожній файл або потік сам по собі не може становити загрозу.

Однак можливо, що додаток (доброзичливий або зловмисний) призначає значення простому існуванню порожнього файлу або альтернативного потоку, як сигнал на файл. Досвід підказує мені, що це рідко.

У цьому випадку я б хотів отримати практичну відповідь: Створіть повний список файлів, у яких є ці потоки, видаліть ці потоки та потім будьте пильні протягом декількох днів, щоб дізнатися, що їх створює. Цілком можливо, що вони не створені заново. Якщо ви зіткнулися з аномалією внаслідок втрати цих потоків, відновіть їх за допомогою свого списку.