Alternatywny strumień danych „Win32App_1” dołączony do dużej liczby folderów

6

Mój komputer z systemem Windows 10 ma dużą liczbę alternatywnych strumieni danych NTFS o nazwie Win32App_1dołączonych do różnych folderów na dysku systemowym. Detektor strumienia NoVirusThanks wykrywa je jako $DATAstrumienie o zerowym rozmiarze .

Czy ktoś wie, co mogło stworzyć te strumienie?

Skanowanie offline Windows Defender wykrywa nic niechcianego.

Widzę również wiele Zone.Identifier $DATAstrumieni, chociaż już wiem, że są to po prostu strumienie metadanych systemu Windows do identyfikowania źródła pliku pobranego z Internetu. W ogóle się nimi nie przejmuję.

Sam system Windows 10 zainstalowałem na czystym dysku, więc nie został dodany przez producenta. Nie mogę publikować przykładów, ponieważ już usunąłem strumienie.

Aktualizacja na dzień 18.04.2017: Właśnie przeskanowałem ponownie komputer i wróciły alternatywne strumienie danych. Użycie more < C:\path\to\alternate_data_stream:Win32App_1pokazuje zawartość strumienia jako nic, co jest zgodne z wynikami zgłaszanymi przez wykrywacz strumienia NoVirusThanks. Skonfigurowałem Monitor Procesów SysInternals, aby szukał procesów tworzących / dotykających tych alternatywnych strumieni danych, i zaktualizuję to pytanie, jeśli zobaczę cokolwiek w wyniku tego monitorowania.

Tylko do Twojej wiadomości, już przeprowadziłem wiele badań w tym zakresie. Mój pierwszy kontakt z alternatywnymi strumieniami danych miał miejsce, kiedy NTFS został ogłoszony na początku lat 90-tych. Nie martwię się tak naprawdę o same ADS, ponieważ wszystkie mają rozmiar zero, ale mniej więcej jest to potencjalnie „kanarek w kopalni węgla” dla niektórych złośliwych programów.

Uruchomiłem narzędzie wiersza polecenia typu open source, które identyfikuje i opcjonalnie usuwa alternatywne strumienie danych NTFS. Projekt jest hostowany na gitHub na wypadek, gdyby ktoś uznał go za przydatny.

10 maja zauważyłem, że na innych komputerach z systemem Windows 10, które nie są własnością ani nie zostały przeze mnie dotknięte, alternatywne strumienie danych o nazwie Win32App_1 są dołączone do różnych folderów na dysku systemowym. Wydają się być związane z samym systemem Windows 10. Oczekuję, że są one wykorzystywane w procesie katalogowania.

Max Vernon
źródło
Możesz przeczytać ten artykuł: blogs.technet.microsoft.com/askcore/2013/03/24/...
Hefewe1zen

Odpowiedzi:

5

Alternatywny strumień danych Win32App_1 jest tworzony przez usługę „Storage Service”, która jest częścią systemu operacyjnego Windows. Wersje usługi wcześniejsze niż Windows 10 nie wydają się tworzyć tych strumieni.

Jeśli używasz przeglądarki Portable-Executable Viewer, takiej jak dumpbin.exenarzędzie dostępne w Visual Studio 2017, do przeglądania sekcji zasobów %SystemRoot%\System32\StorSvc.dll, możesz zobaczyć kilka razy odwołania do Win32App_1.

Uruchomiłem Sysinternals Process Monitor przez około tydzień, aby ustalić, który proces tworzył alternatywne strumienie danych Win32App_1. Pokazał się SvcHost.exeza pomocą wiersza polecenia -k LocalSystemNetworkRestricted -s StorSvcjako proces tworzenia strumieni. Usługa przechowywania wydaje się być używana przez aplet „Pamięć” w aplikacji „Ustawienia” .

Użyłem następujących do zweryfikowania ustawień usługi magazynowania / przechowywania jako źródła strumieni:

  1. Użyłem mojej aplikacji ADSIdentifier do zidentyfikowania i usunięcia wszystkich strumieni o nazwie Win32App_1:
    wiersz poleceń:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. Zatrzymałem i ponownie uruchomiłem usługę „Storage Service”.
    net stop "storage service"
    net start "storage service"
  3. Po uruchomieniu usługi otworzyłem aplikację „Ustawienia”, przeszedłem do sekcji „Pamięć”, kliknąłem dysk systemowy (C :), aby wyświetlić szczegóły „Wykorzystanie miejsca na dysku”.
  4. Uruchom ponownie ADSIdentifier i zobaczyłem, że strumienie zostały odtworzone. wiersz poleceń:ADSIdentifier /folder:C:\ /pattern:Win32App_1
Max Vernon
źródło
2

Podstawową zasadą obliczeń jest: sam plik lub strumień sam w sobie nie może stanowić zagrożenia.

Możliwe jest jednak, że aplikacja (życzliwa lub złowroga) przypisuje sens samemu istnieniu pustego pliku lub strumienia alternatywnego, jak sygnał na plik. Doświadczenie mówi mi, że jest to rzadkie.

W takim przypadku wybrałbym praktyczną odpowiedź: Zrób pełną listę plików, które mają te strumienie, usuń te strumienie, a następnie bądź czujny przez kilka dni, aby dowiedzieć się, co je tworzy. Bardzo możliwe, że nie zostaną one odtworzone. Jeśli napotkasz anomalię w wyniku utraty tych strumieni, przywróć je za pomocą swojej listy.


źródło