Мой компьютер с Windows 10 имеет большое количество именованных альтернативных потоков данных NTFS, Win32App_1
прикрепленных к различным папкам на системном диске. Детектор потока NoVirusThanks обнаруживает их как $DATA
потоки нулевого размера .
Кто-нибудь знает, что могло создать эти потоки?
Автономное сканирование Защитника Windows не обнаруживает ничего нежелательного.
Я также вижу много Zone.Identifier
$DATA
потоков, хотя я уже знаю, что это просто потоки метаданных Windows для определения источника файла, который был загружен из Интернета. Я не беспокоюсь о них вообще.
Я сам установил Windows 10 на чистый диск, поэтому он не был добавлен производителем. Я не могу публиковать примеры, потому что я уже удалил потоки.
Обновление от 2017-04-18: Я только что снова проверил свою машину, и альтернативные потоки данных вернулись. Использование more < C:\path\to\alternate_data_stream:Win32App_1
показывает, что содержимое потока не имеет значения, что согласуется с результатами, полученными от Stream Detector от NoVirusThanks. Я настроил монитор процессов SysInternals для поиска процессов, которые создают / касаются этих альтернативных потоков данных, и обновлю этот вопрос, если я увижу что-либо в результате этого мониторинга.
Просто к вашему сведению, я уже провел множество исследований по этому вопросу. Мой первый контакт с альтернативными потоками данных был, когда NTFS была впервые анонсирована в начале 90-х годов. Меня не очень беспокоит собственно сама ADS, поскольку все они нулевого размера, но в большей или меньшей степени это потенциально «канарейка в шахте» для некоторых вредоносных программ.
Я запустил утилиту командной строки с открытым исходным кодом, которая идентифицирует и при необходимости удаляет альтернативные потоки данных NTFS. Проект размещается на gitHub на тот случай, если кто-то посчитает его полезным.
По состоянию на 10 мая я смог заметить, что на других машинах с Windows 10, не принадлежащих мне или не затронутых мной, альтернативные потоки данных с именем Win32App_1 подключены к различным папкам на системном диске. Похоже, они связаны с самой Windows 10. Я ожидаю, что они используются в каком-то процессе каталогизации.