Альтернативный поток данных «Win32App_1», прикрепленный к большому количеству папок


6

Мой компьютер с Windows 10 имеет большое количество именованных альтернативных потоков данных NTFS, Win32App_1прикрепленных к различным папкам на системном диске. Детектор потока NoVirusThanks обнаруживает их как $DATAпотоки нулевого размера .

Кто-нибудь знает, что могло создать эти потоки?

Автономное сканирование Защитника Windows не обнаруживает ничего нежелательного.

Я также вижу много Zone.Identifier $DATAпотоков, хотя я уже знаю, что это просто потоки метаданных Windows для определения источника файла, который был загружен из Интернета. Я не беспокоюсь о них вообще.

Я сам установил Windows 10 на чистый диск, поэтому он не был добавлен производителем. Я не могу публиковать примеры, потому что я уже удалил потоки.

Обновление от 2017-04-18: Я только что снова проверил свою машину, и альтернативные потоки данных вернулись. Использование more < C:\path\to\alternate_data_stream:Win32App_1показывает, что содержимое потока не имеет значения, что согласуется с результатами, полученными от Stream Detector от NoVirusThanks. Я настроил монитор процессов SysInternals для поиска процессов, которые создают / касаются этих альтернативных потоков данных, и обновлю этот вопрос, если я увижу что-либо в результате этого мониторинга.

Просто к вашему сведению, я уже провел множество исследований по этому вопросу. Мой первый контакт с альтернативными потоками данных был, когда NTFS была впервые анонсирована в начале 90-х годов. Меня не очень беспокоит собственно сама ADS, поскольку все они нулевого размера, но в большей или меньшей степени это потенциально «канарейка в шахте» для некоторых вредоносных программ.

Я запустил утилиту командной строки с открытым исходным кодом, которая идентифицирует и при необходимости удаляет альтернативные потоки данных NTFS. Проект размещается на gitHub на тот случай, если кто-то посчитает его полезным.

По состоянию на 10 мая я смог заметить, что на других машинах с Windows 10, не принадлежащих мне или не затронутых мной, альтернативные потоки данных с именем Win32App_1 подключены к различным папкам на системном диске. Похоже, они связаны с самой Windows 10. Я ожидаю, что они используются в каком-то процессе каталогизации.


Возможно, вы захотите прочитать эту статью: blogs.technet.microsoft.com/askcore/2013/03/24/…
Hefewe1zen

Ответы:


5

Win32App_1 Альтернативный поток данных создается службой «Служба хранения», которая является частью операционной системы Windows. Версии службы до Windows 10 не создают эти потоки.

Если вы используете средство просмотра Portable-Executable, такое как dumpbin.exeинструмент, доступный в Visual Studio 2017, для просмотра разделов ресурсов %SystemRoot%\System32\StorSvc.dll, вы можете увидеть Win32App_1, на который ссылаются несколько раз.

Я запустил Sysinternals Process Monitor около недели, чтобы определить, какой процесс создавал альтернативные потоки данных Win32App_1. Он показал SvcHost.exeс командной строкой -k LocalSystemNetworkRestricted -s StorSvcкак процесс, создающий потоки. Служба хранилища используется апплетом «Хранилище» в приложении «Настройки» .

Я использовал следующее для проверки параметров службы хранилища / хранилища в качестве источника потоков:

  1. Я использовал мое приложение ADSIdentifier для идентификации и удаления всех потоков с именем Win32App_1:
    командная строка:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. Я остановил и перезапустил службу «Служба хранения».
    net stop "storage service"
    net start "storage service"
  3. После запуска службы я открыл приложение «Настройки», зашел в раздел «Хранилище», щелкнул по системному диску (C :), чтобы отобразить сведения «Использование хранилища» для диска.
  4. Перезапустил ADSIdentifier и увидел, что потоки были воссозданы. командная строка:ADSIdentifier /folder:C:\ /pattern:Win32App_1

2

Основное правило вычислений: пустой файл или поток сам по себе не может представлять угрозу.

Однако возможно, что приложение (доброжелательное или злонамеренное) присваивает смысл простому существованию пустого файла или альтернативного потока, например, сигнала на файл. Опыт подсказывает мне, что это редко.

В этом случае я бы пошел на практический ответ: составьте полный список файлов, имеющих эти потоки, удалите эти потоки, а затем в течение нескольких дней будьте бдительны, чтобы выяснить, что их создает. Очень возможно, что они не воссозданы. Если вы столкнулись с аномалией в результате потери этих потоков, восстановите их, используя ваш список.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.