Альтернативный поток данных "Win32App 1" при большом количестве папок

моя машина Windows 10 имеет большое количество NTFS Альтернативные Потоки Данных имени Win32App_1 прикреплено к различным папкам на системном диске. Детектор потока NoVirusThanks обнаруживает их как нулевой размер $DATA потоки.

кто-нибудь знает, что мог создать эти потоки?

автономное сканирование Защитника Windows не обнаруживает ничего нежелательного.

Я также вижу много Zone.Identifier $DATA потоки, хотя я уже знаю это просто потоки метаданных Windows для определения источника файла, загруженного из интернета. Я совсем не беспокоюсь о них.

я установил Windows 10 на чистый диск, поэтому они не были добавлены производителем. Я не могу публиковать примеры, потому что я уже удалил потоки.

обновление от 2017-04-18: я только что отсканировал свою машину снова, и альтернативные потоки данных вернулись. Использование more < C:pathtoalternate_data_stream:Win32App_1 показывает содержание потока, чтобы быть ничего, согласуется с результатами, сообщенными детектором потока NoVirusThanks. Я настроил монитор процессов SysInternals, чтобы искать процессы, которые создают / касаются этих альтернативных потоков данных, и обновит этот вопрос, если я увижу что-либо в результате этого мониторинга.

просто FYI, я уже сделал кучу исследований. Мой первый контакт с альтернативными потоками данных состоялся, когда NTFS была впервые анонсирована в начале 90-х. Я не так сильно беспокоюсь о фактических объявлениях сам по себе, так как они все нулевого размера, но более или менее это потенциально "канарейка в шахте" для некоторых вредоносных программ.

я запустил утилиту командной строки с открытым исходным кодом, которая идентифицирует и, возможно, удаляет альтернативные потоки данных NTFS. Проект является размещено на gitHub на случай, если кому-то это пригодится.

по состоянию на 10 мая, я был в состоянии наблюдать, что другие машины Windows 10 не принадлежит или коснулся меня есть альтернативные потоки данных с именем Win32App_1 добавленные в различных папках системного диска. Они, кажется, связаны с самой Windows 10. Я ожидаю, что они используются в каком-то процессе каталогизации.

18
задан Max Vernon
29.11.2022 4:45 Количество просмотров материала 2837
Распечатать страницу

2 ответа

Win32app_1 альтернативный поток данных создается службой хранилища, которая является частью операционной системы Windows. Версии службы до Windows 10 не отображаются для создания этих потоков.

если вы используете портативный исполняемый просмотрщик, например dumpbin.exe инструмент, доступный в Visual Studio 2017, для просмотра разделов ресурсов %SystemRoot%\System32\StorSvc.dll, вы можете увидеть Win32App_1 ссылается несколько раз.

я запустил монитор процесса Sysinternals около недели чтобы определить, какой процесс создавал альтернативные потоки данных Win32App_1. Это показало SvcHost.exe С командной строкой -k LocalSystemNetworkRestricted -s StorSvc как процесс создания потоков. The служба хранения, как представляется, используется апплет" Storage "в приложении "Настройки".

я использовал следующее для проверки параметров службы хранения / хранения в качестве источника потоков:

  1. Я ADSIdentifier приложение to определить и удалить все потоки имени Win32App_1:

    командная строка: ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. Я остановил и перезапустил службу "служба хранилища".

    net stop "storage service"

    net start "storage service"
  3. после того, как служба была запущена, я открыл приложение "Настройки", пошел в раздел "Хранилище", нажал на мой системный диск (C:), чтобы отобразить сведения "Использование хранилища" для диска.
  4. повторно запустил ADSIdentifier и увидел, что потоки были воссозданы. командная строка: ADSIdentifier /folder:C:\ /pattern:Win32App_1
6
отвечен Max Vernon 2022-11-30 12:33

главное правило вычислений: пустой файл или поток сам по себе не может представлять угрозу.

однако, возможно, что приложение (доброжелательное или злонамеренное) присваивает смысл простому существованию пустого файла или альтернативного потока, например, для каждого файла сигнала. Опыт подсказывает мне, что это редкость.

в этом случае я бы пошел на практический ответ: составьте полный список файлов, которые имеют эти потоки, удалите эти потоки, а затем будьте бдительны в течение нескольких дней чтобы узнать, что их создает. Очень возможно, что они не воссозданы. Если вы столкнулись с аномалией в результате потери этих потоков, восстановите их, используя свой список.

4
отвечен 2022-11-30 14:50

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх