Aliran Data Alternatif “Win32App_1” terlampir pada sejumlah besar folder

Mesin Windows 10 saya memiliki sejumlah besar NTFS Alternate Data Streaming yang dinamai Win32App_1terpasang ke berbagai folder di seluruh drive sistem. NoVirusThanks 'Stream Detector mendeteksi mereka sebagai $DATAaliran ukuran nol .

Adakah yang tahu apa yang mungkin membuat aliran ini?

Pemindaian offline Windows Defender mendeteksi tidak ada yang tidak diinginkan.

Saya juga melihat banyak Zone.Identifier $DATAaliran, meskipun saya sudah tahu itu hanyalah aliran metadata Windows untuk mengidentifikasi sumber file yang diunduh dari Internet. Saya tidak peduli tentang mereka sama sekali.

Saya menginstal Windows 10 sendiri di disk kosong, sehingga tidak ditambahkan oleh pabrikan. Saya tidak dapat memposting contoh karena saya sudah menghapus aliran.

Pembaruan pada 2017-04-18: Saya baru saja memindai mesin saya lagi, dan aliran data alternatif kembali. Menggunakan more < C:\path\to\alternate_data_stream:Win32App_1menunjukkan konten dari aliran menjadi tidak ada, konsisten dengan hasil yang dilaporkan oleh NoVirusThanks 'Stream Detector. Saya telah menyiapkan Monitor Proses SysInternals untuk mencari proses yang membuat / menyentuh aliran data alternatif tersebut, dan akan memperbarui pertanyaan ini jika saya melihat sesuatu sebagai hasil dari pemantauan itu.

Hanya FYI, saya sudah melakukan banyak penelitian tentang ini. Kontak pertama saya dengan aliran data alternatif adalah ketika NTFS pertama kali diumumkan pada awal 90-an. Saya tidak begitu khawatir tentang ADS yang sebenarnya karena ukurannya nol, tetapi kurang lebih apakah ini berpotensi menjadi "kenari di tambang batu bara" untuk beberapa malware.

Saya telah memulai utilitas baris perintah sumber terbuka yang mengidentifikasi dan secara opsional menghapus NTFS Alternate Data Stream. Proyek ini dihosting di gitHub jika ada yang merasa berguna.

Pada 10 Mei, saya dapat mengamati bahwa mesin Windows 10 lain yang tidak dimiliki atau disentuh oleh saya memiliki aliran data alternatif bernama Win32App_1 yang dilampirkan ke berbagai folder di seluruh drive sistem. Mereka tampaknya terkait dengan Windows 10 itu sendiri. Saya berharap mereka digunakan dalam semacam proses katalogisasi.

Win32App_1 Aliran Data Alternatif dibuat oleh layanan "Layanan Penyimpanan" yang merupakan bagian dari Sistem Operasi Windows. Versi layanan sebelum Windows 10 tampaknya tidak membuat aliran ini.

Jika Anda menggunakan penampil Portabel-Eksekusi, seperti dumpbin.exealat yang tersedia di Visual Studio 2017, untuk melihat bagian sumber daya %SystemRoot%\System32\StorSvc.dll, Anda dapat melihat Win32App_1 direferensikan beberapa kali.

Saya menjalankan Monitor Proses Sysinternals selama sekitar satu minggu untuk menentukan proses apa yang membuat aliran data alternatif Win32App_1. Itu ditunjukkan SvcHost.exedengan baris perintah -k LocalSystemNetworkRestricted -s StorSvcsebagai proses menciptakan aliran. The Layanan Penyimpanan tampaknya digunakan oleh "Storage" applet di "Settings" aplikasi .

Saya menggunakan yang berikut ini untuk memvalidasi pengaturan Layanan Penyimpanan / Penyimpanan sebagai sumber stream:

1. Saya menggunakan aplikasi ADSIdentifier saya untuk mengidentifikasi dan menghapus semua aliran bernama Win32App_1:
   baris perintah:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
2. Saya berhenti dan memulai kembali layanan "Layanan Penyimpanan".
   net stop "storage service"
net start "storage service"
3. Setelah layanan berjalan, saya membuka aplikasi "Pengaturan", pergi ke bagian "Penyimpanan", mengklik drive sistem saya (C :) untuk menampilkan detail "Penyimpanan penggunaan" untuk drive.
4. Jalankan kembali ADSIdentifier dan lihat aliran telah diciptakan kembali. garis komando:ADSIdentifier /folder:C:\ /pattern:Win32App_1

Aturan utama komputasi adalah: File kosong atau streaming dengan sendirinya tidak dapat menimbulkan ancaman.

Namun demikian, mungkin saja suatu aplikasi (baik atau jahat) memberikan makna pada keberadaan file kosong atau aliran alternatif, seperti sinyal per file. Pengalaman memberi tahu saya bahwa ini jarang terjadi.

Dalam hal ini, saya akan mencari jawaban praktis: Buat daftar lengkap file yang memiliki aliran ini, hapus aliran ini dan kemudian waspada selama beberapa hari untuk mencari tahu apa yang membuatnya. Sangat mungkin bahwa mereka tidak diciptakan kembali. Jika Anda menemui anomali akibat kehilangan aliran ini, pulihkan dengan menggunakan daftar Anda.