Mesin Windows 10 saya memiliki sejumlah besar NTFS Alternate Data Streaming yang dinamai Win32App_1
terpasang ke berbagai folder di seluruh drive sistem. NoVirusThanks 'Stream Detector mendeteksi mereka sebagai $DATA
aliran ukuran nol .
Adakah yang tahu apa yang mungkin membuat aliran ini?
Pemindaian offline Windows Defender mendeteksi tidak ada yang tidak diinginkan.
Saya juga melihat banyak Zone.Identifier
$DATA
aliran, meskipun saya sudah tahu itu hanyalah aliran metadata Windows untuk mengidentifikasi sumber file yang diunduh dari Internet. Saya tidak peduli tentang mereka sama sekali.
Saya menginstal Windows 10 sendiri di disk kosong, sehingga tidak ditambahkan oleh pabrikan. Saya tidak dapat memposting contoh karena saya sudah menghapus aliran.
Pembaruan pada 2017-04-18: Saya baru saja memindai mesin saya lagi, dan aliran data alternatif kembali. Menggunakan more < C:\path\to\alternate_data_stream:Win32App_1
menunjukkan konten dari aliran menjadi tidak ada, konsisten dengan hasil yang dilaporkan oleh NoVirusThanks 'Stream Detector. Saya telah menyiapkan Monitor Proses SysInternals untuk mencari proses yang membuat / menyentuh aliran data alternatif tersebut, dan akan memperbarui pertanyaan ini jika saya melihat sesuatu sebagai hasil dari pemantauan itu.
Hanya FYI, saya sudah melakukan banyak penelitian tentang ini. Kontak pertama saya dengan aliran data alternatif adalah ketika NTFS pertama kali diumumkan pada awal 90-an. Saya tidak begitu khawatir tentang ADS yang sebenarnya karena ukurannya nol, tetapi kurang lebih apakah ini berpotensi menjadi "kenari di tambang batu bara" untuk beberapa malware.
Saya telah memulai utilitas baris perintah sumber terbuka yang mengidentifikasi dan secara opsional menghapus NTFS Alternate Data Stream. Proyek ini dihosting di gitHub jika ada yang merasa berguna.
Pada 10 Mei, saya dapat mengamati bahwa mesin Windows 10 lain yang tidak dimiliki atau disentuh oleh saya memiliki aliran data alternatif bernama Win32App_1 yang dilampirkan ke berbagai folder di seluruh drive sistem. Mereka tampaknya terkait dengan Windows 10 itu sendiri. Saya berharap mereka digunakan dalam semacam proses katalogisasi.