Альтернативный поток данных «Win32App_1» прикреплен к большому количеству папок

1561
Max Vernon

Мой компьютер с Windows 10 имеет большое количество именованных альтернативных потоков данных NTFS, Win32App_1прикрепленных к различным папкам на системном диске. Детектор потока NoVirusThanks обнаруживает их как $DATAпотоки нулевого размера .

Кто-нибудь знает, что могло создать эти потоки?

Автономное сканирование Защитника Windows не обнаруживает ничего нежелательного.

Я также вижу много Zone.Identifier $DATAпотоков, хотя я уже знаю, что это просто потоки метаданных Windows для определения источника файла, который был загружен из Интернета. Я не беспокоюсь о них вообще.

Я сам установил Windows 10 на чистый диск, поэтому он не был добавлен производителем. Я не могу публиковать примеры, потому что я уже удалил потоки.

Обновление от 2017-04-18: Я только что снова проверил свою машину, и альтернативные потоки данных вернулись. Использование more < C:\path\to\alternate_data_stream:Win32App_1показывает, что содержимое потока является ничем, что согласуется с результатами, полученными от детектора потока NoVirusThanks. Я настроил монитор процессов SysInternals для поиска процессов, которые создают / касаются этих альтернативных потоков данных, и обновлю этот вопрос, если я увижу что-либо в результате этого мониторинга.

Просто к вашему сведению, я уже провел множество исследований по этому вопросу. Мой первый контакт с альтернативными потоками данных был, когда NTFS была впервые анонсирована в начале 90-х годов. Меня не очень беспокоит собственно сама ADS, поскольку все они имеют нулевой размер, но в большей или меньшей степени это потенциально «канарейка в шахте» для некоторых вредоносных программ.

Я запустил утилиту командной строки с открытым исходным кодом, которая идентифицирует и, при необходимости, удаляет альтернативные потоки данных NTFS. Проект размещается на gitHub на случай, если кто-то посчитает его полезным.

По состоянию на 10 мая я смог заметить, что на других машинах с Windows 10, не принадлежащих мне или не затронутых мной, альтернативные потоки данных с именем Win32App_1 подключены к различным папкам на системном диске. Похоже, они связаны с самой Windows 10. Я ожидаю, что они используются в каком-то процессе каталогизации.

8
Вы можете прочитать эту статью: https://blogs.technet.microsoft.com/askcore/2013/03/24/alternate-data-streams-in-ntfs/ Hefewe1zen 7 лет назад 0

2 ответа на вопрос

6
Max Vernon

Win32App_1 Альтернативный поток данных создается службой «Служба хранения», которая является частью операционной системы Windows. Версии службы до Windows 10 не создают эти потоки.

Если вы используете средство просмотра Portable-Executable, такое как dumpbin.exeинструмент, доступный в Visual Studio 2017, для просмотра разделов ресурсов %SystemRoot%\System32\StorSvc.dll, вы можете увидеть Win32App_1, на который ссылаются несколько раз.

Я запустил Sysinternals Process Monitor около недели, чтобы определить, какой процесс создавал альтернативные потоки данных Win32App_1. Он показал SvcHost.exeс командной строкой -k LocalSystemNetworkRestricted -s StorSvcкак процесс, создающий потоки. Служба хранилища, по-видимому, используется апплетом «Хранение» в приложении «Настройки» .

Я использовал следующее для проверки параметров службы хранилища / хранилища в качестве источника потоков:

  1. Я использовал мое приложение ADSIdentifier для идентификации и удаления всех потоков с именем Win32App_1:
    командная строка:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. Я остановил и перезапустил службу «Служба хранения».
    net stop "storage service"
    net start "storage service"
  3. После запуска службы я открыл приложение «Настройки», зашел в раздел «Хранилище», щелкнул по системному диску (C :), чтобы отобразить сведения «Использование хранилища» для диска.
  4. Перезапустил ADSIdentifier и увидел, что потоки были воссозданы. командная строка:ADSIdentifier /folder:C:\ /pattern:Win32App_1
4

Основное правило вычислений: пустой файл или поток не может представлять угрозу.

Однако возможно, что приложение (доброжелательное или злонамеренное) присваивает смысл простому существованию пустого файла или альтернативного потока, например, сигнала для каждого файла. Опыт подсказывает мне, что это редко.

В этом случае я хотел бы получить практический ответ: составьте полный список файлов, имеющих эти потоки, удалите эти потоки, а затем в течение нескольких дней будьте бдительны, чтобы выяснить, что их создает. Очень возможно, что они не воссозданы. Если вы столкнулись с аномалией в результате потери этих потоков, восстановите их, используя ваш список.

Похожие вопросы