Luồng dữ liệu thay thế Tải về Win32App_1 Được gắn vào một số lượng lớn các thư mục

Máy Windows 10 của tôi có một số lượng lớn Luồng dữ liệu thay thế NTFS được Win32App_1gắn vào các thư mục khác nhau trong toàn bộ ổ đĩa hệ thống. Trình phát hiện luồng của NoVirusThanks phát hiện chúng là $DATAluồng có kích thước bằng không .

Có ai biết những gì có thể đã tạo ra những luồng này?

Windows Defender quét ngoại tuyến phát hiện không có gì không mong muốn.

Tôi cũng thấy rất nhiều Zone.Identifier $DATAluồng, mặc dù tôi đã biết đó chỉ là những luồng siêu dữ liệu Windows để xác định nguồn của tệp được tải xuống từ Internet. Tôi không quan tâm đến họ chút nào.

Tôi đã tự cài đặt Windows 10 trên một đĩa trống để nhà sản xuất không thêm vào. Tôi không thể đăng các ví dụ vì tôi đã xóa các luồng.

Cập nhật kể từ 2017-04-18: Tôi vừa quét lại máy của mình và các luồng dữ liệu thay thế đã hoạt động trở lại. Việc sử dụng more < C:\path\to\alternate_data_stream:Win32App_1cho thấy nội dung của luồng là không có gì, phù hợp với kết quả được báo cáo bởi Trình phát hiện luồng của NoVirusThanks. Tôi đã thiết lập Trình theo dõi tiến trình của SysIternals để tìm kiếm các quy trình đang tạo / chạm vào các luồng dữ liệu thay thế đó và sẽ cập nhật câu hỏi này nếu tôi thấy bất cứ điều gì là kết quả của việc theo dõi đó.

Chỉ cần FYI, tôi đã thực hiện một loạt nghiên cứu về điều này. Lần tiếp xúc đầu tiên của tôi với các luồng dữ liệu thay thế là khi NTFS được công bố lần đầu tiên vào đầu những năm 90. Tôi không quá quan tâm đến bản thân ADS thực tế vì tất cả chúng đều có kích thước bằng 0, nhưng ít nhiều đây có khả năng là "hoàng yến trong hầm than" đối với một số phần mềm độc hại.

Tôi đã bắt đầu một tiện ích dòng lệnh nguồn mở để xác định và tùy ý loại bỏ các luồng dữ liệu thay thế NTFS. Dự án được lưu trữ tại gitHub trong trường hợp bất cứ ai thấy nó hữu ích.

Kể từ ngày 10 tháng 5, tôi đã có thể quan sát rằng các máy Windows 10 khác không thuộc sở hữu hoặc chạm vào của tôi có các luồng dữ liệu thay thế có tên Win32App_1 được đính kèm vào các thư mục khác nhau trong ổ đĩa hệ thống. Chúng dường như có liên quan đến chính Windows 10. Tôi hy vọng chúng được sử dụng trong một số loại quy trình biên mục.

Luồng dữ liệu thay thế Win32App_1 được tạo bởi dịch vụ "Dịch vụ lưu trữ" là một phần của Hệ điều hành Windows. Các phiên bản của dịch vụ trước Windows 10 không xuất hiện để tạo các luồng này.

Nếu bạn sử dụng trình xem Portable-Executable, chẳng hạn như dumpbin.execông cụ có sẵn trong Visual Studio 2017, để xem các phần tài nguyên của %SystemRoot%\System32\StorSvc.dll, bạn có thể thấy Win32App_1 được tham chiếu nhiều lần.

Tôi đã chạy Sysiternals Process Monitor trong khoảng một tuần để xác định quá trình nào đang tạo ra luồng dữ liệu thay thế Win32App_1. Nó hiển thị SvcHost.exevới một dòng lệnh -k LocalSystemNetworkRestricted -s StorSvclà quá trình tạo ra các luồng. Các dịch vụ lưu trữ dường như được sử dụng bởi các "Storage" applet trong "Settings" ứng dụng .

Tôi đã sử dụng các cách sau để xác thực cài đặt Dịch vụ lưu trữ / Lưu trữ làm nguồn của các luồng:

1. Tôi đã sử dụng ứng dụng ADSIdentifier của mình để xác định và xóa tất cả các luồng có tên Win32App_1:
   dòng lệnh:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
2. Tôi đã dừng và khởi động lại dịch vụ "Dịch vụ lưu trữ".
   net stop "storage service"
net start "storage service"
3. Khi dịch vụ đang chạy, tôi mở ứng dụng "Cài đặt", đi đến phần "Lưu trữ", nhấp vào ổ đĩa hệ thống của tôi (C :) để hiển thị chi tiết "Sử dụng bộ nhớ" cho ổ đĩa.
4. Chạy lại ADSIdentifier và thấy các luồng đã được tạo lại. dòng lệnh:ADSIdentifier /folder:C:\ /pattern:Win32App_1

Quy tắc chính của điện toán là: Một tệp trống hoặc luồng tự nó không thể gây ra mối đe dọa.

Tuy nhiên, có thể một ứng dụng (nhân từ hoặc không tốt) gán một ý nghĩa cho sự tồn tại đơn thuần của một tệp trống hoặc luồng thay thế, như tín hiệu trên mỗi tệp. Kinh nghiệm cho tôi biết rằng điều này là hiếm.

Trong trường hợp này, tôi sẽ đi đến một câu trả lời thiết thực: Lập danh sách đầy đủ các tệp có các luồng này, xóa các luồng này và sau đó thận trọng trong vài ngày để tìm hiểu điều gì tạo ra chúng. Rất có khả năng chúng không được tạo lại. Nếu bạn gặp phải sự bất thường do mất các luồng này, hãy khôi phục chúng bằng danh sách của bạn.