Alternativer Datenstrom "Win32App_1", der an eine große Anzahl von Ordnern angehängt ist

6

Mein Windows 10-Computer verfügt über eine große Anzahl von NTFS- Datenströmen, die Win32App_1an verschiedene Ordner im gesamten Systemlaufwerk angehängt sind. Der Stream Detector von NoVirusThanks erkennt sie als $DATAStreams mit der Größe Null .

Weiß jemand, was diese Streams erstellt haben könnte?

Der Windows Defender-Offline-Scan erkennt nichts Unerwünschtes.

Ich sehe auch viele Zone.Identifier $DATAStreams, obwohl ich bereits weiß, dass dies einfach Windows-Metadaten-Streams sind, um die Quelle einer Datei zu identifizieren, die aus dem Internet heruntergeladen wurde. Ich mache mir überhaupt keine Sorgen um sie.

Ich habe Windows 10 selbst auf einer leeren Festplatte installiert, sodass sie vom Hersteller nicht hinzugefügt wurden. Ich kann keine Beispiele posten, da ich die Streams bereits entfernt habe.

Update vom 18.04.2017: Ich habe gerade meinen Computer erneut gescannt und die alternativen Datenströme sind zurück. Die Verwendung more < C:\path\to\alternate_data_stream:Win32App_1zeigt an, dass der Inhalt des Streams nichts ist, was mit den vom Stream Detector von NoVirusThanks gemeldeten Ergebnissen übereinstimmt. Ich habe den Prozessmonitor von SysInternals so eingerichtet, dass er nach Prozessen sucht, die diese alternativen Datenströme erstellen / berühren, und werde diese Frage aktualisieren, wenn ich als Ergebnis dieser Überwachung etwas sehe.

Nur zu Ihrer Information, ich habe bereits eine Menge Nachforschungen angestellt. Mein erster Kontakt mit alternativen Datenströmen war, als NTFS Anfang der 90er Jahre zum ersten Mal angekündigt wurde. Ich bin nicht so sehr besorgt über das eigentliche ADS selbst, da sie alle null sind, aber mehr oder weniger ist dies möglicherweise ein "Kanarienvogel im Kohlenbergwerk" für einige Malware.

Ich habe ein Open-Source-Befehlszeilenprogramm gestartet, das alternative NTFS-Datenströme identifiziert und optional entfernt. Das Projekt wird bei gitHub gehostet, falls jemand es nützlich findet.

Ab dem 10. Mai konnte ich feststellen, dass auf anderen Windows 10-Computern, die mir nicht gehören oder von mir nicht berührt wurden, die alternativen Datenströme mit dem Namen Win32App_1 an verschiedene Ordner im gesamten Systemlaufwerk angehängt sind. Sie scheinen mit Windows 10 selbst verwandt zu sein. Ich gehe davon aus, dass sie in einer Art Katalogisierungsprozess verwendet werden.

Max Vernon
quelle
Vielleicht möchten Sie diesen Artikel lesen: blogs.technet.microsoft.com/askcore/2013/03/24/…
Hefewe1zen

Antworten:

5

Der alternative Datenstrom Win32App_1 wird vom Dienst "Speicherdienst" erstellt, der Teil des Windows-Betriebssystems ist. Versionen des Dienstes vor Windows 10 scheinen diese Streams nicht zu erstellen.

Wenn Sie einen Portable-Executable-Viewer wie das dumpbin.exein Visual Studio 2017 verfügbare Tool verwenden, um die Ressourcenabschnitte von %SystemRoot%\System32\StorSvc.dllanzuzeigen, wird Win32App_1 mehrmals referenziert.

Ich habe Sysinternals Process Monitor ungefähr eine Woche lang ausgeführt, um festzustellen, durch welchen Prozess die alternativen Datenströme für Win32App_1 erstellt wurden. Es wurde SvcHost.exemit einer Befehlszeile angezeigt, -k LocalSystemNetworkRestricted -s StorSvcwie der Prozess die Streams erstellt. Der Speicherdienst wird anscheinend vom Applet "Speicher" in der App "Einstellungen" verwendet .

Ich habe Folgendes verwendet, um den Speicherdienst / die Speichereinstellungen als Quelle für die Streams zu überprüfen:

  1. Ich habe meine ADSIdentifier-App verwendet , um alle Streams mit dem Namen Win32App_1:
    Befehlszeile zu identifizieren und zu entfernen :ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. Ich habe den Dienst "Storage Service" gestoppt und neu gestartet.
    net stop "storage service"
    net start "storage service"
  3. Sobald der Dienst ausgeführt wurde, öffnete ich die App "Einstellungen", ging zum Abschnitt "Speicher" und klickte auf mein Systemlaufwerk (C :), um die Details zur "Speichernutzung" für das Laufwerk anzuzeigen.
  4. Führen Sie den ADSIdentifier erneut aus und sehen Sie, dass die Streams neu erstellt wurden. Befehlszeile:ADSIdentifier /folder:C:\ /pattern:Win32App_1
Max Vernon
quelle
2

Die Grundregel für das Rechnen lautet: Eine leere Datei oder ein leerer Stream allein kann keine Bedrohung darstellen.

Es ist jedoch möglich, dass eine App (wohlwollend oder böswillig) der bloßen Existenz einer leeren Datei oder eines alternativen Streams eine Bedeutung zuweist, wie z. B. ein Signal pro Datei. Die Erfahrung zeigt mir, dass dies selten ist.

In diesem Fall würde ich eine praktische Antwort finden: Erstellen Sie eine vollständige Liste der Dateien mit diesen Streams, löschen Sie diese Streams und seien Sie dann einige Tage wachsam, um herauszufinden, was sie erstellt. Es ist sehr wahrscheinlich, dass sie nicht neu erstellt werden. Sollten Sie aufgrund des Verlusts dieser Streams auf eine Anomalie stoßen, stellen Sie sie mithilfe Ihrer Liste wieder her.


quelle