Mein Windows 10-Computer verfügt über eine große Anzahl von NTFS- Datenströmen, die Win32App_1
an verschiedene Ordner im gesamten Systemlaufwerk angehängt sind. Der Stream Detector von NoVirusThanks erkennt sie als $DATA
Streams mit der Größe Null .
Weiß jemand, was diese Streams erstellt haben könnte?
Der Windows Defender-Offline-Scan erkennt nichts Unerwünschtes.
Ich sehe auch viele Zone.Identifier
$DATA
Streams, obwohl ich bereits weiß, dass dies einfach Windows-Metadaten-Streams sind, um die Quelle einer Datei zu identifizieren, die aus dem Internet heruntergeladen wurde. Ich mache mir überhaupt keine Sorgen um sie.
Ich habe Windows 10 selbst auf einer leeren Festplatte installiert, sodass sie vom Hersteller nicht hinzugefügt wurden. Ich kann keine Beispiele posten, da ich die Streams bereits entfernt habe.
Update vom 18.04.2017: Ich habe gerade meinen Computer erneut gescannt und die alternativen Datenströme sind zurück. Die Verwendung more < C:\path\to\alternate_data_stream:Win32App_1
zeigt an, dass der Inhalt des Streams nichts ist, was mit den vom Stream Detector von NoVirusThanks gemeldeten Ergebnissen übereinstimmt. Ich habe den Prozessmonitor von SysInternals so eingerichtet, dass er nach Prozessen sucht, die diese alternativen Datenströme erstellen / berühren, und werde diese Frage aktualisieren, wenn ich als Ergebnis dieser Überwachung etwas sehe.
Nur zu Ihrer Information, ich habe bereits eine Menge Nachforschungen angestellt. Mein erster Kontakt mit alternativen Datenströmen war, als NTFS Anfang der 90er Jahre zum ersten Mal angekündigt wurde. Ich bin nicht so sehr besorgt über das eigentliche ADS selbst, da sie alle null sind, aber mehr oder weniger ist dies möglicherweise ein "Kanarienvogel im Kohlenbergwerk" für einige Malware.
Ich habe ein Open-Source-Befehlszeilenprogramm gestartet, das alternative NTFS-Datenströme identifiziert und optional entfernt. Das Projekt wird bei gitHub gehostet, falls jemand es nützlich findet.
Ab dem 10. Mai konnte ich feststellen, dass auf anderen Windows 10-Computern, die mir nicht gehören oder von mir nicht berührt wurden, die alternativen Datenströme mit dem Namen Win32App_1 an verschiedene Ordner im gesamten Systemlaufwerk angehängt sind. Sie scheinen mit Windows 10 selbst verwandt zu sein. Ich gehe davon aus, dass sie in einer Art Katalogisierungsprozess verwendet werden.
quelle
Antworten:
Der alternative Datenstrom Win32App_1 wird vom Dienst "Speicherdienst" erstellt, der Teil des Windows-Betriebssystems ist. Versionen des Dienstes vor Windows 10 scheinen diese Streams nicht zu erstellen.
Wenn Sie einen Portable-Executable-Viewer wie das
dumpbin.exe
in Visual Studio 2017 verfügbare Tool verwenden, um die Ressourcenabschnitte von%SystemRoot%\System32\StorSvc.dll
anzuzeigen, wird Win32App_1 mehrmals referenziert.Ich habe Sysinternals Process Monitor ungefähr eine Woche lang ausgeführt, um festzustellen, durch welchen Prozess die alternativen Datenströme für Win32App_1 erstellt wurden. Es wurde
SvcHost.exe
mit einer Befehlszeile angezeigt,-k LocalSystemNetworkRestricted -s StorSvc
wie der Prozess die Streams erstellt. Der Speicherdienst wird anscheinend vom Applet "Speicher" in der App "Einstellungen" verwendet .Ich habe Folgendes verwendet, um den Speicherdienst / die Speichereinstellungen als Quelle für die Streams zu überprüfen:
Befehlszeile zu identifizieren und zu entfernen :
ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
net stop "storage service"
net start "storage service"
ADSIdentifier /folder:C:\ /pattern:Win32App_1
quelle
Die Grundregel für das Rechnen lautet: Eine leere Datei oder ein leerer Stream allein kann keine Bedrohung darstellen.
Es ist jedoch möglich, dass eine App (wohlwollend oder böswillig) der bloßen Existenz einer leeren Datei oder eines alternativen Streams eine Bedeutung zuweist, wie z. B. ein Signal pro Datei. Die Erfahrung zeigt mir, dass dies selten ist.
In diesem Fall würde ich eine praktische Antwort finden: Erstellen Sie eine vollständige Liste der Dateien mit diesen Streams, löschen Sie diese Streams und seien Sie dann einige Tage wachsam, um herauszufinden, was sie erstellt. Es ist sehr wahrscheinlich, dass sie nicht neu erstellt werden. Sollten Sie aufgrund des Verlusts dieser Streams auf eine Anomalie stoßen, stellen Sie sie mithilfe Ihrer Liste wieder her.
quelle