我的Windows 10计算机具有大量的NTFS 备用数据流Win32App_1
,这些数据流命名附加到整个系统驱动器的各个文件夹中。NoVirusThanks的流检测器将其检测为零大小的$DATA
流。
有谁知道是什么造成了这些流?
Windows Defender脱机扫描未检测到任何有害内容。
我还看到了很多Zone.Identifier
$DATA
流,尽管我已经知道它们只是Windows元数据流,用于标识从Internet下载的文件的来源。我根本不关心他们。
我自己将Windows 10安装在空白磁盘上,因此制造商未添加它们。我无法发布示例,因为我已经删除了流。
截至2017-04-18更新:我再次扫描了我的机器,备用数据流又回来了。使用more < C:\path\to\alternate_data_stream:Win32App_1
显示流的内容为空,与NoVirusThanks的流检测器报告的结果一致。我已经设置了SysInternals的Process Monitor,以查找正在创建/触摸这些备用数据流的进程,如果由于该监视而看到任何内容,它将更新此问题。
仅供参考,我已经对此进行了大量研究。我与备用数据流的第一次接触是在90年代初首次发布NTFS时。我并不在乎实际的ADS本身,因为它们都是零大小的,但是对于某些恶意软件来说,这或多或少是潜在的“煤矿中的金丝雀”。
我已经启动了一个开源命令行实用程序,该实用程序可以识别并有选择地删除NTFS备用数据流。该项目托管在gitHub上,以防任何人发现它有用。
截至5月10日,我已经观察到我不拥有或接触的其他Windows 10计算机将名为Win32App_1的备用数据流附加到整个系统驱动器的各个文件夹中。它们似乎与Windows 10本身有关。我希望它们会用于某种编目过程。