附加到大量文件夹的备用数据流“ Win32App_1”

我的Windows 10计算机具有大量的NTFS 备用数据流Win32App_1，这些数据流命名附加到整个系统驱动器的各个文件夹中。NoVirusThanks的流检测器将其检测为零大小的$DATA流。

有谁知道是什么造成了这些流？

Windows Defender脱机扫描未检测到任何有害内容。

我还看到了很多Zone.Identifier $DATA流，尽管我已经知道它们只是Windows元数据流，用于标识从Internet下载的文件的来源。我根本不关心他们。

我自己将Windows 10安装在空白磁盘上，因此制造商未添加它们。我无法发布示例，因为我已经删除了流。

截至2017-04-18更新：我再次扫描了我的机器，备用数据流又回来了。使用more < C:\path\to\alternate_data_stream:Win32App_1显示流的内容为空，与NoVirusThanks的流检测器报告的结果一致。我已经设置了SysInternals的Process Monitor，以查找正在创建/触摸这些备用数据流的进程，如果由于该监视而看到任何内容，它将更新此问题。

仅供参考，我已经对此进行了大量研究。我与备用数据流的第一次接触是在90年代初首次发布NTFS时。我并不在乎实际的ADS本身，因为它们都是零大小的，但是对于某些恶意软件来说，这或多或少是潜在的“煤矿中的金丝雀”。

我已经启动了一个开源命令行实用程序，该实用程序可以识别并有选择地删除NTFS备用数据流。该项目托管在gitHub上，以防任何人发现它有用。

截至5月10日，我已经观察到我不拥有或接触的其他Windows 10计算机将名为Win32App_1的备用数据流附加到整个系统驱动器的各个文件夹中。它们似乎与Windows 10本身有关。我希望它们会用于某种编目过程。

Win32App_1备用数据流由Windows操作系统中的“存储服务”服务创建。Windows 10之前的服务版本似乎无法创建这些流。

如果使用可移植可执行查看器（例如dumpbin.exeVisual Studio 2017中提供的工具）来查看的资源部分%SystemRoot%\System32\StorSvc.dll，则可以看到Win32App_1被多次引用。

我运行Sysinternals Process Monitor大约一周，以确定哪个进程正在创建Win32App_1备用数据流。它SvcHost.exe以命令行形式-k LocalSystemNetworkRestricted -s StorSvc显示了创建流的过程。该存储服务似乎由“设置”应用中的“存储”小程序使用。

我使用以下内容来验证存储服务/存储设置作为流的源：

1. 我使用ADSIdentifier应用程序来识别和删除所有名为Win32App_1的流：
   命令行：ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
2. 我停止并重新启动了“存储服务”服务。
   net stop "storage service"
net start "storage service"
3. 服务运行后，我打开“设置”应用程序，转到“存储”部分，单击我的系统驱动器（C :)以显示该驱动器的“存储使用情况”详细信息。
4. 重新运行ADSIdentifier，看到流已重新创建。命令行：ADSIdentifier /folder:C:\ /pattern:Win32App_1

计算的基本规则是：空文件或流本身不会构成威胁。

但是，应用程序（仁慈或恶意）可能会为空文件或替代流的存在（例如每个文件的信号）分配含义。经验告诉我，这种情况很少见。

在这种情况下，我将寻求一个切实可行的答案：列出包含这些流的文件的完整列表，删除这些流，然后警惕几天，以找出创建它们的原因。不重新创建它们的可能性很大。如果由于丢失这些流而遇到异常，请使用列表还原它们。