附加到大量文件夹的备用数据流“ Win32App_1”


6

我的Windows 10计算机具有大量的NTFS 备用数据流Win32App_1,这些数据流命名附加到整个系统驱动器的各个文件夹中。NoVirusThanks的流检测器将其检测为零大小的$DATA流。

有谁知道是什么造成了这些流?

Windows Defender脱机扫描未检测到任何有害内容。

我还看到了很多Zone.Identifier $DATA流,尽管我已经知道它们只是Windows元数据流,用于标识从Internet下载的文件的来源。我根本不关心他们。

我自己将Windows 10安装在空白磁盘上,因此制造商未添加它们。我无法发布示例,因为我已经删除了流。

截至2017-04-18更新:我再次扫描了我的机器,备用数据流又回来了。使用more < C:\path\to\alternate_data_stream:Win32App_1显示流的内容为空,与NoVirusThanks的流检测器报告的结果一致。我已经设置了SysInternals的Process Monitor,以查找正在创建/触摸这些备用数据流的进程,如果由于该监视而看到任何内容,它将更新此问题。

仅供参考,我已经对此进行了大量研究。我与备用数据流的第一次接触是在90年代初首次发布NTFS时。我并不在乎实际的ADS本身,因为它们都是零大小的,但是对于某些恶意软件来说,这或多或少是潜在的“煤矿中的金丝雀”。

我已经启动了一个开源命令行实用程序,该实用程序可以识别并有选择地删除NTFS备用数据流。该项目托管在gitHub上,以防任何人发现它有用。

截至5月10日,我已经观察到我不拥有或接触的其他Windows 10计算机将名为Win32App_1的备用数据流附加到整个系统驱动器的各个文件夹中。它们似乎与Windows 10本身有关。我希望它们会用于某种编目过程。


Answers:


5

Win32App_1备用数据流由Windows操作系统中的“存储服务”服务创建。Windows 10之前的服务版本似乎无法创建这些流。

如果使用可移植可执行查看器(例如dumpbin.exeVisual Studio 2017中提供的工具)来查看的资源部分%SystemRoot%\System32\StorSvc.dll,则可以看到Win32App_1被多次引用。

我运行Sysinternals Process Monitor大约一周,以确定哪个进程正在创建Win32App_1备用数据流。它SvcHost.exe以命令行形式-k LocalSystemNetworkRestricted -s StorSvc显示了创建流的过程。该存储服务似乎由“设置”应用中的“存储”小程序使用

我使用以下内容来验证存储服务/存储设置作为流的源:

  1. 我使用ADSIdentifier应用程序识别和删除所有名为Win32App_1的
    命令行:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. 我停止并重新启动了“存储服务”服务。
    net stop "storage service"
    net start "storage service"
  3. 服务运行后,我打开“设置”应用程序,转到“存储”部分,单击我的系统驱动器(C :)以显示该驱动器的“存储使用情况”详细信息。
  4. 重新运行ADSIdentifier,看到流已重新创建。命令行:ADSIdentifier /folder:C:\ /pattern:Win32App_1

2

计算的基本规则是:空文件或流本身不会构成威胁。

但是,应用程序(仁慈或恶意)可能会为空文件或替代流的存在(例如每个文件的信号)分配含义。经验告诉我,这种情况很少见。

在这种情况下,我将寻求一个切实可行的答案:列出包含这些流的文件的完整列表,删除这些流,然后警惕几天,以找出创建它们的原因。不重新创建它们的可能性很大。如果由于丢失这些流而遇到异常,请使用列表还原它们。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.