Çok sayıda klasöre bağlı Alternatif Veri Akışı “Win32App_1”

Windows 10 makinemdeWin32App_1 , sistem sürücüsü boyunca çeşitli klasörlere bağlı olarak adlandırılan çok sayıda NTFS Alternatif Veri Akışı var . NoVirusThanks Akış Detektörü, bunları sıfır boyutlu $DATAakış olarak algılar .

Bu akışları neyin yarattığını bilen var mı?

Windows Defender çevrimdışı taraması istenmeyen hiçbir şey tespit etmiyor.

Ayrıca, çok sayıda Zone.Identifier $DATAakış görüyorum , ancak bunların İnternet'ten indirilen bir dosyanın kaynağını tanımlamak için yalnızca Windows meta veri akışları olduğunu zaten bildiğim halde. Onlarla ilgili hiç endişelenmiyorum.

Windows 10'u kendim boş bir diske kurdum, bu yüzden üretici tarafından eklenmediler. Örnekleri gönderemiyorum çünkü akışları zaten kaldırdım.

2017-04-18 tarihinden itibaren güncelleme: Makinemi yeniden taradım ve alternatif veri akışları geri döndü. Kullanmak more < C:\path\to\alternate_data_stream:Win32App_1, akışın içeriğini, NoVirusThanks Akış Detektörü tarafından bildirilen sonuçlarla tutarlı hiçbir şey olarak gösterir. Bu alternatif veri akışlarını oluşturan / dokunan işlemleri aramak için SysInternals'ın İşlem İzleyicisi'ni kurdum ve bu izleme sonucunda bir şey görürsem bu soruyu güncelleyeceğim.

Sadece Bilgin olsun, ben zaten bu konuda çok fazla araştırma yaptım. Alternatif veri akışlarıyla ilk temasım, NTFS'nin 90'lı yılların başlarında ilk duyurulduğu zamandı. Sıfır boyutta olduklarından, gerçek ADS'nin kendisiyle ilgili çok endişelenmiyorum, ama az ya da çok, bazı kötü amaçlı yazılımlar için potansiyel olarak "kömür madeninde bir kanarya".

NTFS Alternatif Veri Akışlarını tanımlayan ve isteğe bağlı olarak silen açık kaynaklı bir komut satırı yardımcı programı başlattım. Proje, herkesin yararlı bulması durumunda gitHub'ta barındırılmaktadır .

10 Mayıs itibariyle, sahip olmadığım veya bana dokunmadığı diğer Windows 10 makinelerinin, sistem sürücüsü boyunca çeşitli klasörlere eklenen Win32App_1 adlı alternatif veri akışlarına sahip olduğunu gözlemledim. Windows 10'un kendisiyle ilgili gibi görünüyorlar. Bir çeşit kataloglama sürecinde kullanılmasını bekliyorum.

Win32App_1 Alternatif Veri Akışı, Windows İşletim Sisteminin bir parçası olan "Depolama Hizmeti" hizmeti tarafından oluşturulur. Hizmetin Windows 10'dan önceki sürümleri bu akışları oluşturuyor gibi görünmüyor.

dumpbin.exeKaynak bölümlerine bakmak için Visual Studio 2017'deki araç gibi Taşınabilir Yürütülebilir bir görüntüleyici kullanıyorsanız, %SystemRoot%\System32\StorSvc.dllWin32App_1 uygulamasının birkaç kez başvuruda bulunduğunu görebilirsiniz.

Hangi sürecin Win32App_1 alternatif veri akışlarını oluşturduğunu belirlemek için Sysinternals İşlem İzleyicisi'ni yaklaşık bir hafta çalıştırdım. Akışları oluşturan süreç olarak SvcHost.exebir komut satırı ile gösterdi -k LocalSystemNetworkRestricted -s StorSvc. Depolama Hizmeti "Ayarlar" app "Depolama" uygulaması tarafından kullanılacak gibi görünüyor .

Depolama Hizmeti / Depolama ayarlarını akışların kaynağı olarak doğrulamak için aşağıdakileri kullandım:

1. Win32App_1: komut satırı adındaki tüm akışları tanımlamak ve kaldırmak için ADSIdentifier uygulamamı kullandım :
   ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
2. "Depolama Hizmeti" hizmetini durdurdum ve yeniden başlattım.
   net stop "storage service"
net start "storage service"
3. Servis çalıştıktan sonra, "Ayarlar" uygulamasını açtım, "Depolama" bölümüne gittim, sürücü için "Depolama kullanımı" ayrıntılarını görüntülemek için sistem sürücüme (C :) tıkladım.
4. ADSIdentifier’ı yeniden çalıştırın ve akışların yeniden oluşturulduğunu gördüm. Komut satırı:ADSIdentifier /folder:C:\ /pattern:Win32App_1

Hesaplamanın temel kuralı şudur: Boş bir dosya veya akış kendi başına bir tehdit oluşturamaz.

Bununla birlikte, bir uygulamanın (yardımsever veya kötü niyetli) bir dosya başına sinyal gibi boş bir dosyanın veya alternatif akımın varlığına bir anlam vermesi mümkündür. Tecrübe bana bunun nadir olduğunu söylüyor.

Bu durumda, pratik bir cevap almaya giderim: Bu akışlara sahip dosyaların tam listesini yapın, bu akışları silin ve ardından onları neyin yarattığını bulmak için birkaç gün uyanık olun. Yeniden yaratılmamaları çok olası. Bu akışların kaybı nedeniyle bir anormallik yaşarsanız, listenizi kullanarak onları geri yükleyin.