Mój komputer z systemem Windows 10 ma dużą liczbę alternatywnych strumieni danych NTFS o nazwie Win32App_1
dołączonych do różnych folderów na dysku systemowym. Detektor strumienia NoVirusThanks wykrywa je jako $DATA
strumienie o zerowym rozmiarze .
Czy ktoś wie, co mogło stworzyć te strumienie?
Skanowanie offline Windows Defender wykrywa nic niechcianego.
Widzę również wiele Zone.Identifier
$DATA
strumieni, chociaż już wiem, że są to po prostu strumienie metadanych systemu Windows do identyfikowania źródła pliku pobranego z Internetu. W ogóle się nimi nie przejmuję.
Sam system Windows 10 zainstalowałem na czystym dysku, więc nie został dodany przez producenta. Nie mogę publikować przykładów, ponieważ już usunąłem strumienie.
Aktualizacja na dzień 18.04.2017: Właśnie przeskanowałem ponownie komputer i wróciły alternatywne strumienie danych. Użycie more < C:\path\to\alternate_data_stream:Win32App_1
pokazuje zawartość strumienia jako nic, co jest zgodne z wynikami zgłaszanymi przez wykrywacz strumienia NoVirusThanks. Skonfigurowałem Monitor Procesów SysInternals, aby szukał procesów tworzących / dotykających tych alternatywnych strumieni danych, i zaktualizuję to pytanie, jeśli zobaczę cokolwiek w wyniku tego monitorowania.
Tylko do Twojej wiadomości, już przeprowadziłem wiele badań w tym zakresie. Mój pierwszy kontakt z alternatywnymi strumieniami danych miał miejsce, kiedy NTFS został ogłoszony na początku lat 90-tych. Nie martwię się tak naprawdę o same ADS, ponieważ wszystkie mają rozmiar zero, ale mniej więcej jest to potencjalnie „kanarek w kopalni węgla” dla niektórych złośliwych programów.
Uruchomiłem narzędzie wiersza polecenia typu open source, które identyfikuje i opcjonalnie usuwa alternatywne strumienie danych NTFS. Projekt jest hostowany na gitHub na wypadek, gdyby ktoś uznał go za przydatny.
10 maja zauważyłem, że na innych komputerach z systemem Windows 10, które nie są własnością ani nie zostały przeze mnie dotknięte, alternatywne strumienie danych o nazwie Win32App_1 są dołączone do różnych folderów na dysku systemowym. Wydają się być związane z samym systemem Windows 10. Oczekuję, że są one wykorzystywane w procesie katalogowania.