Han*_*non 6 ntfs alternate-data-stream windows-10
我的 Windows 10 机器有大量的 NTFS备用数据流,它们被命名为Win32App_1连接到整个系统驱动器的各种文件夹。NoVirusThanks 的 Stream Detector 将它们检测为零大小的$DATA流。
有谁知道是什么创造了这些流?
Windows Defender 脱机扫描检测到任何不需要的东西。
我也看到了很多Zone.Identifier $DATA流,尽管我已经知道这些只是 Windows 元数据流,用于识别从 Internet 下载的文件的来源。我根本不关心他们。
我自己在空白磁盘上安装了 Windows 10,因此制造商没有添加它们。我无法发布示例,因为我已经删除了流。
2017 年 4 月 18 日更新:我刚刚再次扫描了我的机器,备用数据流又回来了。Usingmore < C:\path\to\alternate_data_stream:Win32App_1显示流的内容为空,与 NoVirusThanks 的 Stream Detector 报告的结果一致。我已经设置了 SysInternals 的 Process Monitor 来查找正在创建/接触这些备用数据流的进程,如果我看到任何监控结果,我会更新这个问题。
仅供参考,我已经对此进行了大量研究。我第一次接触替代数据流是在 90 年代初首次宣布 NTFS 时。我不太关心实际的 ADS 本身,因为它们都是零大小,但这或多或少可能是某些恶意软件的“煤矿中的金丝雀”。
我已经启动了一个开源命令行实用程序,它可以识别并选择性地删除 NTFS 备用数据流。该项目托管在 gitHub,以防有人发现它有用。
截至 5 月 10 日,我已经能够观察到其他非我拥有或接触的 Windows 10 计算机将名为 Win32App_1 的备用数据流附加到整个系统驱动器的各个文件夹中。它们似乎与 Windows 10 本身有关。我希望它们用于某种编目过程。
Win32App_1 备用数据流由作为 Windows 操作系统一部分的“存储服务”服务创建。Windows 10 之前的服务版本似乎不会创建这些流。
如果使用 Portable-Executable 查看器(例如dumpbin.exeVisual Studio 2017 中提供的工具)查看 的资源部分%SystemRoot%\System32\StorSvc.dll,则可以看到多次引用 Win32App_1。
我运行 Sysinternals Process Monitor 大约一个星期,以确定哪个进程正在创建 Win32App_1 备用数据流。它SvcHost.exe以命令行显示-k LocalSystemNetworkRestricted -s StorSvc为创建流的过程。该存储服务似乎是由“存储”小程序中的“设置”应用程序使用。
我使用以下内容验证存储服务/存储设置作为流的来源:
ADSIdentifier /folder:C:\ /pattern:Win32App_1 /rnet stop "storage service"net start "storage service" ADSIdentifier /folder:C:\ /pattern:Win32App_1| 归档时间: |
|
| 查看次数: |
3064 次 |
| 最近记录: |