На моем компьютере с Windows 10 имеется большое количество альтернативных потоков данных NTFS с именем Win32App_1
подключенных к различным папкам на системном диске. Детектор потока NoVirusThanks обнаруживает их как потоки $DATA
нулевого размера.
Кто-нибудь знает, что могло создать эти потоки?
Автономное сканирование Защитника Windows не обнаруживает ничего нежелательного.
Я также вижу много Zone.Identifier
$DATA
, хотя я уже знаю, что это просто потоки метаданных Windows для определения источника файла, который был загружен из Интернета. Я не беспокоюсь о них вообще.
Я сам установил Windows 10 на чистый диск, поэтому он не был добавлен производителем. Я не могу публиковать примеры, потому что я уже удалил потоки.
Обновление от 2017-04-18: Я только что снова проверил свою машину, и альтернативные потоки данных вернулись. Использование параметра more < C:\path\to\alternate_data_stream:Win32App_1
показывает, что содержимое потока является ничем, что согласуется с результатами, сообщенными детектором потока NoVirusThanks. Я настроил монитор процессов SysInternals для поиска процессов, которые создают / касаются этих альтернативных потоков данных, и обновлю этот вопрос, если я увижу что-либо в результате этого мониторинга.
Просто к вашему сведению, я уже провел множество исследований по этому вопросу. Мой первый контакт с альтернативными потоками данных был, когда NTFS была впервые анонсирована в начале 90-х годов. Меня не очень беспокоит собственно сама ADS, поскольку все они имеют нулевой размер, но в большей или меньшей степени это потенциально "канарейка в шахте" для некоторых вредоносных программ.
Я запустил утилиту командной строки с открытым исходным кодом, которая идентифицирует и, при необходимости, удаляет альтернативные потоки данных NTFS. Проект размещается на gitHub на случай, если кто-нибудь найдет его полезным.
По состоянию на 10 мая я смог заметить, что на других машинах с Windows 10, не принадлежащих мне или не затронутых мной, альтернативные потоки данных с именем Win32App_1 подключены к различным папкам на системном диске. Похоже, они связаны с самой Windows 10. Я ожидаю, что они используются в каком-то процессе каталогизации.