Alternativer Datenstrom "Win32App_1", verbunden mit einer großen Anzahl von Ordnern

1587
Max Vernon

Auf meinem Windows 10-Computer sind zahlreiche NTFS- Alternativdatenströme benannt Win32App_1, die verschiedenen Ordnern im gesamten Systemlaufwerk zugeordnet sind. Der Stream Detector von NoVirusThanks erkennt sie als $DATAStreams der Größe null .

Weiß jemand, was diese Streams erstellt haben kann?

Die Offline-Suche von Windows Defender erkennt nichts Unerwünschtes.

Ich sehe auch eine Menge Zone.Identifier $DATAStreams, obwohl ich bereits weiß, dass dies einfach Windows-Metadaten-Streams sind, um die Quelle einer Datei zu identifizieren, die aus dem Internet heruntergeladen wurde. Ich mache mir überhaupt keine Sorgen.

Ich habe Windows 10 selbst auf einer leeren Festplatte installiert, sodass sie vom Hersteller nicht hinzugefügt wurde. Ich kann keine Beispiele posten, da ich die Streams bereits entfernt habe.

Update vom 18.04.2017: Ich habe meinen Rechner gerade noch einmal gescannt und die alternativen Datenströme sind zurück. Die Verwendung more < C:\path\to\alternate_data_stream:Win32App_1zeigt, dass der Inhalt des Streams nichts ist, was mit den Ergebnissen des Stream Detector von NoVirusThanks übereinstimmt. Ich habe den Prozess-Monitor von SysInternals so eingerichtet, dass er nach Prozessen sucht, die diese alternativen Datenströme erstellen / berühren, und werde diese Frage aktualisieren, wenn ich etwas als Ergebnis dieser Überwachung sehe.

Nur zu Ihrer Information, ich habe schon eine Menge Recherchen dazu gemacht. Mein erster Kontakt mit alternativen Datenströmen war, als NTFS Anfang der 90er Jahre erstmals angekündigt wurde. Ich bin nicht so sehr besorgt über die eigentliche ADS selbst, da sie alle null Größe haben, aber mehr oder weniger ist dies möglicherweise ein "Kanarienvogel im Kohlenbergwerk" für einige Malware.

Ich habe ein Open-Source-Befehlszeilenprogramm gestartet, das alternative NTFS-Datenströme identifiziert und optional entfernt. Das Projekt wird bei gitHub gehostet, falls es für jemanden nützlich ist.

Seit dem 10. Mai konnte ich feststellen, dass auf anderen Windows 10-Computern, die nicht in meinem Besitz sind oder von mir berührt werden, die alternativen Datenströme namens Win32App_1 mit verschiedenen Ordnern auf dem Systemlaufwerk verbunden sind. Sie scheinen sich auf Windows 10 selbst zu beziehen. Ich gehe davon aus, dass sie in einem Katalogisierungsprozess verwendet werden.

8
Sie können diesen Artikel lesen: https://blogs.technet.microsoft.com/askcore/2013/03/24/alternate-data-streams-in-ntfs/ Hefewe1zen vor 7 Jahren 0

2 Antworten auf die Frage

6
Max Vernon

Win32App_1 Alternativer Datenstrom wird vom "Storage Service" -Dienst erstellt, der Teil des Windows-Betriebssystems ist. Versionen des Diensts vor Windows 10 scheinen diese Streams nicht zu erstellen.

Wenn Sie einen Portable-Executable-Viewer (z. B. das dumpbin.exein Visual Studio 2017 verfügbare Tool) verwenden, um die Ressourcenabschnitte von %SystemRoot%\System32\StorSvc.dllanzuzeigen, wird Win32App_1 mehrfach angezeigt.

Ich habe Sysinternals Process Monitor etwa eine Woche lang ausgeführt, um festzustellen, welcher Prozess die alternativen Datenströme Win32App_1 erstellt. Es zeigte sich SvcHost.exemit einer Befehlszeile -k LocalSystemNetworkRestricted -s StorSvcals der Prozess, der die Streams erstellt. Der Storage Service scheint vom Applet "Storage" in der App "Settings" verwendet zu werden .

Ich habe die folgenden Einstellungen verwendet, um die Speicherdienst- / Speichereinstellungen als Quelle der Streams zu überprüfen:

  1. Ich habe meine ADSIdentifier-App verwendet, um alle Streams mit dem Namen Win32App_1 zu identifizieren und zu entfernen :
    Befehlszeile:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. Ich habe den Dienst "Storage Service" gestoppt und neu gestartet.
    net stop "storage service"
    net start "storage service"
  3. Sobald der Dienst ausgeführt wurde, öffnete ich die App "Einstellungen", ging zum Abschnitt "Speicher" und klickte auf mein Systemlaufwerk (C :), um die Details zu "Speichernutzung" für das Laufwerk anzuzeigen.
  4. Führen Sie den ADSI-Identifier erneut aus und stellen Sie fest, dass die Streams neu erstellt wurden. Befehlszeile:ADSIdentifier /folder:C:\ /pattern:Win32App_1
4

Die Grundregel der Berechnung lautet: Eine leere Datei oder ein leerer Stream allein kann keine Bedrohung darstellen.

Es ist jedoch möglich, dass eine App (wohlwollend oder böswillig) dem bloßen Vorhandensein einer leeren Datei oder eines alternativen Streams, z. B. eines Signals pro Datei, eine Bedeutung zuweist. Die Erfahrung sagt mir, dass dies selten ist.

In diesem Fall würde ich auf eine praktische Antwort gehen: Erstellen Sie eine vollständige Liste der Dateien, die diese Streams enthalten, löschen Sie diese Streams und achten Sie dann einige Tage darauf, um herauszufinden, wie sie erstellt werden. Es ist sehr gut möglich, dass sie nicht neu erstellt werden. Wenn Sie aufgrund des Verlusts dieser Streams Anomalien feststellen, stellen Sie sie mithilfe Ihrer Liste wieder her.

Verwandte Probleme