La mia macchina Windows 10 ha un gran numero di flussi di dati alternativi NTFS denominati Win32App_1
associati a varie cartelle in tutta l'unità di sistema. Stream Detector di NoVirusThanks li rileva come $DATA
flussi di dimensioni zero .
Qualcuno sa cosa potrebbe aver creato questi flussi?
La scansione offline di Windows Defender non rileva nulla di indesiderato.
Inoltre sto vedendo molti Zone.Identifier
$DATA
flussi, anche se so già che sono semplicemente flussi di metadati di Windows per identificare la fonte di un file scaricato da Internet. Non sono affatto preoccupato per loro.
Ho installato Windows 10 da solo su un disco vuoto, quindi non sono stati aggiunti dal produttore. Non riesco a pubblicare esempi perché ho già rimosso i flussi.
Aggiornamento dal 18/04/2017: ho appena scansionato di nuovo la mia macchina e i flussi di dati alternativi sono tornati. L'utilizzo more < C:\path\to\alternate_data_stream:Win32App_1
mostra che il contenuto del flusso non è nulla, in linea con i risultati riportati dal Rilevatore di flusso di NoVirusThanks. Ho installato Process Monitor di SysInternals per cercare processi che stanno creando / toccando flussi di dati alternativi e aggiornerò questa domanda se vedo qualcosa come risultato di quel monitoraggio.
Cordiali saluti, ho già fatto un sacco di ricerche su questo. Il mio primo contatto con flussi di dati alternativi fu quando NTFS fu annunciato per la prima volta nei primi anni '90. Non sono molto preoccupato per gli attuali ADS stessi poiché sono tutti di dimensioni zero, ma più o meno è potenzialmente un "canarino nella miniera di carbone" per alcuni malware.
Ho avviato un'utilità da riga di comando open source che identifica e rimuove facoltativamente flussi di dati alternativi NTFS. Il progetto è ospitato su gitHub nel caso in cui qualcuno lo ritenga utile.
A partire dal 10 maggio, sono stato in grado di osservare che altre macchine Windows 10 non possedute o toccate da me hanno i flussi di dati alternativi denominati Win32App_1 collegati a varie cartelle nell'unità di sistema. Sembrano essere correlati a Windows 10 stesso. Mi aspetto che vengano utilizzati in una sorta di processo di catalogazione.