Flusso di dati alternativo "Win32App_1" collegato a un gran numero di cartelle

La mia macchina Windows 10 ha un gran numero di flussi di dati alternativi NTFS denominati Win32App_1associati a varie cartelle in tutta l'unità di sistema. Stream Detector di NoVirusThanks li rileva come $DATAflussi di dimensioni zero .

Qualcuno sa cosa potrebbe aver creato questi flussi?

La scansione offline di Windows Defender non rileva nulla di indesiderato.

Inoltre sto vedendo molti Zone.Identifier $DATAflussi, anche se so già che sono semplicemente flussi di metadati di Windows per identificare la fonte di un file scaricato da Internet. Non sono affatto preoccupato per loro.

Ho installato Windows 10 da solo su un disco vuoto, quindi non sono stati aggiunti dal produttore. Non riesco a pubblicare esempi perché ho già rimosso i flussi.

Aggiornamento dal 18/04/2017: ho appena scansionato di nuovo la mia macchina e i flussi di dati alternativi sono tornati. L'utilizzo more < C:\path\to\alternate_data_stream:Win32App_1mostra che il contenuto del flusso non è nulla, in linea con i risultati riportati dal Rilevatore di flusso di NoVirusThanks. Ho installato Process Monitor di SysInternals per cercare processi che stanno creando / toccando flussi di dati alternativi e aggiornerò questa domanda se vedo qualcosa come risultato di quel monitoraggio.

Cordiali saluti, ho già fatto un sacco di ricerche su questo. Il mio primo contatto con flussi di dati alternativi fu quando NTFS fu annunciato per la prima volta nei primi anni '90. Non sono molto preoccupato per gli attuali ADS stessi poiché sono tutti di dimensioni zero, ma più o meno è potenzialmente un "canarino nella miniera di carbone" per alcuni malware.

Ho avviato un'utilità da riga di comando open source che identifica e rimuove facoltativamente flussi di dati alternativi NTFS. Il progetto è ospitato su gitHub nel caso in cui qualcuno lo ritenga utile.

A partire dal 10 maggio, sono stato in grado di osservare che altre macchine Windows 10 non possedute o toccate da me hanno i flussi di dati alternativi denominati Win32App_1 collegati a varie cartelle nell'unità di sistema. Sembrano essere correlati a Windows 10 stesso. Mi aspetto che vengano utilizzati in una sorta di processo di catalogazione.

Win32App_1 Il flusso di dati alternativo viene creato dal servizio "Servizio di archiviazione" che fa parte del sistema operativo Windows. Le versioni del servizio precedenti a Windows 10 non sembrano creare questi flussi.

Se si utilizza un visualizzatore eseguibile portatile, come lo dumpbin.exestrumento disponibile in Visual Studio 2017, per esaminare le sezioni delle risorse di %SystemRoot%\System32\StorSvc.dll, è possibile vedere Win32App_1 a cui viene fatto riferimento più volte.

Ho eseguito Sysinternals Process Monitor per circa una settimana per determinare quale processo stava creando i flussi di dati alternativi Win32App_1. Ha mostrato SvcHost.execon una riga di comando -k LocalSystemNetworkRestricted -s StorSvccome processo di creazione dei flussi. Il servizio di archiviazione sembra essere utilizzato dall'applet "Archiviazione" nell'app "Impostazioni" .

Ho utilizzato quanto segue per convalidare le impostazioni del servizio di archiviazione / archiviazione come origine dei flussi:

1. Ho usato la mia app ADSIdentifier per identificare e rimuovere tutti i flussi denominati Win32App_1:
   riga di comando:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
2. Ho arrestato e riavviato il servizio "Servizio di archiviazione".
   net stop "storage service"
net start "storage service"
3. Una volta che il servizio era in esecuzione, ho aperto l'app "Impostazioni", sono andato nella sezione "Archiviazione", ho fatto clic sull'unità di sistema (C :) per visualizzare i dettagli "Utilizzo dell'archiviazione" per l'unità.
4. Riesegui il ADSIdentifier e vide che i flussi erano stati ricreati. riga di comando:ADSIdentifier /folder:C:\ /pattern:Win32App_1

La regola fondamentale dell'informatica è: un file o flusso vuoto da solo non può costituire una minaccia.

È tuttavia possibile che un'app (benevola o malevola) assegni un significato alla semplice esistenza di un file vuoto o di un flusso alternativo, come un segnale per file. L'esperienza mi dice che questo è raro.

In questo caso, cercherei una risposta pratica: fare un elenco completo dei file che hanno questi flussi, eliminare questi flussi e quindi essere vigile per alcuni giorni per scoprire cosa li crea. È molto probabile che non vengano ricreati. In caso di anomalie dovute alla perdita di questi flussi, ripristinarli utilizzando l'elenco.