Вопрос или проблема
На моем компьютере с Windows 10 имеется большое количество альтернативных потоков данных NTFS, называемых Win32App_1, прикрепленных к различным папкам на системном диске. Программа Stream Detector от NoVirusThanks обнаруживает их как потоки размера ноль $DATA.
Кто-нибудь знает, что могло создать эти потоки?
Офлайн-сканирование Windows Defender ничего нежелательного не обнаруживает.
Я также вижу много потоков Zone.Identifier $DATA, хотя я уже знаю, что это просто метаданные Windows для идентификации источника файла, загруженного из Интернета. Меня это совершенно не беспокоит.
Я сам установил Windows 10 на пустой диск, так что они не были добавлены производителем. Я не могу привести примеры, так как уже удалил эти потоки.
Обновление на 2017-04-18: Я только что снова просканировал свой компьютер, и альтернативные потоки данных снова появились. Используя more < C:\path\to\alternate_data_stream:Win32App_1, я вижу, что содержимое потока пустое, что соответствует результатам, сообщенным Stream Detector от NoVirusThanks. Я настроил Process Monitor от SysInternals для отслеживания процессов, создающих или касающихся этих альтернативных потоков данных, и обновлю этот вопрос, если замечу что-либо в результате мониторинга.
Для вашего сведения, я уже провел массу исследований по этому поводу. Мой первый контакт с альтернативными потоками данных был, когда NTFS был впервые анонсирован в начале 90-х. Меня не настолько беспокоит сам ADS, так как они все имеют нулевой размер, сколько потенциально это может быть «канарейкой в угольной шахте» для какого-либо вредоносного ПО.
Я начал разработку утилиты командной строки с открытым исходным кодом, которая идентифицирует и по желанию удаляет альтернативные потоки данных NTFS. Проект размещен на gitHub, если кто-то найдет его полезным.
На 10 мая я смог наблюдать, что другие компьютеры с Windows 10, не находящиеся в моей собственности и не тронутые мной, имеют альтернативные потоки данных с именем Win32App_1, прикрепленные к различным папкам на системном диске. Похоже, что они связаны с самой Windows 10. Я предполагаю, что они используются в каком-то каталожном процессе.
Альтернативный поток данных Win32App_1 создается службой “Storage Service”, которая является частью операционной системы Windows. Версии этой службы до Windows 10, похоже, не создают этих потоков.
Если вы используете просмотрщик Portable-Executable, такой как инструмент dumpbin.exe, доступный в Visual Studio 2017, чтобы просмотреть разделы ресурсов %SystemRoot%\System32\StorSvc.dll, вы можете увидеть, что Win32App_1 упоминается несколько раз.
Я запускал Process Monitor от Sysinternals на протяжении недели, чтобы определить, какой процесс создавал альтернативные потоки данных Win32App_1. Он показал SvcHost.exe с командной строкой -k LocalSystemNetworkRestricted -s StorSvc как процесс, создающий потоки. Служба хранения, похоже, используется приложением “Хранилище” в приложении “Настройки”.
Я использовал следующие шаги, чтобы подтвердить, что служба хранения/настройки хранения являются источником потоков:
- Я использовал свое приложение ADSIdentifier, чтобы идентифицировать и удалить все потоки с именем Win32App_1:
командная строка:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r - Я остановил и снова запустил службу “Storage Service”.
net stop "storage service"
net start "storage service" - Как только служба заработала, я открыл приложение “Настройки”, перешел в раздел “Хранилище”, щелкнул на моем системном диске (C:), чтобы отобразить детали “Использование хранилища” для диска.
- Снова запустил ADSIdentifier и увидел, что потоки были восстановлены.
командная строка:ADSIdentifier /folder:C:\ /pattern:Win32App_1
Главное правило вычислительной техники: Пустой файл или поток сам по себе не может представлять угрозу.
Тем не менее, возможно, что приложение (доброе или злонамеренное) придает смысл лишь существованию пустого файла или альтернативного потока, словно это сигнал на уровне файла. Опыт подсказывает мне, что это редко.
В этом случае я бы пошел по практическому пути: Составьте полный список файлов, имеющих эти потоки, удалите эти потоки, а затем будьте бдительны в течение нескольких дней, чтобы узнать, что их создает. Очень возможно, что они не будут восстановлены. Если вы столкнетесь с аномалией из-за утраты этих потоков, восстановите их, используя ваш список.
Ответ или решение
На вашем компьютере с Windows 10 были обнаружены потоки альтернативных данных (ADS) с названием Win32App_1, прикрепленные ко многим папкам на системном диске. Эти потоки являются нулевыми по размеру и были выявлены с помощью инструмента NoVirusThanks’ Stream Detector. Поскольку вы не видите никаких неблагоприятных результатов от сканирования Windows Defender, необходимо разобраться, что могло быть источником появления этих потоков.
Причины появления альтернативных потоков данных Win32App_1
Сообщается, что эти определенные потоки создаются службой "Хранение" (Storage Service), которая является частью операционной системы Windows 10. Обратите внимание, что аналогичные службы в предыдущих версиях Windows не создали бы такие потоки.
Выявление источника
Вы можете использовать утилиты, такие как dumpbin.exe из Visual Studio, для просмотра ресурсных секций файла %SystemRoot%\System32\StorSvc.dll, чтобы подтвердить наличие ссылки на Win32App_1. Процесс, создающий эти потоки, идентифицируемый в диспетчере задач, называется SvcHost.exe с определенной командной строкой, указывающей на запущенную службу "Хранение".
Рекомендации по мониторингу и устранению
-
Идентификация потоков: Используйте вашу собственную утилиту
ADSIdentifier, чтобы создать список всех файлов с потокамиWin32App_1. Используйте команду:ADSIdentifier /folder:C:\ /pattern:Win32App_1 -
Удаление потоков: Если вы хотите удалить эти потоки, используйте следующую команду:
ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r -
Мониторинг службы: Остановите и запустите службу "Хранение", чтобы проверить, будут ли потоки воссозданы:
net stop "storage service" net start "storage service" -
Наблюдение за процессами: Примените инструмент Sysinternals’ Process Monitor, чтобы отслеживать процессы, создающие потоки
Win32App_1. -
Проверка на вредоносные программы: Продолжайте следить за системой после удаления потоков, чтобы определить, будут ли они воссозданы. Если вы заметите какие-либо аномалии в работе системы, возможно, следует выполнить полное сканирование системы на наличие вредоносных программ.
Заключение
Потоки Win32App_1, как вы отметили, являются нулевыми и, в общем случае, безвредными. Однако их появление может быть признаком либо нормального функционирования системных служб Windows, либо потенциальной подозрительной активности. Важно поддерживать регулярный мониторинг и использовать инструменты безопасности для защиты вашей системы. Помните, что наличие пустого файла или потока данных не представляет угрозы самостоятельно, но к этому факту стоит подходить с осторожностью и внимательностью.