web-dev-qa-db-ja.com

多数のフォルダに添付された代替データストリーム「Win32App_1」

私のWindows10マシンには、システムドライブ全体のさまざまなフォルダーに接続されたWin32App_1という名前の多数のNTFS 代替データストリーム があります。 NoVirusThanksのStreamDetectorは、それらがゼロサイズの$DATAストリームであることを検出します。

何がこれらのストリームを作成したのか誰か知っていますか?

Windows Defenderのオフラインスキャンでは、不要なものは何も検出されません。

Zone.Identifier$DATAストリームもたくさん見られますが、これらはインターネットからダウンロードされたファイルのソースを識別するための単なるWindowsメタデータストリームであることはすでに知っています。全く気になりません。

Windows 10を自分で空のディスクにインストールしたので、製造元から追加されませんでした。すでにストリームを削除しているため、例を投稿できません。

2017-04-18現在の更新:マシンを再度スキャンしたところ、代替データストリームが戻ってきました。 more < C:\path\to\alternate_data_stream:Win32App_1を使用すると、ストリームのコンテンツが何もないことが示され、NoVirusThanksのStreamDetectorによって報告された結果と一致します。これらの代替データストリームを作成/アクセスしているプロセスを探すようにSysInternalsのプロセスモニターを設定しました。その監視の結果として何かが表示された場合は、この質問を更新します。

参考までに、私はすでにこれについて多くの研究を行っています。代替データストリームとの最初の接触は、NTFSが90年代初頭に最初に発表されたときでした。実際のADS自体はすべてゼロサイズであるため、それほど心配していませんが、多かれ少なかれ、これは一部のマルウェアの「炭鉱のカナリア」である可能性があります。

NTFS代替データストリームを識別し、オプションで削除するオープンソースのコマンドラインユーティリティを起動しました。プロジェクトは gitHubでホストされています 誰かがそれが役に立つと思う場合に備えて。

5月10日の時点で、私が所有またはアクセスしていない他のWindows 10マシンでは、Win32App_1という名前の代替データストリームがシステムドライブ全体のさまざまなフォルダーに接続されていることを確認できました。それらはWindows10自体に関連しているようです。ある種の目録作成プロセスで使用されることを期待しています。

windows-10ntfsalternate-data-stream
6
Max Vernon

Win32App_1代替データストリームは、Windowsオペレーティングシステムの一部である「ストレージサービス」サービスによって作成されます。 Windows 10より前のバージョンのサービスは、これらのストリームを作成していないようです。

Visual Studio2017で利用可能なdumpbin.exeツールなどのPortable-Executableビューアを使用して%SystemRoot%\System32\StorSvc.dllのリソースセクションを確認すると、Win32App_1が数回参照されていることがわかります。

Sysinternals Process Monitorを約1週間実行して、Win32App_1代替データストリームを作成しているプロセスを特定しました。ストリームを作成するプロセスとして、SvcHost.exeのコマンドラインで-k LocalSystemNetworkRestricted -s StorSvcが表示されました。 ストレージサービスは、「設定」アプリの「ストレージ」アプレットによって使用されているようです

ストリームのソースとしてストレージサービス/ストレージ設定を検証するために、以下を使用しました。

  1. 私は ADSIdentifier app toWin32App_1という名前のすべてのストリームを識別して削除しました:
    コマンドライン:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. 「ストレージサービス」サービスを停止して再開しました。
    net stop "storage service"
    net start "storage service"
  3. サービスが実行されたら、「設定」アプリを開き、「ストレージ」セクションに移動し、システムドライブ(C :)をクリックして、ドライブの「ストレージ使用量」の詳細を表示しました。
  4. ADSIdentifierを再実行し、ストリームが再作成されたことを確認しました。コマンドライン:ADSIdentifier /folder:C:\ /pattern:Win32App_1
5
Max Vernon

コンピューティングの基本的なルールは次のとおりです。空のファイルまたはストリーム自体が脅威をもたらすことはありません。

ただし、アプリ(慈悲深いまたは悪意のある)が、ファイルごとの信号のように、空のファイルまたは代替ストリームの単なる存在に意味を割り当てる可能性があります。経験から、これはまれであることがわかります。

この場合、私は実用的な答えを探します。これらのストリームを含むファイルの完全なリストを作成し、これらのストリームを削除してから、何がそれらを作成するかを見つけるために数日間警戒してください。それらが再作成されない可能性が非常に高いです。これらのストリームが失われた結果として異常が発生した場合は、リストを使用してそれらを復元してください。

2
user477799