ฉันวินโดวส์ 10 เครื่องมีจำนวนมากของ NTFS สำรองกระแสข้อมูลชื่อWin32App_1ที่แนบมากับโฟลเดอร์ต่างๆทั่วไดรฟ์ระบบ เครื่องตรวจจับกระแสข้อมูล NoVirusThanks 'ตรวจพบว่าเป็น$DATAสตรีมขนาดศูนย์
ไม่มีใครรู้ว่าสิ่งที่อาจสร้างกระแสเหล่านี้?
การสแกนออฟไลน์ของ Windows Defender ตรวจพบสิ่งที่ไม่ต้องการ
ฉันเห็นZone.Identifier $DATAสตรีมจำนวนมากด้วยเช่นกันถึงแม้ว่าฉันรู้แล้วว่านี่เป็นเพียงสตรีมเมทาดาทาของ Windows สำหรับการระบุแหล่งที่มาของไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ต ฉันไม่ได้กังวลเกี่ยวกับพวกเขาเลย
ฉันติดตั้ง Windows 10 ด้วยตนเองในดิสก์เปล่าดังนั้นจึงไม่ได้เพิ่มจากผู้ผลิต ฉันไม่สามารถโพสต์ตัวอย่างได้เพราะฉันลบกระแสข้อมูลไปแล้ว
อัปเดตตั้งแต่วันที่ 2017-04-18: ฉันเพิ่งสแกนเครื่องของฉันอีกครั้งและกระแสข้อมูลสำรองกลับมาอีกครั้ง การใช้more < C:\path\to\alternate_data_stream:Win32App_1แสดงเนื้อหาของสตรีมให้เป็นอะไรก็ได้สอดคล้องกับผลลัพธ์ที่รายงานโดย NoVirusThanks 'Stream Detector ฉันมีการตั้งค่าการตรวจสอบกระบวนการของ SysInternals เพื่อค้นหากระบวนการที่กำลังสร้าง / สัมผัสกระแสข้อมูลทางเลือกเหล่านั้นและจะอัปเดตคำถามนี้หากฉันเห็นสิ่งใดอันเป็นผลมาจากการตรวจสอบนั้น
เพียงแค่ FYI ฉันได้ทำการค้นคว้าเรื่องนี้มาแล้ว การติดต่อครั้งแรกของฉันกับสตรีมข้อมูลทางเลือกคือเมื่อ NTFS ถูกประกาศครั้งแรกในช่วงต้นยุค 90 ฉันไม่ได้กังวลเกี่ยวกับโฆษณาจริงของตัวเองมากนักเนื่องจากมันมีขนาดเป็นศูนย์ แต่ไม่มากก็น้อยนี่อาจเป็น "นกขมิ้นในเหมืองถ่านหิน" สำหรับมัลแวร์บางตัว
ฉันได้เริ่มโปรแกรมอรรถประโยชน์บรรทัดคำสั่งโอเพนซอร์ซที่ระบุและลบตัวเลือกกระแสข้อมูลทางเลือกของ NTFS โครงการโฮสต์ที่ gitHubในกรณีที่ใคร ๆ เห็นว่ามีประโยชน์
ตั้งแต่วันที่ 10 พฤษภาคมเป็นต้นมาฉันสามารถสังเกตเห็นได้ว่าเครื่อง Windows 10 อื่น ๆ ที่ฉันไม่ได้เป็นเจ้าของหรือได้สัมผัสมีกระแสข้อมูลสำรองชื่อ Win32App_1 ที่แนบมากับโฟลเดอร์ต่าง ๆ ตลอดทั้งไดรฟ์ระบบ พวกเขาดูเหมือนจะเกี่ยวข้องกับ Windows 10 เอง ฉันคาดว่าพวกเขาจะใช้ในกระบวนการทำรายการบางประเภท