Fluxo de Dados Alternativo “Win32App_1” anexado a um grande número de pastas

8

Minha máquina com Windows 10 tem um grande número de NTFS Fluxos de dados alternativos denominados Win32App_1 anexados a várias pastas em toda a unidade do sistema. NoVirusThanks 'Stream Detector detecta-os como sendo de tamanho zero $DATA streams.

Alguém sabe o que pode ter criado esses fluxos?

O rastreamento offline do Windows Defender não detecta nada indesejado.

Também estou vendo muito Zone.Identifier $DATA streams, embora eu já saiba que são apenas streams de metadados do Windows para identificar a origem de um arquivo baixado da Internet. Eu não estou preocupado com eles.

Eu mesmo instalei o Windows 10 em um disco vazio, para que eles não fossem adicionados pelo fabricante. Não posso postar exemplos porque já removi os fluxos.

Atualização a partir de 2017-04-18: Acabei de verificar a minha máquina novamente e os fluxos de dados alternativos estão de volta. O uso de more < C:\path\to\alternate_data_stream:Win32App_1 mostra que o conteúdo do fluxo não é nada, consistente com os resultados relatados pelo Stream Detector do NoVirusThanks. Eu configurei o Process Monitor do SysInternals para procurar por processos que estão criando / tocando esses fluxos de dados alternativos, e atualizarei esta questão se eu vir algo como resultado desse monitoramento.

Apenas FYI, eu já fiz um monte de pesquisas sobre isso. Meu primeiro contato com fluxos de dados alternativos foi quando o NTFS foi anunciado pela primeira vez no início dos anos 90. Eu não estou muito preocupado com o próprio ADS, já que eles são todos de tamanho zero, mas mais ou menos é potencialmente um "canário na mina de carvão" para alguns malwares.

Eu iniciei um utilitário de linha de comando de código aberto que identifica e, opcionalmente, remove os fluxos de dados alternativos NTFS. O projeto é hospedado no gitHub para o caso de alguém achar útil.

A partir de 10 de maio, pude observar que outras máquinas do Windows 10 não pertencentes ou tocadas por mim têm os fluxos de dados alternativos chamados Win32App_1 anexados a várias pastas em toda a unidade do sistema. Eles parecem estar relacionados ao próprio Windows 10. Espero que eles sejam usados em algum tipo de processo de catalogação.

    
por Max Vernon 13.04.2017 / 20:26

2 respostas

6

O Win32App_1 Alternate Data Stream é criado pelo serviço "Storage Service", que faz parte do sistema operacional Windows. Versões do serviço antes do Windows 10 não aparecem para criar esses fluxos.

Se você usar um visualizador Portable-Executable, como a ferramenta dumpbin.exe disponível no Visual Studio 2017, para examinar as seções de recursos de %SystemRoot%\System32\StorSvc.dll , poderá ver o Win32App_1 mencionado várias vezes.

Eu executei o Sysinternals Process Monitor por cerca de uma semana para determinar qual processo estava criando os fluxos de dados alternativos Win32App_1. Ele mostrou SvcHost.exe com uma linha de comandos de -k LocalSystemNetworkRestricted -s StorSvc como o processo que cria os fluxos. O .

Eu usei o seguinte para validar as configurações do Serviço de armazenamento / armazenamento como a origem dos fluxos:

  1. Usei meu aplicativo ADSIdentifier para identificar e remover todos os fluxos denominados Win32App_1:
    linha de comando: ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. Parei e reiniciei o serviço "Serviço de armazenamento".
    net stop "storage service"
    net start "storage service"
  3. Quando o serviço estava em execução, abri o aplicativo "Configurações", fui para a seção "Armazenamento", cliquei na unidade de sistema (C :) para exibir os detalhes de "Uso de armazenamento" da unidade.
  4. Reexecutou o ADSIdentifier e viu que os fluxos foram recriados. linha de comando: ADSIdentifier /folder:C:\ /pattern:Win32App_1
por 26.05.2017 / 20:37
4

A regra básica da computação é: um arquivo ou fluxo vazio por si só não pode representar uma ameaça.

No entanto, é possível que um aplicativo (benevolente ou mal-intencionado) atribua um significado à mera existência de um arquivo vazio ou fluxo alternativo, como um sinal por arquivo. A experiência me diz que isso é raro.

Nesse caso, eu gostaria de uma resposta prática: faça uma lista completa dos arquivos que possuem esses fluxos, exclua esses fluxos e fique atento por alguns dias para descobrir o que os cria. É muito possível que eles não sejam recriados. Se você encontrar alguma anomalia como resultado da perda desses fluxos, restaure-os usando sua lista.

    
por 05.05.2017 / 08:34