Flux de données alternatif «Win32App_1» attaché à un grand nombre de dossiers

6

Ma machine Windows 10 a un grand nombre de flux de données alternatifs NTFS nommés Win32App_1attachés à divers dossiers sur le lecteur système. Le détecteur de flux de NoVirusThanks les détecte comme étant des $DATAflux de taille nulle .

Est-ce que quelqu'un sait ce qui a pu créer ces flux?

L'analyse hors ligne de Windows Defender ne détecte rien de indésirable.

Je vois également beaucoup de Zone.Identifier $DATAflux, bien que je sache déjà qu'il s'agit simplement de flux de métadonnées Windows pour identifier la source d'un fichier téléchargé depuis Internet. Je ne m'en soucie pas du tout.

J'ai installé Windows 10 moi-même sur un disque vierge, ils n'ont donc pas été ajoutés par le fabricant. Je ne peux pas publier d'exemples car j'ai déjà supprimé les flux.

Mise à jour du 18/04/2017: je viens de scanner à nouveau ma machine et les flux de données alternatifs sont de retour. L'utilisation more < C:\path\to\alternate_data_stream:Win32App_1montre que le contenu du flux n'est rien, conformément aux résultats rapportés par le détecteur de flux de NoVirusThanks. J'ai configuré Moniteur de processus de SysInternals pour rechercher les processus qui créent / touchent ces flux de données alternatifs, et mettra à jour cette question si je vois quelque chose à la suite de cette surveillance.

Juste pour info, j'ai déjà fait beaucoup de recherches à ce sujet. Mon premier contact avec des flux de données alternatifs a eu lieu lorsque NTFS a été annoncé pour la première fois au début des années 90. Je ne suis pas tellement préoccupé par les ADS eux-mêmes, car ils sont tous de taille nulle, mais c'est plus ou moins potentiellement un "canari dans la mine de charbon" pour certains logiciels malveillants.

J'ai lancé un utilitaire de ligne de commande open source qui identifie et supprime éventuellement les flux de données alternatifs NTFS. Le projet est hébergé sur gitHub au cas où quelqu'un le trouverait utile.

Depuis le 10 mai, j'ai pu observer que d'autres machines Windows 10 qui ne m'appartiennent pas ou que je ne touche pas ont les flux de données alternatifs nommés Win32App_1 attachés à divers dossiers sur le lecteur système. Ils semblent être liés à Windows 10 lui-même. Je m'attends à ce qu'ils soient utilisés dans une sorte de processus de catalogage.

windows-10  ntfs  alternate-data-stream 
Max Vernon
source
Vous voudrez peut-être lire cet article: blogs.technet.microsoft.com/askcore/2013/03/24/…
Hefewe1zen

Réponses:

5

Win32App_1 Le flux de données alternatif est créé par le service "Storage Service" qui fait partie du système d'exploitation Windows. Les versions du service antérieures à Windows 10 ne semblent pas créer ces flux.

Si vous utilisez une visionneuse exécutable portable, telle que l' dumpbin.exeoutil disponible dans Visual Studio 2017, pour consulter les sections de ressources de %SystemRoot%\System32\StorSvc.dll, vous pouvez voir Win32App_1 référencé plusieurs fois.

J'ai exécuté Sysinternals Process Monitor pendant environ une semaine pour déterminer quel processus créait les flux de données alternatifs Win32App_1. Il s'est affiché SvcHost.exeavec une ligne de commande de -k LocalSystemNetworkRestricted -s StorSvccomme le processus de création des flux. Le service de stockage semble être utilisé par l'applet "Stockage" dans l'application "Paramètres" .

J'ai utilisé les éléments suivants pour valider les paramètres du service de stockage / stockage en tant que source des flux:

  1. J'ai utilisé mon application ADSIdentifier pour identifier et supprimer tous les flux nommés Win32App_1:
    ligne de commande:ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. J'ai arrêté et redémarré le service "Storage Service".
    net stop "storage service"
    net start "storage service"
  3. Une fois le service lancé, j'ai ouvert l'application "Paramètres", je suis allé dans la section "Stockage", j'ai cliqué sur mon lecteur système (C :) pour afficher les détails "Utilisation du stockage" du lecteur.
  4. Relancez l'ADSIdentifier et constatez que les flux ont été recréés. ligne de commande:ADSIdentifier /folder:C:\ /pattern:Win32App_1
Max Vernon
source
2

La règle cardinale de l'informatique est la suivante: un fichier ou un flux vide ne peut à lui seul constituer une menace.

Il est cependant possible qu'une application (bienveillante ou malveillante) attribue une signification à la simple existence d'un fichier vide ou d'un flux alternatif, comme un signal par fichier. L'expérience me dit que c'est rare.

Dans ce cas, j'irais pour une réponse pratique: faites une liste complète des fichiers qui ont ces flux, supprimez ces flux, puis soyez vigilant pendant quelques jours pour savoir ce qui les crée. Il est fort possible qu'ils ne soient pas recréés. Si vous rencontrez une anomalie à la suite de la perte de ces flux, restaurez-les à l'aide de votre liste.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.