वैकल्पिक डेटा स्ट्रीम "Win32App_1" फ़ोल्डरों की एक बड़ी संख्या से जुड़ी हुई है

मेरी विंडोज 10 मशीन में बड़ी संख्या में NTFS वैकल्पिक डेटा स्ट्रीम हैं, जिन्हें Win32App_1सिस्टम ड्राइव में विभिन्न फ़ोल्डरों से जोड़ा गया है। NoVirusThanks 'स्ट्रीम डिटेक्टर उन्हें शून्य आकार $DATAधाराओं के रूप में पता लगाता है ।

क्या किसी को पता है कि इन धाराओं को क्या बनाया जा सकता है?

विंडोज डिफेंडर ऑफ़लाइन स्कैन अवांछित कुछ भी नहीं पता लगाता है।

मैं बहुत सारी Zone.Identifier $DATAधाराएँ भी देख रहा हूँ , हालाँकि मैं पहले से ही जानता हूँ कि वे केवल एक फाइल के स्रोत की पहचान करने के लिए विंडोज मेटाडेटा स्ट्रीम हैं जो इंटरनेट से डाउनलोड की गई थीं। मुझे उनकी बिल्कुल चिंता नहीं है।

मैंने खुद को एक खाली डिस्क पर विंडोज 10 स्थापित किया, इसलिए वे निर्माता द्वारा नहीं जोड़े गए थे। मैं उदाहरण पोस्ट नहीं कर सकता क्योंकि मैंने पहले ही धाराएँ हटा दी थीं।

2017-04-18 के अनुसार अपडेट करें: मैंने अपनी मशीन को फिर से स्कैन किया है, और वैकल्पिक डेटा स्ट्रीम वापस आ गई हैं। more < C:\path\to\alternate_data_stream:Win32App_1NoVirusThanks 'स्ट्रीम डिटेक्टर द्वारा रिपोर्ट किए गए परिणामों के अनुरूप, स्ट्रीम की सामग्री का उपयोग करना कुछ भी नहीं दिखाता है। मेरे पास उन वैकल्पिक डेटा धाराओं को बनाने / स्पर्श करने वाली प्रक्रियाओं को देखने के लिए SysInternals 'प्रक्रिया मॉनिटर है, और यदि मैं उस निगरानी के परिणामस्वरूप कुछ भी देखता हूं तो इस प्रश्न को अपडेट कर दूंगा।

सिर्फ FYI करें, मैं पहले ही इस पर शोध का भार उठा चुका हूं। वैकल्पिक डेटा धाराओं के साथ मेरा पहला संपर्क तब था जब 90 के दशक की शुरुआत में NTFS पहली बार घोषित किया गया था। मैं स्वयं वास्तविक ADS के बारे में इतना चिंतित नहीं हूं क्योंकि वे सभी शून्य-आकार के हैं, लेकिन कमोबेश यह संभावित रूप से कुछ मैलवेयर के लिए "कोयला में एक कैनरी" है।

मैंने एक ओपन-सोर्स कमांड-लाइन उपयोगिता शुरू की है जो पहचानता है और वैकल्पिक रूप से NTFS वैकल्पिक डेटा स्ट्रीम को हटाता है। यदि किसी को यह उपयोगी लगता है तो परियोजना को gitHub में होस्ट किया जाता है।

10 मई तक, मैं यह देख पा रहा हूं कि मेरे द्वारा स्वामित्व वाली या छुआ नहीं गई अन्य विंडोज 10 मशीनों में सिस्टम ड्राइव के दौरान विभिन्न फ़ोल्डरों से जुड़ी Win32App_1 नामक वैकल्पिक डेटा स्ट्रीम हैं। वे स्वयं विंडोज 10 से संबंधित प्रतीत होते हैं। मुझे उम्मीद है कि वे किसी प्रकार की कैटलॉगिंग प्रक्रिया में उपयोग किए जाते हैं।

Win32App_1 वैकल्पिक डेटा स्ट्रीम "संग्रहण सेवा" सेवा द्वारा बनाई गई है जो विंडोज ऑपरेटिंग सिस्टम का हिस्सा है। विंडोज 10 से पहले सेवा के संस्करण इन धाराओं को बनाने के लिए प्रकट नहीं होते हैं।

यदि आप dumpbin.exeVisual Studio 2017 में उपलब्ध उपकरण जैसे पोर्टेबल-एक्ज़ीक्यूटेबल व्यूअर का उपयोग करते हैं, तो संसाधन अनुभागों को देखने के लिए %SystemRoot%\System32\StorSvc.dll, आप कई बार Win32App_1 संदर्भित संदर्भित देख सकते हैं।

Win32App_1 वैकल्पिक डेटा स्ट्रीम बनाने के लिए कौन सी प्रक्रिया बना रहा है, यह निर्धारित करने के लिए मैंने लगभग एक सप्ताह तक Sysinternals Process Monitor चलाया। यह स्ट्रीम बनाने वाली प्रक्रिया SvcHost.exeके -k LocalSystemNetworkRestricted -s StorSvcरूप में कमांड-लाइन के साथ दिखा । संग्रहण सेवा "सेटिंग" अनुप्रयोग में "संग्रहण" एप्लेट द्वारा इस्तेमाल किया जा करने के लिए प्रकट ।

मैंने स्ट्रीम के स्रोत के रूप में संग्रहण सेवा / संग्रहण सेटिंग्स को मान्य करने के लिए निम्नलिखित का उपयोग किया:

1. मैंने Win32App_1: कमांड लाइन: नाम की सभी धाराओं को पहचानने और हटाने के लिए अपने ADSIdentifier एप्लिकेशन का उपयोग किया :
   ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
2. मैंने "संग्रहण सेवा" सेवा को रोक दिया और पुनः आरंभ किया।
   net stop "storage service"
net start "storage service"
3. एक बार सेवा चलने के बाद, मैंने "सेटिंग" ऐप खोला, "स्टोरेज" अनुभाग पर गया, ड्राइव के लिए "संग्रहण उपयोग" विवरण प्रदर्शित करने के लिए अपने सिस्टम ड्राइव (C :) पर क्लिक किया।
4. ADSIdentifier को फिर से चलाया और देखा कि धाराओं को फिर से बनाया गया है। कमांड लाइन:ADSIdentifier /folder:C:\ /pattern:Win32App_1

कंप्यूटिंग का कार्डिनल नियम है: एक खाली फाइल या धारा अपने आप में खतरा पैदा नहीं कर सकती है।

हालाँकि, यह संभव है कि एक ऐप (परोपकारी या पुरुषवादी) प्रति फ़ाइल सिग्नल की तरह एक खाली फ़ाइल या वैकल्पिक स्ट्रीम के अस्तित्व के लिए एक अर्थ प्रदान करता है। अनुभव बताता है कि यह दुर्लभ है।

इस मामले में, मैं एक व्यावहारिक उत्तर के लिए जाऊंगा: उन फ़ाइलों की पूरी सूची बनायें जिनमें ये धाराएँ हैं, इन धाराओं को हटा दें और फिर कुछ दिनों के लिए सतर्क रहें ताकि पता चल सके कि उन्हें क्या बनाता है। यह बहुत संभव है कि वे फिर से निर्मित न हों। क्या आप इन धाराओं के नुकसान के परिणामस्वरूप विसंगति का सामना कर सकते हैं, उन्हें अपनी सूची का उपयोग करके पुनर्स्थापित करें।