많은 수의 폴더에 연결된 대체 데이터 스트림“Win32App_1”

내 윈도우 10 기계는 NTFS의 다수가 대체 데이터 스트림 라는 이름의 Win32App_1시스템 드라이브에 걸쳐 여러 폴더에 첨부합니다. NoVirusThanks의 스트림 탐지기는 $DATA스트림 크기가 0 인 것으로 탐지합니다 .

이 스트림을 만든 것이 무엇인지 아는 사람이 있습니까?

Windows Defender 오프라인 검색은 원치 않는 것을 감지하지 않습니다.

Zone.Identifier $DATA인터넷에서 다운로드 한 파일의 소스를 식별하기위한 Windows 메타 데이터 스트림이라는 것을 이미 알고 있지만 많은 스트림을 보고 있습니다. 나는 그들에 대해 전혀 걱정하지 않습니다.

빈 디스크에 Windows 10을 직접 설치했기 때문에 제조업체가 추가하지 않았습니다. 스트림을 이미 제거했기 때문에 예제를 게시 할 수 없습니다.

2017-04-18 현재 업데이트 : 방금 컴퓨터를 다시 스캔했으며 대체 데이터 스트림이 다시 있습니다. 를 사용하면 more < C:\path\to\alternate_data_stream:Win32App_1NoVirusThanks의 Stream Detector가보고 한 결과와 일치하여 스트림의 내용이 아무것도 아닌 것으로 표시됩니다. SysInternals의 프로세스 모니터에서 해당 대체 데이터 스트림을 작성 / 터치하는 프로세스를 찾도록 설정했으며 해당 모니터링의 결과로 볼 때이 질문을 업데이트합니다.

참고로, 나는 이미 이것에 대한 많은 연구를 수행했습니다. 대체 데이터 스트림과의 첫 접촉은 NTFS가 90 년대 초에 처음 발표되었을 때였습니다. 실제 ADS 자체는 모두 제로 크기이기 때문에 그다지 걱정하지 않지만 일부 악성 코드의 경우 잠재적으로 "탄산 탄수화물"일 가능성이 높습니다.

NTFS 대체 데이터 스트림을 식별하고 선택적으로 제거하는 오픈 소스 명령 줄 유틸리티를 시작했습니다. 누군가가 유용하다고 생각하는 경우 프로젝트는 gitHub 에서 호스팅됩니다 .

5 월 10 일 현재, 나 자신이 소유하거나 건드리지 않은 다른 Windows 10 컴퓨터에는 시스템 드라이브 전체의 다양한 폴더에 Win32App_1이라는 대체 데이터 스트림이 연결되어 있음을 알 수있었습니다. 그것들은 Windows 10 자체와 관련이있는 것으로 보입니다. 나는 그것들이 어떤 종류의 카탈로그 과정에 사용될 것으로 기대합니다.

Win32App_1 대체 데이터 스트림은 Windows 운영 체제의 일부인 "스토리지 서비스"서비스에 의해 생성됩니다. Windows 10 이전의 서비스 버전은 이러한 스트림을 생성하지 않는 것으로 보입니다.

dumpbin.exeVisual Studio 2017에서 제공 되는 도구 와 같은 휴대용 실행 가능 뷰어를 사용하여 의 리소스 섹션을 %SystemRoot%\System32\StorSvc.dll보면 Win32App_1이 여러 번 참조 된 것을 볼 수 있습니다.

Win32App_1 대체 데이터 스트림을 생성 한 프로세스를 확인하기 위해 약 1 주일 동안 Sysinternals Process Monitor를 실행했습니다. 그것은 보였다 SvcHost.exe의 명령 행과 -k LocalSystemNetworkRestricted -s StorSvc프로세스가 스트림을 생성한다. "Settings"앱의 "Storage"애플릿 이 Storage Service를 사용하고있는 것 같습니다 .

스트림 소스로 Storage Service / Storage 설정을 확인하기 위해 다음을 사용했습니다.

1. 내 사용 ADSIdentifier 응용 프로그램을 위해 모든 스트림 식별하고 제거 : Win32App_1라는
   명령 줄을 :ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
2. "Storage Service"서비스를 중지했다가 다시 시작했습니다.
   net stop "storage service"
net start "storage service"
3. 서비스가 실행되면 "Settings"앱을 열고 "Storage"섹션으로 이동 한 다음 시스템 드라이브 (C :)를 클릭하여 드라이브의 "Storage Usage"세부 정보를 표시합니다.
4. ADSIdentifier를 다시 실행하고 스트림이 다시 생성 된 것을 확인했습니다. 명령 줄 :ADSIdentifier /folder:C:\ /pattern:Win32App_1

계산의 기본 규칙은 다음과 같습니다. 빈 파일 또는 스트림 자체만으로는 위협이 될 수 없습니다.

그러나 앱 (자비 또는 악의적)이 빈 파일 또는 파일 당 신호와 같은 대체 스트림의 존재에 의미를 부여하는 것이 가능합니다. 경험에 의하면 이것은 드물다.

이 경우에는 실용적인 대답을 드리겠습니다. 이러한 스트림이있는 파일의 전체 목록을 작성하고이 스트림을 삭제 한 다음 며칠 동안 경계를 설정하여 생성 된 항목을 찾으십시오. 그것들이 다시 만들어지지 않을 가능성이 매우 높습니다. 이러한 스트림 손실로 인해 이상이 발생하면 목록을 사용하여 복원하십시오.