私のWindows 10マシンはNTFSの多数持っている代替データストリームという名前のWin32App_1システムドライブ全体でさまざまなフォルダに添付します。NoVirusThanksのStream Detectorは、それらをゼロサイズの$DATAストリームとして検出します。
誰がこれらのストリームを作成したのか知っていますか?
Windows Defenderオフラインスキャンは、不要なものを検出しません。
またZone.Identifier $DATA、インターネットからダウンロードされたファイルのソースを識別するための単なるWindowsメタデータストリームであることは既に知っていますが、多くのストリームを見ています。私はそれらについて全く心配していません。
Windows 10を空のディスクに自分でインストールしたので、製造元によって追加されませんでした。既にストリームを削除しているため、例を投稿できません。
2017-04-18現在の更新:マシンを再度スキャンしたばかりで、代替データストリームが戻ってきました。を使用するmore < C:\path\to\alternate_data_stream:Win32App_1と、NoVirusThanksのStream Detectorによって報告された結果と一致して、ストリームのコンテンツが空であることが示されます。SysInternalsのプロセスモニターをセットアップして、これらの代替データストリームを作成/変更しているプロセスを探し、その監視の結果として何かが見つかった場合はこの質問を更新します。
ちなみに、私はすでにこれについて多くの研究を行っています。代替データストリームとの最初の接触は、90年代初頭にNTFSが初めて発表されたときでした。実際のADS自体はすべてサイズがゼロであるため、あまり心配していませんが、これは多かれ少なかれ、一部のマルウェアの「炭鉱のカナリア」です。
NTFS代替データストリームを識別し、オプションで削除するオープンソースのコマンドラインユーティリティを開始しました。このプロジェクトは、誰でも便利だと思った場合に備えてgitHubでホストされています。
5月10日の時点で、私が所有または操作していない他のWindows 10マシンには、Win32App_1という名前の代替データストリームがシステムドライブ全体のさまざまなフォルダーに接続されていることがわかりました。それらはWindows 10自体に関連しているようです。何らかのカタログ作成プロセスで使用されると思います。