Minha máquina Windows 10 possui um grande número de fluxos de dados alternativos NTFS nomeados Win32App_1
anexados a várias pastas em toda a unidade do sistema. O Detector de Fluxo do NoVirusThanks os detecta como sendo $DATA
fluxos de tamanho zero .
Alguém sabe o que pode ter criado esses fluxos?
A verificação offline do Windows Defender não detecta nada indesejado.
Também estou vendo muitos Zone.Identifier
$DATA
fluxos, embora eu já saiba que esses são simplesmente fluxos de metadados do Windows para identificar a origem de um arquivo que foi baixado da Internet. Não estou preocupado com eles.
Eu instalei o Windows 10 em um disco em branco, para que não fossem adicionados pelo fabricante. Não consigo postar exemplos porque já removi os fluxos.
Atualizar a partir de 18/04/2017: Acabei de verificar minha máquina novamente e os fluxos de dados alternativos estão de volta. O uso more < C:\path\to\alternate_data_stream:Win32App_1
mostra que o conteúdo do fluxo é nada, consistente com os resultados relatados pelo Stream Detector da NoVirusThanks. Eu configurei o Process Monitor da SysInternals para procurar processos que estão criando / tocando nesses fluxos de dados alternativos e atualizarei essa pergunta se eu vir alguma coisa como resultado desse monitoramento.
Apenas para sua informação, eu já fiz muita pesquisa sobre isso. Meu primeiro contato com fluxos de dados alternativos foi quando o NTFS foi anunciado pela primeira vez no início dos anos 90. Não estou muito preocupado com o próprio ADS, uma vez que todos têm tamanho zero, mas mais ou menos isso é potencialmente um "canário na mina de carvão" para alguns malwares.
Iniciei um utilitário de linha de comando de código-fonte aberto que identifica e opcionalmente remove os fluxos de dados alternativos do NTFS. O projeto está hospedado no gitHub , caso alguém ache útil.
Em 10 de maio, pude observar que outras máquinas Windows 10 que não pertencem ou foram tocadas por mim têm os fluxos de dados alternativos chamados Win32App_1 anexados a várias pastas na unidade do sistema. Eles parecem estar relacionados ao próprio Windows 10. Espero que eles sejam usados em algum tipo de processo de catalogação.