বিকল্প ডেটা স্ট্রিম "Win32App_1" বিপুল সংখ্যক ফোল্ডারে সংযুক্ত


6

আমার উইন্ডোজ 10 মেশিনটিতে সিস্টেম ড্রাইভ জুড়ে বিভিন্ন ফোল্ডারের সাথে সংযুক্ত নামযুক্ত প্রচুর এনটিএফএস বিকল্প ডেটা স্ট্রিম রয়েছেWin32App_1 । NoVirusThanks এর স্ট্রিম ডিটেক্টর শূন্য আকারের $DATAস্ট্রিম হিসাবে তাদের সনাক্ত করে ।

কেউ কি জানেন যে এই স্ট্রিমগুলি কী তৈরি করেছে?

উইন্ডোজ ডিফেন্ডার অফলাইন স্ক্যান অযাচিত কিছুই সনাক্ত করে।

আমি প্রচুর Zone.Identifier $DATAস্ট্রিমগুলিও দেখছি , যদিও আমি ইতিমধ্যে জানি যে সেগুলি কেবল ইন্টারনেট থেকে ডাউনলোড করা কোনও ফাইলের উত্স সনাক্ত করার জন্য উইন্ডোজ মেটাডেটা স্ট্রিম। আমি তাদের নিয়ে মোটেই উদ্বিগ্ন নই।

আমি উইন্ডোজ 10 নিজেকে একটি ফাঁকা ডিস্কে ইনস্টল করেছি, তাই তারা প্রস্তুতকারক দ্বারা যুক্ত করা হয়নি। আমি উদাহরণগুলি পোস্ট করতে পারি না কারণ আমি ইতিমধ্যে স্ট্রিমগুলি সরিয়েছি।

2017-04-18 হিসাবে আপডেট করুন: আমি আবার আমার মেশিনটি আবার স্ক্যান করেছি এবং বিকল্প ডেটা স্ট্রিমগুলি আবার ফিরে এসেছে। ব্যবহার more < C:\path\to\alternate_data_stream:Win32App_1শো স্ট্রিম বিষয়বস্তু কিছুই NoVirusThanks 'স্ট্রিম আবিষ্কারক দ্বারা রিপোর্ট ফলাফল সঙ্গে সামঞ্জস্যপূর্ণ হতে। সেই বিকল্প ডেটা স্ট্রিমগুলি তৈরি / স্পর্শ করছে এমন প্রক্রিয়াগুলি সন্ধান করার জন্য আমার কাছে সিসি ইন্টার্নালালস প্রসেস মনিটর সেটআপ আছে এবং আমি যদি এই পর্যবেক্ষণের ফলাফল হিসাবে কিছু দেখতে পাই তবে এই প্রশ্নটি আপডেট করব।

শুধু এফওয়াইআই, আমি ইতিমধ্যে এটি সম্পর্কে অনেক গবেষণা করেছি। 90 এর দশকের গোড়ার দিকে এনটিএফএসের প্রথম ঘোষনা করা হয়েছিল যখন বিকল্প ডেটা স্ট্রিমগুলির সাথে আমার প্রথম যোগাযোগ ছিল। প্রকৃত এডিএস সম্পর্কে আমি এতটা উদ্বিগ্ন নই যেহেতু এগুলি সমস্ত শূন্য আকারের, তবে কম-বেশি কিছু ম্যালওয়ারের জন্য এটি সম্ভবত "কয়লাখনিতে ক্যানারি" is

আমি একটি ওপেন-সোর্স কমান্ড-লাইন ইউটিলিটি শুরু করেছি যা এনটিএফএস বিকল্প ডেটা স্ট্রিমগুলি সনাক্ত করে এবং অপসারণ করে। প্রজেক্টটি যদি কেউ এটির কাজে লাগে সে ক্ষেত্রে গিটহাবে হোস্ট করা হয়

10 ই মে, আমি পর্যবেক্ষণ করতে সক্ষম হয়েছি যে আমার দ্বারা উইন্ডোজ 10 মেশিনের মালিকানাধীন বা স্পর্শ না করে আমার সিস্টেম ড্রাইভ জুড়ে বিভিন্ন ফোল্ডারে উইন 32 অ্যাপ_1 নামের বিকল্প ডেটা স্ট্রিম যুক্ত রয়েছে attached এগুলি উইন্ডোজ 10 এর সাথে সম্পর্কিত বলে মনে হয়। আমি আশা করি যে তারা কোনও ধরণের ক্যাটালগিং প্রক্রিয়াতে ব্যবহৃত হবে।


আপনি এই নিবন্ধটি পড়তে চাইতে পারেন: ব্লগস.টেকনেট.মাইক্রোসফট.কমস্কোর
2013

উত্তর:


5

উইন 32 অ্যাপ_1 বিকল্প ডাটা স্ট্রিমটি "স্টোরেজ পরিষেবা" পরিষেবা দ্বারা তৈরি করা হয়েছে যা উইন্ডোজ অপারেটিং সিস্টেমের অংশ। উইন্ডোজ 10 এর পূর্বে পরিষেবার সংস্করণগুলি এই স্ট্রিমগুলি তৈরি করতে উপস্থিত হয় না।

আপনি যদি কোনও পোর্টেবল-এক্সিকিউটেবল ভিউয়ার, যেমন dumpbin.exeভিজ্যুয়াল স্টুডিও 2017 তে উপলব্ধ সরঞ্জাম ব্যবহার করেন তবে এর সংস্থান বিভাগগুলি দেখার জন্য %SystemRoot%\System32\StorSvc.dll, আপনি Win32App_1 কে বেশ কয়েকবার রেফারেন্স করতে পারেন।

কোন প্রক্রিয়াটি Win32App_1 বিকল্প ডেটা স্ট্রিম তৈরি করছে তা নির্ধারণ করতে আমি সিসিন্টার্নস প্রসেস মনিটরটি প্রায় এক সপ্তাহ ধরে চালিয়েছিলাম। প্রক্রিয়াটি স্ট্রিম তৈরি করার SvcHost.exeসাথে সাথে এটি একটি কমান্ড-লাইনের সাথে দেখিয়েছে -k LocalSystemNetworkRestricted -s StorSvcসঞ্চয়ের পরিষেবা "সেটিংস" অ্যাপ্লিকেশানে "সংগ্রহস্থল" অ্যাপলেট দ্বারা ব্যবহার করা যেতে মনে হচ্ছে

আমি স্ট্রিমের উত্স হিসাবে স্টোরেজ পরিষেবা / স্টোরেজ সেটিংসকে বৈধতা দেওয়ার জন্য নিম্নলিখিতটি ব্যবহার করেছি:

  1. আমি Win32App_1: কমান্ড লাইন নামক সমস্ত স্ট্রিম শনাক্ত করতে এবং অপসারণ করতে আমার এডিএসআইডিটিফায়ার অ্যাপটি ব্যবহার করেছি :
    ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
  2. আমি "স্টোরেজ পরিষেবা" পরিষেবাটি পুনরায় চালু করে দিয়েছি।
    net stop "storage service"
    net start "storage service"
  3. একবার সার্ভিস চালু হয়ে গেলে, আমি "সেটিংস" অ্যাপ্লিকেশনটি খুললাম, "স্টোরেজ" বিভাগে গিয়েছিলাম, ড্রাইভের জন্য "স্টোরেজ ব্যবহার" বিশদ প্রদর্শন করতে আমার সিস্টেম ড্রাইভে (সি :) ক্লিক করেছি।
  4. এডিএসআইডিটিফায়ারটিকে পুনরায় চালিত করে দেখেছিল যে স্ট্রিমগুলি পুনরায় তৈরি করা হয়েছে। কমান্ড লাইন:ADSIdentifier /folder:C:\ /pattern:Win32App_1

2

কম্পিউটিংয়ের মূল নিয়মটি হ'ল: খালি ফাইল বা স্ট্রিম নিজেই হুমকি তৈরি করতে পারে না।

তবে এটি সম্ভবত সম্ভব যে কোনও অ্যাপ্লিকেশন (দানশীল বা মাতাল) প্রতি ফাইল-সংকেতের মতো খালি ফাইল বা বিকল্প স্ট্রিমের নিছক অস্তিত্বকে একটি অর্থ নির্ধারণ করে। অভিজ্ঞতা আমাকে বলে যে এটি বিরল।

এই ক্ষেত্রে, আমি ব্যবহারিক উত্তরের জন্য যাব: এই স্ট্রিমগুলির মধ্যে থাকা ফাইলগুলির একটি সম্পূর্ণ তালিকা তৈরি করুন, এই স্ট্রিমগুলি মুছুন এবং তারপরে কী তৈরি হয় তা জানতে কয়েক দিনের জন্য সজাগ থাকুন। এগুলি খুব সম্ভব যে তারা পুনরায় তৈরি হয় নি। এই স্ট্রিমগুলির ক্ষতির ফলস্বরূপ আপনি যদি অসাধারণতার মুখোমুখি হন, আপনার তালিকাটি ব্যবহার করে সেগুলি পুনরুদ্ধার করুন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.