বিকল্প ডেটা স্ট্রিম "Win32App_1" বিপুল সংখ্যক ফোল্ডারে সংযুক্ত

আমার উইন্ডোজ 10 মেশিনটিতে সিস্টেম ড্রাইভ জুড়ে বিভিন্ন ফোল্ডারের সাথে সংযুক্ত নামযুক্ত প্রচুর এনটিএফএস বিকল্প ডেটা স্ট্রিম রয়েছেWin32App_1 । NoVirusThanks এর স্ট্রিম ডিটেক্টর শূন্য আকারের $DATAস্ট্রিম হিসাবে তাদের সনাক্ত করে ।

কেউ কি জানেন যে এই স্ট্রিমগুলি কী তৈরি করেছে?

উইন্ডোজ ডিফেন্ডার অফলাইন স্ক্যান অযাচিত কিছুই সনাক্ত করে।

আমি প্রচুর Zone.Identifier $DATAস্ট্রিমগুলিও দেখছি , যদিও আমি ইতিমধ্যে জানি যে সেগুলি কেবল ইন্টারনেট থেকে ডাউনলোড করা কোনও ফাইলের উত্স সনাক্ত করার জন্য উইন্ডোজ মেটাডেটা স্ট্রিম। আমি তাদের নিয়ে মোটেই উদ্বিগ্ন নই।

আমি উইন্ডোজ 10 নিজেকে একটি ফাঁকা ডিস্কে ইনস্টল করেছি, তাই তারা প্রস্তুতকারক দ্বারা যুক্ত করা হয়নি। আমি উদাহরণগুলি পোস্ট করতে পারি না কারণ আমি ইতিমধ্যে স্ট্রিমগুলি সরিয়েছি।

2017-04-18 হিসাবে আপডেট করুন: আমি আবার আমার মেশিনটি আবার স্ক্যান করেছি এবং বিকল্প ডেটা স্ট্রিমগুলি আবার ফিরে এসেছে। ব্যবহার more < C:\path\to\alternate_data_stream:Win32App_1শো স্ট্রিম বিষয়বস্তু কিছুই NoVirusThanks 'স্ট্রিম আবিষ্কারক দ্বারা রিপোর্ট ফলাফল সঙ্গে সামঞ্জস্যপূর্ণ হতে। সেই বিকল্প ডেটা স্ট্রিমগুলি তৈরি / স্পর্শ করছে এমন প্রক্রিয়াগুলি সন্ধান করার জন্য আমার কাছে সিসি ইন্টার্নালালস প্রসেস মনিটর সেটআপ আছে এবং আমি যদি এই পর্যবেক্ষণের ফলাফল হিসাবে কিছু দেখতে পাই তবে এই প্রশ্নটি আপডেট করব।

শুধু এফওয়াইআই, আমি ইতিমধ্যে এটি সম্পর্কে অনেক গবেষণা করেছি। 90 এর দশকের গোড়ার দিকে এনটিএফএসের প্রথম ঘোষনা করা হয়েছিল যখন বিকল্প ডেটা স্ট্রিমগুলির সাথে আমার প্রথম যোগাযোগ ছিল। প্রকৃত এডিএস সম্পর্কে আমি এতটা উদ্বিগ্ন নই যেহেতু এগুলি সমস্ত শূন্য আকারের, তবে কম-বেশি কিছু ম্যালওয়ারের জন্য এটি সম্ভবত "কয়লাখনিতে ক্যানারি" is

আমি একটি ওপেন-সোর্স কমান্ড-লাইন ইউটিলিটি শুরু করেছি যা এনটিএফএস বিকল্প ডেটা স্ট্রিমগুলি সনাক্ত করে এবং অপসারণ করে। প্রজেক্টটি যদি কেউ এটির কাজে লাগে সে ক্ষেত্রে গিটহাবে হোস্ট করা হয় ।

10 ই মে, আমি পর্যবেক্ষণ করতে সক্ষম হয়েছি যে আমার দ্বারা উইন্ডোজ 10 মেশিনের মালিকানাধীন বা স্পর্শ না করে আমার সিস্টেম ড্রাইভ জুড়ে বিভিন্ন ফোল্ডারে উইন 32 অ্যাপ_1 নামের বিকল্প ডেটা স্ট্রিম যুক্ত রয়েছে attached এগুলি উইন্ডোজ 10 এর সাথে সম্পর্কিত বলে মনে হয়। আমি আশা করি যে তারা কোনও ধরণের ক্যাটালগিং প্রক্রিয়াতে ব্যবহৃত হবে।

উইন 32 অ্যাপ_1 বিকল্প ডাটা স্ট্রিমটি "স্টোরেজ পরিষেবা" পরিষেবা দ্বারা তৈরি করা হয়েছে যা উইন্ডোজ অপারেটিং সিস্টেমের অংশ। উইন্ডোজ 10 এর পূর্বে পরিষেবার সংস্করণগুলি এই স্ট্রিমগুলি তৈরি করতে উপস্থিত হয় না।

আপনি যদি কোনও পোর্টেবল-এক্সিকিউটেবল ভিউয়ার, যেমন dumpbin.exeভিজ্যুয়াল স্টুডিও 2017 তে উপলব্ধ সরঞ্জাম ব্যবহার করেন তবে এর সংস্থান বিভাগগুলি দেখার জন্য %SystemRoot%\System32\StorSvc.dll, আপনি Win32App_1 কে বেশ কয়েকবার রেফারেন্স করতে পারেন।

কোন প্রক্রিয়াটি Win32App_1 বিকল্প ডেটা স্ট্রিম তৈরি করছে তা নির্ধারণ করতে আমি সিসিন্টার্নস প্রসেস মনিটরটি প্রায় এক সপ্তাহ ধরে চালিয়েছিলাম। প্রক্রিয়াটি স্ট্রিম তৈরি করার SvcHost.exeসাথে সাথে এটি একটি কমান্ড-লাইনের সাথে দেখিয়েছে -k LocalSystemNetworkRestricted -s StorSvc। সঞ্চয়ের পরিষেবা "সেটিংস" অ্যাপ্লিকেশানে "সংগ্রহস্থল" অ্যাপলেট দ্বারা ব্যবহার করা যেতে মনে হচ্ছে ।

আমি স্ট্রিমের উত্স হিসাবে স্টোরেজ পরিষেবা / স্টোরেজ সেটিংসকে বৈধতা দেওয়ার জন্য নিম্নলিখিতটি ব্যবহার করেছি:

1. আমি Win32App_1: কমান্ড লাইন নামক সমস্ত স্ট্রিম শনাক্ত করতে এবং অপসারণ করতে আমার এডিএসআইডিটিফায়ার অ্যাপটি ব্যবহার করেছি :
   ADSIdentifier /folder:C:\ /pattern:Win32App_1 /r
2. আমি "স্টোরেজ পরিষেবা" পরিষেবাটি পুনরায় চালু করে দিয়েছি।
   net stop "storage service"
net start "storage service"
3. একবার সার্ভিস চালু হয়ে গেলে, আমি "সেটিংস" অ্যাপ্লিকেশনটি খুললাম, "স্টোরেজ" বিভাগে গিয়েছিলাম, ড্রাইভের জন্য "স্টোরেজ ব্যবহার" বিশদ প্রদর্শন করতে আমার সিস্টেম ড্রাইভে (সি :) ক্লিক করেছি।
4. এডিএসআইডিটিফায়ারটিকে পুনরায় চালিত করে দেখেছিল যে স্ট্রিমগুলি পুনরায় তৈরি করা হয়েছে। কমান্ড লাইন:ADSIdentifier /folder:C:\ /pattern:Win32App_1

কম্পিউটিংয়ের মূল নিয়মটি হ'ল: খালি ফাইল বা স্ট্রিম নিজেই হুমকি তৈরি করতে পারে না।

তবে এটি সম্ভবত সম্ভব যে কোনও অ্যাপ্লিকেশন (দানশীল বা মাতাল) প্রতি ফাইল-সংকেতের মতো খালি ফাইল বা বিকল্প স্ট্রিমের নিছক অস্তিত্বকে একটি অর্থ নির্ধারণ করে। অভিজ্ঞতা আমাকে বলে যে এটি বিরল।

এই ক্ষেত্রে, আমি ব্যবহারিক উত্তরের জন্য যাব: এই স্ট্রিমগুলির মধ্যে থাকা ফাইলগুলির একটি সম্পূর্ণ তালিকা তৈরি করুন, এই স্ট্রিমগুলি মুছুন এবং তারপরে কী তৈরি হয় তা জানতে কয়েক দিনের জন্য সজাগ থাকুন। এগুলি খুব সম্ভব যে তারা পুনরায় তৈরি হয় নি। এই স্ট্রিমগুলির ক্ষতির ফলস্বরূপ আপনি যদি অসাধারণতার মুখোমুখি হন, আপনার তালিকাটি ব্যবহার করে সেগুলি পুনরুদ্ধার করুন।