Как можно определить, что открытый описатель (или FILE_OBJECT в ядре) открыт на ADS, а не на основные данные файла? Понятно, что можно получить имя и разобрать строку, поискав в последнем компоненте пути двоеточие (по аналогии с FltParseFileName в ядре). Но неужели нет явного признака, как например для директории — FILE_STANDARD_INFORMATION::Directory?