直接卷访问

对手可能直接访问卷以绕过文件访问控制和文件系统监控。Windows允许程序直接访问逻辑卷。具有直接访问权限的程序可以通过分析文件系统数据结构直接从驱动器读取和写入文件。此技术可能绕过Windows文件访问控制以及文件系统监控工具。(引用: Hakobyan 2009) 存在执行这些操作的实用程序，例如NinjaCopy，可以在PowerShell中执行。(引用: Github PowerSploit Ninjacopy) 对手还可以使用内置或第三方实用程序（如vssadmin、wbadmin和esentutl）从系统卷创建影子副本或备份数据。(引用: LOLBAS Esentutl)