隐藏文件和目录

攻击者可能会将文件和目录设置为隐藏，以规避检测机制。为了防止普通用户意外更改系统上的特殊文件，大多数操作系统都有“隐藏”文件的概念。当用户使用GUI浏览文件系统或使用命令行上的普通命令时，这些文件不会显示。用户必须通过一系列图形用户界面（GUI）提示或命令行开关（Windows的dir /a和Linux及macOS的ls –a）明确要求显示隐藏文件。 在Linux和Mac上，用户可以通过在文件或文件夹名称的第一个字符处放置“.”来将特定文件标记为隐藏（引用：Sofacy Komplex Trojan）（引用：Antiquated Mac Malware）。以“.”开头的文件和文件夹默认在Finder应用程序和标准命令行实用程序（如“ls”）中不可见。用户必须专门更改设置才能使这些文件可见。 macOS上的文件也可以标记为UF_HIDDEN标志，这可以防止它们在Finder.app中可见，但仍然允许它们在Terminal.app中可见（引用：WireLurker）。在Windows上，用户可以使用attrib.exe二进制文件将特定文件标记为隐藏。许多应用程序创建这些隐藏文件和文件夹以存储信息，以免杂乱用户的 workspace。例如，SSH实用程序创建一个隐藏的.ssh文件夹，其中包含用户的已知主机和密钥。 攻击者可以利用这一点来隐藏系统上的任何文件和文件夹，并规避不包含隐藏文件调查的典型用户或系统分析。