NTFS文件属性

攻击者可能使用NTFS文件属性隐藏其恶意数据，以逃避检测。每个NTFS格式的分区都包含一个主文件表（MFT），该表维护分区上每个文件/目录的记录。(Citation: SpectorOps Host-Based Jul 2017) 在MFT条目中，文件属性（如扩展属性（EA）和数据[当存在多个数据属性时称为备用数据流（ADS）]）可用于存储任意数据（甚至完整的文件）。(Citation: SpectorOps Host-Based Jul 2017) (Citation: Microsoft NTFS File Attributes Aug 2010) (Citation: Microsoft File Streams) (Citation: MalwareBytes ADS July 2015) (Citation: Microsoft ADS Mar 2014) 攻击者可能将恶意数据或二进制文件存储在文件属性元数据中，而不是直接存储在文件中。这可能是为了逃避某些防御措施，如静态指示符扫描工具和反病毒软件。(Citation: Journey into IR ZeroAccess NTFS EA) (Citation: MalwareBytes ADS July 2015)