隐藏文件系统

对手可能会使用隐藏文件系统来隐藏用户和安全工具的恶意活动。文件系统提供了一个结构，用于从物理存储中存储和访问数据。通常，用户通过允许他们访问文件和目录的应用程序与文件系统交互，这些文件和目录是其物理位置（例如：磁盘扇区）的抽象。标准文件系统包括FAT、NTFS、ext4和APFS。文件系统还可以包含其他结构，例如NTFS中的卷引导记录(VBR)和主文件表(MFT)。(引用: MalwareTech VFS Nov 2014) 对手可能会使用他们自己的抽象文件系统，与受感染系统上存在的标准文件系统分开。这样，对手可以隐藏恶意组件和文件输入/输出的存在，避免安全工具的检测。隐藏文件系统，有时称为虚拟文件系统，可以通过多种方式实现。一种实现方式是将文件系统存储在磁盘结构或标准文件系统分区未使用的保留磁盘空间中。(引用: MalwareTech VFS Nov 2014)(引用: FireEye Bootkits) 另一种实现方式是对手将自己的便携式分区映像作为文件放在标准文件系统之上。(引用: ESET ComRAT May 2020) 对手还可能以非标准方式在现有文件系统结构中分散文件。(引用: Kaspersky Equation QA)