Скрытые файлы и каталоги

Злоумышленники могут устанавливать файлы и каталоги как скрытые, чтобы уклониться от механизмов обнаружения. Чтобы предотвратить случайное изменение обычными пользователями специальных файлов в системе, большинство операционных систем имеют концепцию «скрытого» файла. Эти файлы не отображаются, когда пользователь просматривает файловую систему с помощью графического интерфейса или при использовании обычных команд в командной строке. Пользователи должны явно запросить отображение скрытых файлов либо через серию запросов графического интерфейса пользователя (GUI), либо с помощью переключателей командной строки (dir /a для Windows и ls –a для Linux и macOS). В Linux и Mac пользователи могут пометить конкретные файлы как скрытые, просто поставив «.» в качестве первого символа в имени файла или папки. Файлы и папки, начинающиеся с точки, «.», по умолчанию скрыты от просмотра в приложении Finder и стандартных утилитах командной строки, таких как «ls». Пользователи должны специально изменить настройки, чтобы эти файлы были видны. Файлы в macOS также могут быть помечены флагом UF_HIDDEN, который предотвращает их отображение в Finder.app, но все еще позволяет видеть их в Terminal.app. В Windows пользователи могут помечать конкретные файлы как скрытые с помощью двоичного файла attrib.exe. Многие приложения создают эти скрытые файлы и папки для хранения информации, чтобы она не загромождала рабочее пространство пользователя. Например, утилиты SSH создают скрытую папку .ssh, которая содержит известные узлы и ключи пользователя. Кроме того, злоумышленники могут именовать файлы таким образом, чтобы файл можно было скрыть, например, именуя файл только символом «пробел». Злоумышленники могут использовать это в своих интересах для скрытия файлов и папок в любом месте системы и уклонения от типичного пользователя или системного анализа, который не включает исследование скрытых файлов.