Атрибуты файлов NTFS

Злоумышленники могут использовать атрибуты файлов NTFS для скрытия своих вредоносных данных, чтобы уклониться от обнаружения. Каждый раздел, отформатированный в файловой системе New Technology (NTFS), содержит главную файловую таблицу (MFT), которая поддерживает запись для каждого файла/каталога на разделе. В записях MFT находятся атрибуты файлов, такие как расширенные атрибуты (EA) и данные [известные как альтернативные потоки данных (ADS), когда присутствует более одного атрибута данных], которые можно использовать для хранения произвольных данных (и даже полных файлов). Злоумышленники могут хранить вредоносные данные или двоичные файлы в метаданных атрибутов файлов вместо непосредственно в файлах. Это может быть сделано для уклонения от некоторых средств защиты, таких как инструменты статического сканирования индикаторов и антивирусы.