NTFS 文件属性

每个 New Technology File System(NTFS) 格式化的分区都包含一个主文件表 (MFT)，它为分区上的每个文件/目录维护一条记录。在 MFT 条目中有文件属性， 如扩展属性（EA）和数据 [当存在多个数据属性时称为备用数据流（ADS）]，可用于存储任意数据（甚至完整的文件）。

攻击者可以将恶意数据或二进制文件存储在文件属性元数据中，而不是直接存储在文件中。这可以用来规避一些防御，例如静态指示器扫描工具和防病毒。

缓解

阻止访问 EA 和 ADS 可能很困难或不可取。 应该集中精力阻止潜在的恶意软件运行。 在适当的情况下使用白名单 工具（如 AppLocker 或软件限制策略 ），识别并拦截可能包含隐藏 EA 和 ADS 中信息的功能的潜在恶意软件。

可以考虑调整 NTFS EA 的读写权限，不过应该对其进行测试以确保不妨碍常规的操作系统操作。

检测

存在用于识别存储在 NTFS EA 中的信息的取证技术。 监视调用 ZwSetEaFile 和 ZwQueryEaFile Windows API 函数以及用于与 EA 交互的二进制文件， 并考虑定期扫描以查找关于修改的信息。

有许多可以使用 Windows 实用程序创建 ADSs 并与之交互的方法。 监视包含冒号的文件名的操作（执行、复制等）。 此语法（例如 file.ext:ads[.ext]）通常与 ADS 相关联。 有关可用于执行和创建 ADSs 的更详尽实用程序列表，请参见 https://gist.github.com/api0cradle/cdd2d0d0ec9abb686f0e89306e277b8f。 Sysinternals 的 Streams 工具可用于揭露文件的 ADS。 dir /r 命令也可以用于显示 ADS。 许多 PowerShell 命令（如 Get-Item、Set-Item、Remove-Item 和 Get-ChildItem) 也可以接受-stream 参数来与 ADS 交互。