文件系统流隐藏(File System Alternate Data Streams Concealment)是一种利用现代文件系统特性实现恶意文件隐匿的高级技术。该技术通过将恶意载荷嵌入NTFS交换数据流(Alternate Data Streams, ADS)或扩展文件属性等非标准存储区域,规避传统文件扫描机制的检测。攻击者通过将恶意代码、配置信息或日志文件存储在隐藏数据流中,使得常规目录遍历和文件监控工具无法直接发现异常内容,同时保持文件系统的表观完整性。该技术常与合法系统文件绑定,形成"寄生式"隐蔽存储架构。
该技术的匿迹效果源于文件系统元数据与物理存储结构的解耦设计。攻击者通过创建非主数据流(如Windows ADS或Linux扩展属性),将恶意文件与合法文件进行逻辑绑定,使常规文件浏览器和扫描工具仅能读取主数据流内容。在实施层面,攻击者需解决三个关键问题:隐藏流与宿主文件的关联稳定性(通过系统级API确保数据流持久化)、访问路径的隐蔽性(使用特殊符号或系统保留名称规避枚举)、以及行为兼容性(确保宿主文件原有功能不受影响)。技术演进中已出现多态流注入技术,可根据宿主文件类型动态调整隐藏流编码方式,如对可执行文件采用代码节注入、对文档类文件使用OLE对象嵌套等。防御方难以通过静态特征检测发现异常,需依赖文件系统底层元数据分析或实时IO监控才能识别此类隐蔽存储行为。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon