文件系统逻辑偏移

Windows 允许程序直接访问逻辑卷。具有直接访问权限的程序可以通过分析文件系统数据结构直接从驱动器读取和写入文件。此技术可以绕过 Windows 文件访问控制以及文件系统监视工具。[1]

一些实用程序在 PowerShell 中执行这些操作，例如 NinjaCopy。[2]

缓解

识别可能用于以这种方式访问逻辑驱动器的潜在恶意软件，并在适当的情况下[7]使用白名单 [3] 工具（如 AppLocker，[4] [5]或软件限制策略 [6]）进行审核和/或拦截。

检测

监视在进程在驱动器卷上打开的句柄，以确定它们何时直接访问逻辑驱动器。[2]

监视可以用于从逻辑驱动器复制文件并规避常见文件系统保护的操作的进程和命令行参数。由于此技术也可以通过 PowerShell )使用，因此建议记录 PowerShell 脚本日志。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn