2024年4月15日01:32:18评论5 views字数 386阅读1分17秒阅读模式

文件系统逻辑偏移

Windows 允许程序直接访问逻辑卷。具有直接访问权限的程序可以通过分析文件系统数据结构直接从驱动器读取和写入文件。此技术可以绕过 Windows 文件访问控制以及文件系统监视工具。[1]

一些实用程序在 PowerShell 中执行这些操作，例如 NinjaCopy。[2]

缓解

识别可能用于以这种方式访问逻辑驱动器的潜在恶意软件，并在适当的情况下[7]使用白名单 [3] 工具（如 AppLocker，[4] [5]或软件限制策略 [6]）进行审核和/或拦截。

监视在进程在驱动器卷上打开的句柄，以确定它们何时直接访问逻辑驱动器。[2]

监视可以用于从逻辑驱动器复制文件并规避常见文件系统保护的操作的进程和命令行参数。由于此技术也可以通过 PowerShell )使用，因此建议记录 PowerShell 脚本日志。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。