从本地系统获取数据: 文件属性伪装与元数据伪造

文件属性伪装与元数据伪造（File Attribute Spoofing and Metadata Forgery）是一种通过篡改文件系统元数据隐藏敏感数据存在的技术。攻击者利用NTFS交换数据流（ADS）、文件扩展名伪装、时间戳篡改等手段，使窃取的数据文件在常规检查中呈现为合法系统文件。通过将敏感数据存储在系统保留区域（如$MFT未分配空间）或伪装成缓存文件，规避基于文件属性特征的检测。

该技术的核心匿迹策略是"存储空间寄生"与"元数据混淆"。攻击者首先研究目标文件系统的未使用存储结构（如磁盘空闲簇、日志文件间隙），将数据分块写入这些区域并维护独立的定位索引。在元数据层面，采用内核级驱动伪造文件创建时间、修改时间、数字签名等信息，使其与系统文件属性保持一致。对于需频繁访问的数据集，通过挂钩文件系统过滤驱动（如MiniFilter），在用户态查询时动态重构文件属性，实现"隐形"存储。防御方需突破传统文件枚举检测方式，采用磁盘原始扇区分析、元数据完整性校验等深度取证手段才能发现异常。