Windows использует файловую систему NTFS, и одна из её малоизвестных особенностей — это т.н. альтернативные потоки данных. NTFS позволяет файлу содержать несколько потоков данных, при этом в проводнике он отображается как один обычный файл. Большинство пользователей и даже многие средства безопасности видят только основной файл и предполагают, что это всё, что существует. Злоумышленники пользуются этим доверием.

Хакеры используют альтернативные потоки данных, чтобы скрыть вредоносные программы, скрипты или украденные данные внутри файлов, которые выглядят вполне легитимно, например, документов или изображений. Файл при этом открывается нормально, его размер практически не меняется, и в диспетчере задач ничего подозрительного не отображается. Поскольку проводник Windows по умолчанию не отображает альтернативные потоки, скрытые данные остаются невидимыми, если вы точно не знаете, как их искать.

В приведенном ниже терминале система на первый взгляд отображает только безобидный файл report.txt. Когда каталог отображается с включенными альтернативными потоками, к файлу подключается скрытый поток. Чтение этого потока позволяет обнаружить исполняемые данные, даже если на диске нет исполняемого файла. В списках процессов ничего не отображается, и новые файлы не появляются. Именно так злоумышленники скрываются на виду в Windows не путем внедрения очевидного вредоносного ПО, а путем злоупотребления функциями, о существовании которых большинство людей даже не подозревает.