文件/路径排除

对手可能会尝试通过将文件写入特定文件夹或文件名来隐藏其基于文件的工件，这些文件夹或文件名被排除在防病毒（AV）扫描和其他防御功能之外。为了优化性能以及简化应用程序的安装和合法使用，AV和其他基于文件的扫描器通常会包含排除项。这些排除项可能是上下文相关的（例如，扫描仅在特定触发事件/警报响应时启动），但通常也是硬编码字符串，引用特定文件夹和/或假定为可信和合法的文件。(引用: Microsoft File Folder Exclusions) 对手可能会滥用这些排除项来隐藏其基于文件的工件。例如，对手可能会将其基于文件的有效负载放置在默认或其他众所周知的排除项中，而不是篡改工具设置以添加新的排除项（即，禁用或修改工具）。对手还可能使用安全软件发现和其他发现/侦察活动来发现和验证受害者环境中的现有排除项。