O Sistema de Arquivos Fantasma: Por Dentro do Windows ProjFS

O Windows Projected File System (ProjFS) funciona como um minifilter (prjflt.sys), e não como um sistema de arquivos verdadeiro, projetando arquivos virtuais sob demanda através do uso de reparse points e filter communication ports. No cenário ofensivo , usuários com integridade média podem iniciar provedores ProjFS sem privilégios de administrador, impedindo que processos com privilégios mais altos excluam arquivos e servindo diferentes conteúdos de arquivo por processo — tudo isso representa potenciais rotas para evasão e persistência.

Na defesa ️, o ProjFS oferece uma alternativa leve aos minifilters personalizados para a implantação de canary files com dados ricos de callback, incluindo o ID do processo gatilho e o caminho da imagem. Isso é especialmente relevante à medida que a Microsoft avança na redução das dependências em kernel-mode .