Alternate File Streams permite a un usuario incrustar contenido oculto en cualquier archivo NTFS. Ese archivo puede ser un archivo TXT, o MOV, por ejemplo. Algunos pueden considerar esto como una forma de esteganografía y, por lo tanto, pueden aplicar los mismos principios de auditoría. Por otro lado, algunas aplicaciones, como Exchange y SMTP, usan estas secuencias ampliamente con fines legítimos.
¿Las secuencias de archivos alternativos reciben algún tratamiento especial dentro de su organización?
¿Cuáles son las razones principales por las que haría o no auditaría el acceso a los archivos de AFS?
Si analiza estos archivos explícitamente, ¿qué busca? ¿Cómo respondes?