Um estudo da Varonis descreve uma técnica chamada GhostTree que permite ocultar arquivos e diretórios no NTFS manipulando estruturas de índice de diretório ($I30). Em vez de modificar diretamente os registros MFT, um atacante altera as estruturas de entrada de índice, causando uma dessincronização entre a visão lógica do diretório e o estado real do sistema de arquivos.

Como resultado, as ferramentas padrão do Windows, incluindo o File Explorer e APIs do sistema, não exibem esses objetos 

GhostTree: Uma técnica para contornar a proteção antivírus através dos internals do NTFS