WikiLeaksは、Windows XPとWindows 7を実行しているマシンで、データを収集するために使用されるいくつかのCIAツール（マルウェア）に関する別のバッチの情報を公開しています。これらの「ヘルパー」はかなり興味深いものです。

悪意のあるプログラムが、通常のファイルにデータの書き込みをしたり、インターネット経由で送信したりするときに、悪意のあるプログラムが独自のファイルシステムを必要としているのかどうか疑問に思うかもしれません。

これは、予防的な保護コンポーネントのためです。悪意のあるプログラムが起動しても（たとえば、ユーザーがディスクドライブ全体または特定のアプリケーションのすべてのトラフィックをスキャンの例外のリストに追加した場合）、そのプロセスはこのアンチ・ウイルスによって精細に調べられます。新しいプログラムの活動は予防的保護によって最も確実に監視されます。そして、CIAはそれを回避する方法を見つけました。

彼らは独自のファイルシステムを含む1つのファイルを作成しました。Linuxでは、標準のディスクユーティリティを使用して、1つのファイル内のディスクスペースをフォーマットすることができます。Windowsで仮想ディスクを作成することは難しいですが、それを行うためのユーティリティがあります。

その結果、予防的保護ルーチンは、ほとんどのアクションがファイル内で実行され、標準ファイル操作とみなされるため、疑わしいものとして検出しません。

さらに、攻撃者はファイルシステムを暗号化して、ストレージから情報を抽出しようとする試みが無駄になるようにすることができます。独自の暗号化仮想ファイルシステム（EVFS）を作成するマルウェアプログラムReginも同じことをしています。EVFSを暗号化するために、マルウェアはブロック暗号 RC5を使用します 。もしくは、ディスクパーティションの境界線を移動することによって、ファイルシステムの外部にストレージを配置します。たとえば、TDL 3/4ルートキットは、ディスクの最後にセクタ単位でTDLFSファイルシステムを作成しました。