Злоумышленники могут использовать скрытую файловую систему, чтобы замаскировать вредоносную активность от пользователей и средств безопасности. Файловые системы предоставляют структуру для хранения данных и доступа к ним на физическом носителе. Обычно пользователь взаимодействует с файловой системой через приложения, которые позволяют ему получать доступ к файлам и каталогам, не задумываясь об их физическом местоположении (например, секторе диска). Существуют такие стандартные файловые системы, как FAT, NTFS, ext4 и APFS. Файловые системы могут также содержать другие структуры, например в NTFS есть загрузочная запись тома (VBR) и основная таблица файлов (MFT).

Злоумышленники могут использовать собственную абстрактную файловую систему, не зависящую от стандартной файловой системы зараженной системы. Таким образом злоумышленники могут спрятать вредоносные компоненты и операции ввода и вывода от средств безопасности. Скрытые файловые системы, также иногда называемые виртуальными файловыми системами, могут быть реализованы разными способами. Один из способов реализации — хранение файловой системы в зарезервированном дисковом пространстве, не используемом стандартными разделами или структурами основной файловой системы. Другой способ — развертывание злоумышленником собственного портативного образа раздела в виде файла в стандартной файловой системе. Злоумышленники также могут применять нестандартную фрагментацию файлов в существующей файловой системе.