释放器(Dropper)

Dropper(释放器)是一种投放组件,自身就携带一份或多份嵌入式载荷,执行后将其释放到磁盘或内存中。与下载器不同,Dropper 不需要连接互联网获取下一阶段载荷。它常以带宏的文档、ISO/IMG 容器、签名安装包或被木马化的实用工具形式出现,通常会先进行反分析检测、显示诱饵内容、设置持久化与进程注入,然后才启动最终的恶意软件(信息窃取器、勒索软件、RAT 等)。防御措施包括邮件与网页过滤、附件沙箱化、应用程序白名单、行为型 EDR,以及禁用宏自动执行与 ISO 自动挂载。