无文件恶意软件

无文件恶意软件通过驻留在内存中并滥用 PowerShell、WMI、.NET、WSH 与 Windows 注册表等合法组件,大幅减小磁盘痕迹,这种手法常被称为"就地取材"(LOLBins)。初始代码可能通过钓鱼文档、漏洞利用或内存型 loader 传入,再以反射方式加载后续阶段,完全不落盘。由于基于签名的杀软几乎没有可扫描的载荷文件,这类攻击更难检测。防御措施包括开启 PowerShell 脚本块与命令行日志、启用 AMSI、使用具备行为与内存检测能力的 EDR,以及通过 Constrained Language Mode 和 WDAC 限制并签名 PowerShell。