加载器(Loader)

Loader 是一种专门的第一阶段组件,其主要任务是获取、解码并在内存中执行额外的恶意软件,常用反射型 DLL 注入、进程镂空(process hollowing)或 shellcode 等技术。它通常会先对主机进行画像、削弱防御并建立持久化,然后再把控制权交给后续阶段。Loader 是现代"恶意软件即服务"生态的核心环节,访问中介通过它向勒索软件附属组织或信息窃取器运营者出售感染主机。防御措施包括具备注入行为检测能力的 EDR/XDR、AMSI、PowerShell 受限语言模式、应用程序白名单,以及对 IcedID、Smoke Loader、Bumblebee 等常见 loader 家族的威胁情报。