Dropper 投放器
自带恶意 payload 的 恶意软件,被运行后把 payload 释放并安装到系统里。
把 dropper 想成”快递包装盒”:它本身可能看起来人畜无害(甚至是合法签名的程序),作用就是把里面真正的坏东西释放到磁盘并执行。
Dropper vs Loader
| 类型 | 区别 |
|---|---|
| Dropper | payload 已经打包在自己内部,不需要联网 |
| Loader | payload 不在自身,运行后从 C2 服务器下载 |
Dropper 更适合断网/隔离环境,loader 更适合长期更新载荷。
工作流程
- 用户运行 dropper(钓鱼邮件附件、捆绑安装包)
- Dropper 检查环境(沙箱?调试器?——如果是就装睡)
- 把内嵌的 payload 解码、写入磁盘(常放
%TEMP%、%APPDATA%) - 调用系统 API 启动 payload
- Dropper 自删除
为什么这么设计
- 绕过静态检测 —— 真正的 payload 被加密混淆,杀软扫不到
- 模块化 —— payload 可以随时换,dropper 复用
- 欺骗 —— dropper 外壳可以是合法签名的正经软件