系统信息发现: 分散化信息收集

分散化信息收集（Distributed Information Gathering）是攻击者通过低频、长周期的隐蔽操作逐步收集目标系统信息的技术。与传统的一次性批量查询不同，该技术通过将系统侦察任务拆解为多个低强度、间歇性执行的操作，使其行为模式更接近于日常运维活动，从而降低检测风险。攻击者可能利用计划任务、定时脚本、WMI 事件订阅等机制，在不同时间点、不同进程环境下执行查询操作，以分散系统信息收集的时间特征。此外，还可能结合多种系统接口交错执行，进一步降低单一工具的调用频率，以规避基于命令模式匹配的检测。

该技术的匿迹核心在于"时序扰动"与"工具多样化"。首先，攻击者会设定随机化的执行间隔，使各次信息收集的时间点彼此无明显关联，避免形成易于监测的周期性模式。例如，在渗透测试或持久化攻击场景中，攻击者可能设定每天或每周只执行少量查询，并利用系统计划任务在不同时间点触发不同查询项，以避免集中执行带来的异常流量暴露。其次，攻击者通过混合使用不同的信息查询方式，如混合使用PowerShell、WMI 查询、日志分析等手段，确保即使某个工具被监控或封锁，仍能通过其他手段完成信息收集。此外，信息存储方式也可能被优化，如将收集到的数据缓存在特定注册表键值、日志文件或临时存储目录中，以避免在短时间内向外部网络发送可疑流量。