通过可移动媒体复制: 多阶段延迟激活

多阶段延迟激活（Multi-Stage Delayed Activation）是指恶意代码在通过可移动媒体植入目标系统后，通过环境感知、时间触发或事件驱动等机制延迟执行攻击载荷的技术。该技术通过分离感染阶段与攻击阶段，规避即时行为检测，同时利用系统信任链逐步建立持久化控制。

该技术通过动态行为调度实现时空维度的隐匿。在第一阶段，攻击者通过可移动媒体植入轻量级侦察模块，该模块仅收集系统基本信息（如安全软件类型、网络配置）并通过加密通道回传。第二阶段根据侦察结果动态生成定制化攻击载荷，利用合法系统工具（如Windows计划任务或cron作业）设置触发条件（如特定日期、外网连接状态）。例如，恶意代码可检测目标设备是否接入内部网络，仅在检测到域控制器通信时激活横向移动模块。技术实现需构建模块化攻击框架，各功能组件以加密形式存储在可移动媒体隐藏分区，通过内存加载技术规避磁盘扫描。此类延迟激活机制使得攻击链特征被分散在不同时间节点，传统基于单时间点快照分析的检测手段难以捕获完整攻击画像。