外围设备发现: 合法系统工具滥用扫描

合法系统工具滥用扫描（Legitimate System Tool Abuse Scanning）是一种利用操作系统内置管理工具实施隐蔽设备发现的攻击手法。攻击者通过调用Windows Management Instrumentation（WMI）、PowerShell或Linux系统命令等合法管理接口，执行设备枚举操作。由于此类工具具有系统级白名单信任特性，其设备查询行为可规避传统安全软件对未知进程的检测机制，同时利用系统工具的正常功能逻辑混淆恶意意图，实现设备发现的"合法化"操作。

该技术的匿迹性体现在工具滥用与行为伪装的双重机制。攻击者通过深入研究目标系统的管理工具链，构建符合系统调用规范的设备查询指令，例如使用PowerShell的Get-PnpDevice命令或WMI的Win32_USBControllerDevice类进行设备枚举。为避免触发命令行监控告警，攻击者采用分段执行策略，将完整设备发现流程拆解为多个独立命令，并穿插在正常管理操作中执行。同时利用系统工具与生俱来的权限继承特性，通过父进程伪装（如从explorer.exe派生）或进程注入技术，消除恶意进程创建痕迹。此类手法使得设备发现行为在进程树、命令行日志等维度均呈现合法管理操作特征，有效规避基于行为异常性分析的检测模型。