间接命令执行: 动态代码拼接执行

动态代码拼接执行（Dynamic Code Splicing Execution）是一种通过运行时环境动态生成完整攻击指令的隐蔽执行技术。攻击者将恶意代码拆分为多个无害片段，分别存储在注册表、临时文件或内存中，利用系统工具或脚本引擎的拼接功能在内存中重组执行。该技术通过避免在磁盘或命令行中呈现完整攻击代码，有效规避基于静态特征扫描或进程参数监控的检测机制，特别适用于对抗具备命令行审计能力的终端防护系统。

该技术的匿迹机制围绕"代码分散存储"和"运行时动态合成"两个核心策略展开。攻击者首先将攻击载荷分解为符合目标环境语法规范的代码片段，并利用系统固有功能（如环境变量扩展、注册表项读取、文件内容拼接）实现片段存储。在触发阶段，通过精心设计的执行链调用多个系统组件，按预设逻辑提取并组合代码片段，最终在内存中形成可执行指令流。例如，利用PowerShell的Get-Content命令读取多个文本文件中的代码块，再通过管道传递给Invoke-Expression执行。这种分阶段、多组件的执行模式使得单个环节的行为特征均低于检测阈值，同时避免了完整攻击代码在静态存储或进程参数中的暴露，显著提升了对抗行为分析和内存取证的能力。