引言
无文件攻击已经存在多年。然而，它们在绕过杀毒软件和增加检测与响应难度方面仍然非常有效。 
不仅如此，由于主要依赖可能随版本变化的文件哈希和 IoC，无文件攻击还使威胁情报分析变得更加困难。 
在本文中，我们将探讨什么是无文件攻击，它们的组成部分，以及如何检测、调查并保护组织免受其害。 
什么是无文件攻击？
无文件攻击是一种避免向磁盘写入文件的攻击类型。它们可能包含完全在内存中运行的恶意代码，利用合法的系统工具和进程来执行其有效载荷。 
这并不意味着无文件攻击完全不写入文件。它们可能从带有宏的恶意文档或 .LNK 文件（桌面快捷方式）开始，但攻击的其余部分则变为无文件形式。 
攻击者不是在目标系统上投放更多的可执行文件或脚本，而是直接将恶意代码注入到正在运行的进程中，或使用 PowerShell、Windows Management Instrumentation (WMI)、LOLB...