وكيل تنفيذ Windows هو ثنائي نظامي مشروع يسيء المهاجمون استخدامه لبدء تعليمات برمجية أخرى أو لجعل النشاط الخبيث يبدو عاديا. وبدلا من إسقاط ملف تنفيذي جديد واضح، يستدعي المهاجم أدوات موثوقة مثل مضيفات البرمجة النصية أو أدوات الخدمات أو مكونات سطر الأوامر لتشغيل الحمولات، أو تحميل التعليمات البرمجية في الذاكرة، أو تمرير الأوامر إلى عملية أخرى.
هذا مهم لأن ضوابط الأمان غالبا ما تثق في ثنائيات Microsoft الموقعة أكثر من الملفات غير المعروفة. عندما يستخدم البرمجية الخبيثة وكيلا لتنفيذ Windows، يمكنها تجاوز الحظر البسيط القائم على التجزئة، والاندماج في أنشطة الإدارة الروتينية، وخلق مسار أنظف للاستمرار أو للحركة الجانبية. يبحث المدافعون عن سلاسل العمليات الأبوية-الابنية المشبوهة، ومعلمات سطر الأوامر غير المعتادة، والنصوص البرمجية المشفرة، والوصول غير المتوقع إلى الشبكة من ثنائيات موثوقة. تساعد مراقبة هذه السلوكيات على كشف الإساءة حتى عندما يبدو اسم العملية نفسه مشروعا.



