安装包

对手可能会使用安装程序触发恶意内容的执行来建立持久性和提升权限。安装包是特定于操作系统的，包含操作系统在系统上安装应用程序所需的资源。安装包可以包括在安装前运行的脚本以及安装完成后运行的脚本。安装脚本在执行时可能继承提升的权限。开发人员通常使用这些脚本来准备安装环境、检查要求、下载依赖项和在安装后删除文件。(引用: Installer Package Scripting Rich Trouton) 使用合法应用程序，对手已经分发了带有修改安装脚本的应用程序以执行恶意内容。当用户安装应用程序时，他们可能需要授予管理权限以允许安装。在合法应用程序安装过程结束时，内容如macOS的postinstall脚本可以以继承的提升权限执行。对手可以使用这些脚本执行恶意可执行文件或安装其他恶意组件（如启动守护程序）以提升权限。(引用: Application Bundle Manipulation Brandon Dalton)(引用: wardle evilquest parti)(引用: Windows AppleJeus GReAT)(引用: Debian Manual Maintainer Scripts) 根据发行版，Linux版本的安装包脚本有时称为维护脚本或安装后脚本。这些脚本可以包括preinst、postinst、prerm、postrm脚本，并在执行时以root身份运行。 对于Windows，Microsoft Installer服务使用.msi文件管理应用程序的安装、更新和卸载。这些安装例程也可能包括执行额外操作的指令，可能被对手滥用。(引用: Microsoft Installation Procedures)