为什么你认为用户会注意到？启动一个程序需要一点 CPU，一点 RAM，会导致一些磁盘访问，但这是相当低调的。即使是在任务栏中有 CPU 计量器或其他常见系统监视器的极客也可能会认为它只是打开网页中计时器上的一些 Javascript，或者垃圾收集器，或者操作系统中的计划任务。

也许您希望程序显示一个窗口？该漏洞利用会小心隐藏窗口，或运行程序而不在可见窗口中显示其输出。一个非常简单的方法（但不是很谨慎）是最小化启动程序（例如，在 Windows 下，您可以从 cmd 命令行使用 启动程序programname /min）。有更复杂的方法可以更多地隐藏程序——例如，在 Linux 下，在Xvfb等虚拟显示器中启动程序；在 Windows 上也有办法做到这一点. 甚至假设程序有一个 GUI；许多可利用的系统组件可以嵌入到另一个 GUI 应用程序中（然后利用程序会负责提供一个实际上不显示任何内容的包装应用程序）或者只是没有 GUI。

在 Web 环境中，网页上某些资源（图像、显示在插件中的文档）形式的漏洞可以被样式化为在某个偏远角落显示为单个像素，甚至永远堆叠在某些其他元素下措施。谁检查每个网页的所有框架使用的所有媒体？

那么我的问题是，在用户不知道的情况下，这是如何发生的？如果您向 PDF 或 Java 或媒体播放器漏洞发送垃圾邮件，用户肯定会注意到这些程序正在打开吗？

用户无需意识到这一点。如果您浏览到由最近的恶意软件创建的漏洞利用页面，它将利用浏览器中未修补或最近修补的漏洞。这些页面通常只包含最近的攻击，并且这些漏洞的设计方式使得用户可能只注意到页面需要相当长的时间来加载，没有别的。漏洞利用页面通常不会提供 pdf 漏洞利用，这是另一个攻击媒介。它将包含各种浏览器或浏览器插件相关的漏洞利用，例如 java 或 flash，可以在用户不注意的情况下加载。在 PDF 的情况下，您可能会使用电子邮件发送或下载包含与 pdf 阅读器相关的嵌入式漏洞利用的 pdf 文件，其中有多个，您只会注意到打开 pdf 文件，这正是您打算做的事情。

那么，为什么垃圾邮件攻击不那么明显呢？

它们是这样制作的。一个页面为您的浏览器提供 10 种不同的漏洞利用这一事实并不一定意味着您会看到各种打开的程序，正如您所假设的那样。根据漏洞利用的质量，您可能看不到任何东西，或者可能只看到某个应用程序打开然后消失一秒钟，或者在最坏的情况下，您可能会看到浏览器或 pdf 阅读器崩溃或出现错误（通常当您的应用程序被修补时）。

您的前提/假设不正确。攻击者确实有办法知道他们的受害者正在使用哪个版本，并且许多攻击者确实使用此版本信息来决定尝试哪些漏洞利用。例如，这在网络世界中很常见。恶意网页会查询各种浏览器 API 以识别版本，然后尝试利用这些 API。对于许多浏览器漏洞利用（路过式下载），尝试利用 API 不需要任何用户交互，不会打开任何新窗口，也不会向用户显示任何可见标志。

可能有一些攻击者不检查版本信息，但这并不意味着没有人这样做。