打破进程树

对手可能会尝试通过修改执行的恶意软件的父进程ID（PPID）来规避基于进程树的分析。如果端点保护软件利用“父子”关系进行检测，打破这种关系可能导致对手的行为不与先前的进程树活动相关联。在基于Unix的系统上，打破此进程树是管理员使用脚本和程序执行软件的常见做法。(引用: 3OHA double-fork 2022) 在Linux系统上，对手可能会执行一系列本机API调用来更改恶意软件的进程树。例如，对手可以在没有任何参数的情况下执行其有效负载，调用fork() API调用两次，然后让父进程退出。这会创建一个没有父进程的孙进程，该进程立即被init系统进程（PID 1）收养，从而成功断开对手有效负载的执行与其先前的进程树的连接。 另一个示例是使用“daemon”系统调用从当前父进程分离并在后台运行。(引用: Sandfly BPFDoor 2022)(引用: Microsoft XorDdos Linux Stealth 2022)