进程注入

对手可能会将代码注入进程，以规避基于进程的防御措施，并可能提升权限。进程注入是一种在单独的活动进程的地址空间中执行任意代码的方法。在另一个进程的上下文中运行代码可能允许访问进程的内存、系统/网络资源，并可能提升权限。通过进程注入进行的执行还可能规避安全产品的检测，因为执行被掩盖在合法进程下。 有许多不同的方法可以将代码注入进程，其中许多滥用合法功能。这些实现存在于每个主要操作系统中，但通常是特定于平台的。 更复杂的样本可能会执行多个进程注入以分段模块并进一步规避检测，利用命名管道或其他进程间通信（IPC）机制作为通信通道。