跳转至

可移植可执行文件注入

对手可能会将可移植可执行文件 (PE) 注入进程中,以规避基于进程的防御并可能提升权限。PE 注入是一种在单独的活动进程的地址空间中执行任意代码的方法。 PE 注入通常通过将代码(可能没有磁盘上的文件)复制到目标进程的虚拟地址空间中,然后通过新线程调用它来执行。可以使用本机 Windows API 调用(例如VirtualAllocExWriteProcessMemory)执行写入,然后使用CreateRemoteThread或其他代码(例如 shellcode)调用。注入代码的位移引入了重新映射内存引用的附加要求。(引用: Elastic Process Injection July 2017) 在另一个进程的上下文中运行代码可能允许访问进程的内存、系统/网络资源,并可能提升权限。通过 PE 注入执行还可能规避安全产品的检测,因为执行被掩盖在合法进程下。