线程执行劫持

对手可能会将恶意代码注入劫持的进程中，以规避基于进程的防御措施，并可能提升权限。线程执行劫持是一种在单独的活动进程的地址空间中执行任意代码的方法。 线程执行劫持通常通过挂起现有进程然后取消/空洞化其内存来执行，然后可以用恶意代码或DLL路径替换。首先使用本机Windows API调用（如OpenThread）创建现有受害进程的句柄。此时，可以挂起进程，然后写入、重新对齐到注入的代码，并通过分别调用SuspendThread、VirtualAllocEx、WriteProcessMemory、SetThreadContext和ResumeThread恢复。(引用: Elastic Process Injection July 2017) 这与进程空洞非常相似，但目标是现有进程，而不是在挂起状态下创建进程。 在另一个进程的上下文中运行代码可能允许访问进程的内存、系统/网络资源，并可能提升权限。通过线程执行劫持进行的执行还可能规避安全产品的检测，因为执行被掩盖在合法进程下。