线程本地存储

攻击者可能通过线程本地存储（TLS）回调将恶意代码注入进程中，以规避基于进程的防御并可能提升权限。TLS回调注入是一种在独立活动进程的地址空间中执行任意代码的方法。 TLS回调注入涉及操纵可移植可执行文件（PE）内的指针，以在到达代码的合法入口点之前将进程重定向到恶意代码。TLS回调通常由操作系统用于设置和/或清理线程使用的数据。操纵TLS回调可能通过使用其他进程注入技术（如进程挖空）分配和写入进程内存空间中的特定偏移量来执行。(引用: FireEye TLS 2017年11月) 在另一个进程的上下文中运行代码可能允许访问该进程的内存、系统/网络资源，并可能提升权限。通过TLS回调注入执行还可能规避安全产品的检测，因为执行被掩盖在合法进程下。