父PID欺骗

对手可能会伪造新进程的父进程标识符（PPID），以规避进程监控防御或提升权限。新进程通常直接从其父进程或调用进程生成，除非明确指定。通过CreateProcess API调用显式分配新进程的PPID是一种方法，该调用支持定义要使用的PPID的参数。(引用: DidierStevens SelectMyParent Nov 2009) 此功能由Windows功能（如用户帐户控制（UAC））使用，以在请求的提升进程由SYSTEM（通常通过svchost.exe或consent.exe）生成而不是当前用户上下文时正确设置PPID。(引用: Microsoft UAC Nov 2018) 对手可能会滥用这些机制来规避防御，例如阻止直接从Office文档生成进程的防御，以及针对异常/潜在恶意的父子进程关系的分析，例如将PowerShell/Rundll32的PPID伪装为explorer.exe而不是作为鱼叉式网络钓鱼附件的一部分交付的Office文档。(引用: CounterCept PPID Spoofing Dec 2018) 这种欺骗可以通过恶意Office文档中的Visual Basic或任何可以执行本机API的代码来执行。(引用: CTD PPID Spoofing Macro Mar 2019)(引用: CounterCept PPID Spoofing Dec 2018) 显式分配PPID还可能在具有适当访问权限的父进程的情况下启用提升的权限。例如，具有特权用户上下文（即管理员）的对手可能会生成一个新进程，并将父进程分配为以SYSTEM身份运行的进程（如lsass.exe），从而通过继承的访问令牌提升新进程的权限。(引用: XPNSec PPID Nov 2017)