Mavinject

对手可能会滥用 mavinject.exe 来代理执行恶意代码。Mavinject.exe 是 Microsoft 应用程序虚拟化注入器，是一种 Windows 实用程序，可以作为 Microsoft 应用程序虚拟化 (App-V) 的一部分将代码注入外部进程。(引用: LOLBAS Mavinject) 对手可能会滥用 mavinject.exe 将恶意 DLL 注入正在运行的进程（即动态链接库注入），允许任意代码执行（例如 C:\Windows\system32\mavinject.exe PID /INJECTRUNNING PATH_DLL）。(引用: ATT Lazarus TTP Evolution)(引用: Reaqta Mavinject) 由于 mavinject.exe 可能由 Microsoft 数字签名，通过这种方法代理执行可能会逃避安全产品的检测，因为执行被掩盖在合法进程下。 除了动态链接库注入外，Mavinject.exe 还可以通过其 /HMODULE 命令行参数执行导入描述符注入（例如 mavinject.exe PID /HMODULE=BASE_ADDRESS PATH_DLL ORDINAL_NUMBER）。此命令将注入由指定 DLL 组成的导入表条目到给定基地址的模块中。(引用: Mavinject Functionality Deconstructed)