进程参数欺骗

对手可能尝试通过覆盖进程内存来隐藏进程命令行参数。进程命令行参数存储在进程环境块（PEB）中，这是Windows用于存储有关/用于进程的各种信息的数据结构。PEB包括在执行进程时引用的进程命令行参数。当创建进程时，监控进程创建的防御工具/传感器可能从PEB中检索进程参数。(引用: Microsoft PEB 2021)(引用: Xpn Argue Like Cobalt 2019) 对手可能操纵进程PEB以规避防御。例如，可以滥用进程空洞在挂起状态下生成带有良性参数的进程。在生成进程并初始化PEB（并且工具/传感器可能记录进程信息）后，对手可能覆盖PEB以修改命令行参数（例如使用本机API WriteProcessMemory()函数），然后恢复带有恶意参数的进程执行。(引用: Cobalt Strike Arguments 2019)(引用: Xpn Argue Like Cobalt 2019)(引用: Nviso Spoof Command Line 2020) 对手还可能执行带有恶意命令行参数的进程，然后使用良性参数修补内存，以绕过后续的进程内存分析。(引用: FireEye FiveHands April 2021) 此行为还可能与其他技巧（如父PID欺骗）结合使用，以操纵或进一步规避基于进程的检测。