操作系统凭证转储: 合法进程内存寄生转储

合法进程内存寄生转储（Legitimate Process Memory Parasitic Dumping）是通过劫持系统管理工具实现凭证隐蔽转储的技术。该技术将恶意代码注入powershell.exe、mmc.exe等具有管理权限的合法进程，利用其固有权限访问凭证存储区域。通过进程空心化技术创建表面合法的子进程，在内存中动态构建凭证提取逻辑，利用父进程的信任链规避安全检测。

该技术的隐蔽性建立在系统工具滥用与行为特征模拟的双重机制上。攻击者首先通过进程克隆创建具有合法命令行参数的子进程，在内存初始化阶段替换实际执行代码为凭证转储逻辑。利用Windows管理规范（WMI）或计划任务服务触发寄生进程执行，使恶意行为融入系统日常管理任务流。内存操作阶段采用分页内存动态解密技术，仅在实际访问时解密特定内存页，降低内存扫描的有效性。凭证数据通过命名管道或加密RPC通道外传，流量特征与系统管理协议高度相似，实现数据渗漏的深度隐匿。