进程注入: 进程空洞注入

进程空洞注入（Process Hollowing）是一种通过替换合法进程内存空间实现隐蔽执行的攻击技术。攻击者首先创建处于挂起状态的合法进程，清空其主模块内存区域后注入恶意代码，并修改入口点指向注入载荷。该技术通过复用系统可信进程的上下文环境，使恶意代码执行过程具备与原始进程相同的安全上下文和资源访问权限，有效规避进程行为基线检测。

该技术的匿迹机制建立在"进程身份伪装"与"内存空间置换"双重策略之上。通过选择具有合法数字签名或高频使用的系统进程（如svchost.exe）作为宿主，利用其固有的进程树关系和资源访问模式掩盖异常行为。内存置换阶段采用分批次写入、内存属性伪装（如将可执行页面标记为读写）等手法规避内存防护机制。执行流劫持过程中通过精确计算入口点偏移量，确保进程初始化例程能平滑过渡到恶意代码执行。技术实施需协调进程创建、内存操作和线程恢复的时序关系，结合反调试技术和环境感知机制动态调整注入策略，最终形成具有完整进程凭证体系支撑的隐蔽执行环境。