资源劫持: 合法进程注入劫持

合法进程注入劫持（Legitimate Process Injection Hijacking）是一种通过代码注入技术劫持系统资源的高级攻击方式。攻击者将恶意负载（如加密矿工程序）注入到可信进程（如浏览器、办公软件）的内存空间，复用宿主进程的资源和权限执行非法计算任务。该技术通过进程空心化（Process Hollowing）、线程劫持（Thread Hijacking）等方式，使恶意代码的执行过程完全依附于合法进程，规避基于进程树分析的检测机制。

该技术的匿迹核心在于攻击行为与正常业务操作的深度耦合。通过动态链接库注入（DLL Injection）技术，将挖矿模块加载至具有高权限的宿主进程，利用进程原有的系统调用模式掩盖异常行为。攻击者采用自适应资源调度算法，根据宿主进程的实时负载动态调整CPU/GPU占用率，确保资源消耗曲线与正常业务波动特征相符。同时，通过劫持进程的网络通信通道（如浏览器WebSocket连接），将挖矿数据封装在应用层协议的有效载荷中传输。这种技术突破传统恶意进程检测范式，使得基于进程完整性校验或资源独占性监控的防御机制难以有效识别寄生型资源劫持行为。