事件触发执行: 动态注册表映像劫持

动态注册表映像劫持（Dynamic Registry Image Hijacking）是通过篡改Windows注册表映像文件执行路径实现事件触发的隐蔽技术。攻击者利用Windows系统加载可执行文件时的路径解析机制，通过注册表键值修改将合法程序（如记事本或计算器）的启动路径重定向至恶意载荷，同时保留原始程序的数字签名与文件属性。该技术通过劫持系统常用程序的执行流程，使恶意代码在用户执行高频可信操作时自动触发，形成"用户主动触发-系统合法加载-恶意代码隐蔽执行"的连锁反应。

该技术的匿迹性建立在合法系统机制滥用与执行环境混淆的双重策略之上。攻击者通过内存驻留技术维持注册表篡改的持久性，同时采用进程镂空（Process Hollowing）或DLL侧加载（DLL Side-Loading）技术将恶意代码注入合法进程空间。关键技术突破点包括：注册表键值动态轮换（防止静态特征检测）、劫持目标选择具有高用户交互频率的应用程序、以及恶意载荷与宿主进程行为的上下文一致性维护。通过精确控制劫持触发条件（如仅在特定用户或时间段激活），并利用数字签名白文件作为载体，使得安全软件难以通过行为监控或签名验证机制发现异常。