劫持执行流: 运行时环境变量污染

运行时环境变量污染（Runtime Environment Variable Poisoning）是通过篡改进程执行环境实现路径劫持的技术变种。攻击者针对动态链接库（DLL）搜索顺序、可执行文件路径解析等环境变量（如PATH、PATHEXT），植入恶意路径条目或修改路径解析优先级，诱使目标进程加载攻击者控制的恶意库文件或可执行程序。该技术特别适用于容器化环境或持续集成系统，通过污染构建环境变量实现供应链攻击。

该技术的隐蔽性源于环境变量的动态性与上下文相关性。攻击者采用条件触发机制，仅在特定进程或用户上下文运行时修改环境变量，避免全局性变更引发的异常告警。在路径伪装层面，通过创建与系统目录同名的虚假路径（如C:\Windows\System32\drivers\etc），利用大小写不敏感的文件系统特性实现路径混淆。技术演进方向包括结合注册表虚拟化技术，为特定进程创建私有环境变量空间，以及利用进程空心化技术将恶意代码加载过程封装在合法环境配置中。防御方面临的挑战在于环境变量的瞬时性与进程局部性，传统基于系统快照的检测方法难以捕捉短生命周期攻击窗口。