进程空洞注入(Process Hollowing Injection)是一种通过替换合法进程内存内容实现隐蔽代码执行的技术。攻击者首先创建处于挂起状态的合法进程(如svchost.exe),清空其主模块内存空间后注入恶意代码,修改入口点指向载荷执行地址,最终恢复进程运行。该技术通过合法进程的数字签名和正常行为特征掩盖恶意活动,使得进程列表中的表象与正常应用无异。
该技术的匿迹效果源于"进程镜像劫持"与"内存映射欺骗"的协同作用。在技术实施层面,攻击者利用NtUnmapViewOfSection等API清空目标进程主模块内存,通过VirtualAllocEx分配具有执行权限的新内存区域,将恶意PE文件映射至该区域并修复重定位表。关键突破点包括:选择具有合法微软签名的宿主进程、保持进程环境块(PEB)中原始路径信息不变、以及劫持进程的导入表构建合法模块依赖关系。这种注入方式使得传统基于进程树分析或镜像路径验证的检测方法难以奏效,同时进程行为基线监控可能因宿主进程的正常功能调用而出现误判。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon