父进程欺骗( MITRE ATT&CK框架:T1134)
分类:软件开发应用
时间:2022-05-01 22:23
浏览:365
概述:
概述父进程欺骗是一种访问令牌操作技术,通过将恶意文件的PPID指定为explorer.exe等合法进程的PPID,可帮助攻击者规避启发式检测等防御技术。该欺骗可通过使用本地API调用来执行,该调用可帮助攻击者显式指定PID,如C++中的CreateProcess调用。正如我们将在本文中看到的那样,这种显式分配也可能具有某些附带好处。MITRE 战术:权限提升(TA0004)和 防御规避(TA0005)MITRE ATT&CK技术
【点击查看原文】
评论: