NtUnmapViewOfSection
进程掏空代码注入实现和使用威胁图的检测思路——本质上掏空就是在操作PE的加载,NtUnmapViewOfSection是核心,结合威胁图进行实体关系关联检测
在进程掏空代码注入技术中,攻击者创建一个处于挂起状态的新进程,然后从内存中取消映射其映像,改为写入恶意二进制文件,最后恢复程序状态以执行注入的代码。 注入步骤: 步骤1:创建一个处于挂起状态的新进程: 设置了CREATE_SUSPENDED标志的CreateProcessA() 步骤 2:交换其内存 ......