2022年4月21日
红队技术-父进程伪装( MITRE ATT&CK框架:T1134)
摘要: 父PID(PPID)欺骗方法可以绕过 AV/EDR检测,使其认为是 lsass.exe 这样的合法进程在进行活动。它通过欺骗进程的 PID 以匹配其父进程的 PID 来做到这一点。这种方法可能带来的另一个好处是,如果父进程以 SYSTEM 权限运行,则可以凭借访问令牌的继承,使其子进程也具有相同的 SYSTEM 权限。 阅读全文
posted @ 2022-04-21 13:53 蚁景网安实验室 阅读(243) 评论(0) 推荐(0) 编辑