تزریق به فرآیند

مهاجمان DLL‌های مخرب را به فرآیندهای در حال اجرا تزریق می‌کنند. با استفاده از API‌هایی مانند CreateRemoteThread و LoadLibrary، مهاجمان می‌توانند DLL مخرب را در فضای آدرس یک فرآیند قانونی بارگذاری کنند. این تکنیک برای پنهان‌سازی و ارتقاء سطح دسترسی استفاده می‌شود.

مهاجمان کد PE (Portable Executable) مخرب را مستقیماً به حافظه فرآیندهای در حال اجرا تزریق می‌کنند. برخلاف DLL injection، این روش نیازی به فایل روی دیسک ندارد و می‌تواند کاملاً در حافظه اجرا شود. این تکنیک برای اجرای fileless malware استفاده می‌شود.

مهاجمان thread‌های موجود در فرآیندهای قانونی را suspend می‌کنند، کد مخرب را به حافظه آن‌ها می‌نویسند و سپس اجرا را از سر می‌گیرند. این تکنیک به مهاجمان اجازه می‌دهد کد مخرب را در زمینه فرآیندهای قانونی اجرا کنند.

مهاجمان از Asynchronous Procedure Call (APC) برای تزریق کد به thread‌های فرآیندهای دیگر استفاده می‌کنند. APC یک مکانیزم ویندوز برای اجرای کد در زمینه یک thread خاص است. مهاجمان می‌توانند APC مخرب را به thread‌های در حالت alertable state صف کنند.

مهاجمان یک فرآیند قانونی را در حالت suspended ایجاد می‌کنند، کد اصلی آن را از حافظه خالی می‌کنند و با کد مخرب جایگزین می‌کنند. این تکنیک که به عنوان RunPE نیز شناخته می‌شود، به مهاجمان اجازه می‌دهد کد مخرب را در قالب یک فرآیند قانونی اجرا کنند.

مهاجمان از Windows Transactional NTFS (TxF) برای ایجاد فرآیندهایی از فایل‌های مخرب که هرگز روی دیسک نوشته نمی‌شوند استفاده می‌کنند. این تکنیک بسیاری از ابزارهای امنیتی را دور می‌زند زیرا فایل مخرب در سیستم فایل قابل مشاهده نیست.

مهاجمان از پنجره‌های ListView در برنامه‌های ویندوز برای تزریق کد استفاده می‌کنند. با ارسال پیام‌های خاص به پنجره‌های ListView، مهاجمان می‌توانند callback function‌های مخرب را در زمینه فرآیند هدف اجرا کنند.