- 运行记事本等白名单程序
- 开启 process handle
- 申请一块内存
- 将内存设置为 RWX
- 在每一个实例中注入一部分 payload
- 触发 payload
- 使用 Native API 调用
- Windows Kernel 开放程度有效,大部分检测基于 ntdll hook
- 绕过 ntdll 直接进行交互能绕过部分检测
- 使用间接 API 调用
- 复制 API 函数代码
- 直接跳转制 API 函数
- 直接调用 System Call
- CreateToolhelp32Snapshot
- Process32First
- Process32Next
- OpenProcess
- VirtualAlloc
- VirtualAllocEx
- CreateRemoteThread
- WriteProcessMemory