2022年04月08日
用于检验出现异常主题活动的最有用的技术之一是对父子进程关联的剖析,殊不知,技术更高超更强有力的攻击者可以应用父PID(PPID)欺骗来绕开此实际操作,进而容许从随意父进程实行故意进程。虽然此项技术自身并不新鮮,尽管Cobalt Strike和DidierStevens 对它进行了详解,但在检验该类进攻层面开展的专业科学研究却非常少。
在这篇文章中,大家将讨论该技术的使用原理及其防御者怎样运用Windows事情追踪(ETW)来检验该技术。大家还将公布定义认证PowerShell脚本制作以实行PP