进程发现: 进程树注入发现

进程树注入发现（Process Tree Injection Discovery）是通过将进程发现代码注入到具有合法父子关系的进程链中实现隐蔽侦察的技术。攻击者首先识别目标系统中存在稳定进程继承关系的服务（如Windows服务控制管理器启动的svchost.exe实例簇），然后通过线程注入或DLL侧载等方式，在子进程创建时植入进程枚举模块。该模块随进程树自然扩展而自动执行，利用进程间的信任关系规避安全软件的子进程监控，并将发现结果通过进程间通信（IPC）通道回传至父进程。

该技术的匿迹机制建立在系统进程生态的合法行为模拟之上。首先，利用进程继承关系中的白名单信任特性，使安全产品将注入的恶意模块识别为合法进程树的组成部分；其次，通过进程虚拟化技术伪造模块加载上下文，使动态链接库的加载行为在系统审计日志中显示为正常依赖项调用；最后，采用分阶段内存写入策略，将进程发现代码拆分为多个无害内存片段，仅在运行时动态重组为完整功能模块。这种技术使得进程发现操作深度嵌入系统原生进程生命周期，形成难以割裂分析的隐蔽攻击链。