本机API: 内存注入型API调用劫持

内存注入型API调用劫持（Memory Injection-based API Hijacking）是一种通过寄生在合法进程内存空间实施API滥用的高级攻击技术。攻击者将恶意代码注入到受信任进程（如explorer.exe、svchost.exe）的内存空间，劫持目标进程的API调用流程，利用宿主进程的合法身份执行敏感操作。该技术通过内存驻留和进程上下文伪装，使恶意API调用呈现出合法应用程序的行为特征。

该技术的隐匿性体现在三个维度：空间维度上，恶意代码寄生在系统白名单进程内，规避基于进程可信度的检测；时间维度上，攻击者选择宿主进程执行周期性任务时触发恶意调用，使异常行为融入正常活动节奏；行为维度上，劫持目标进程已有的API调用链，通过参数篡改或函数指针替换实现攻击目的。技术实现需突破内存写入保护机制（如DEP）、绕过进程权限隔离（如Protected Process Light），并精准匹配宿主进程的调用模式。防御方需结合内存完整性校验、跨进程行为关联分析等技术手段才能有效应对此类威胁。