系统时间发现: 合法进程时间戳读取

合法进程时间戳读取（Legitimate Process Timestamp Reading）是一种通过劫持系统正常进程的时间查询功能实现隐蔽时间采集的技术。攻击者通过注入或挂钩（Hook）系统进程（如系统监控工具、杀毒软件等），利用其固有的时间戳获取接口（如GetSystemTimeAsFileTime）间接读取系统时间信息，避免直接调用敏感API或执行显式时间查询命令。该技术将恶意时间发现行为嵌入可信进程的执行流中，使安全检测系统难以区分正常业务操作与攻击行为。

该技术的匿迹实现基于"功能寄生"与"行为隐匿"双重策略。攻击者首先通过进程注入或动态链接库劫持，将时间查询代码植入具有合法数字签名或高可信度的系统进程（如svchost.exe、explorer.exe），利用宿主进程的上下文环境掩盖恶意行为。在时间获取阶段，采用间接调用方式触发系统时间服务（如Windows Time Service），通过内存操作直接读取内核时间结构体（如KUSER_SHARED_DATA），避免产生命令行日志或网络通信痕迹。同时，通过控制调用频率与时间戳精度（如仅获取分钟级时间），使时间查询行为与宿主进程的正常活动模式保持一致。此技术有效规避了基于命令行监控或异常API调用的检测机制，实现了系统时间发现的深度隐匿。