妨碍防御: 可信进程注入

可信进程注入（Trusted Process Injection）是通过寄生可信进程实施防御削弱的隐蔽攻击技术。攻击者将恶意代码注入具有防御豁免权限的系统进程（如Windows的lsass.exe、Linux的systemd），利用宿主进程的合法身份绕过安全软件的检测机制，进而操控防御组件的运行状态。典型应用包括注入杀毒软件更新进程来禁用特征库更新，或通过可信服务进程卸载防火墙驱动模块。

该技术的匿迹性来源于对系统信任链条的深度利用。攻击者通过进程空洞注入或内存反射加载技术，在不触发进程行为异常告警的前提下，劫持可信进程的执行流。注入代码通过动态解析防御组件的内存结构，定位关键函数指针进行热修补（如修改Windows Defender的MpEngine.dll检测回调），或劫持安全服务的IPC通信通道发送禁用指令。由于所有操作均在可信进程上下文执行，传统基于进程信誉的检测机制无法有效识别，而内存操作痕迹又会被宿主进程的正常活动掩盖，形成完美的防御规避闭环。