簡介
在一支剛啟動的 process 內部 allocate 一塊 memory ,並將另一個 PE 填入,然後改寫 Address of entry point,使其執行此寫入的 PE。因為需要在另一個 process 內部 allocate memory,因此得名 hollowing。
優點
此 process 表面上是 benign,但內部同時又有 malicious 的部分,因此較不容易偵測。
CreateProcessA: 建立 benign process 並 suspendVirtualAllocEx: allocate memoryWriteProcessMemory: 將 malicious PE 寫入WriteProcessMemory: 調整 Address Of Entry pointResumeThread: 繼續執行 thread簡介
將惡意 DLL 注入到 process 中,並使其執行惡意 DLL 內的 function。