detecting-process-hollowing-technique

通过分析内存映射节区、进程镂空指标以及 EDR 遥测中的父子进程异常,检测进程镂空技术(T1055.012)。

9 stars

Best use case

detecting-process-hollowing-technique is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过分析内存映射节区、进程镂空指标以及 EDR 遥测中的父子进程异常,检测进程镂空技术(T1055.012)。

Teams using detecting-process-hollowing-technique should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-process-hollowing-technique/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-process-hollowing-technique/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-process-hollowing-technique/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-process-hollowing-technique Compares

Feature / Agentdetecting-process-hollowing-techniqueStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过分析内存映射节区、进程镂空指标以及 EDR 遥测中的父子进程异常,检测进程镂空技术(T1055.012)。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 检测进程镂空技术

## 适用场景

- 调查疑似无文件恶意软件或内存驻留威胁时
- EDR 告警进程注入或可疑内存操作后
- 在已遭入侵的环境中狩猎防御规避技术时
- 威胁情报显示活跃攻击活动中使用进程镂空技术时
- 紫队演练验证 T1055.012 检测覆盖范围期间

## 前置条件

- 具备内存保护监控能力的 EDR(CrowdStrike、MDE、SentinelOne)
- 配置了事件 ID 1(进程创建)、8(CreateRemoteThread)、25(ProcessTampering)的 Sysmon v13+
- 进程镂空的 Windows ETW 提供程序(Microsoft-Windows-Kernel-Process)
- 内存取证能力(Volatility、WinDbg)
- 进程完整性监控工具

## 工作流程

1. **了解镂空机制**:进程镂空(Process Hollowing)包括以挂起状态创建合法进程、取消映射其内存、写入恶意代码,然后恢复执行。
2. **监控挂起进程创建**:狩猎以 CREATE_SUSPENDED 标志创建的进程,随后跟随内存写入和线程恢复操作。
3. **检测内存节区异常**:识别内存中映像与磁盘上二进制文件不一致的进程(镜像不匹配)。
4. **分析父子进程树**:标记行为与其二进制名称不符的进程(例如,svchost.exe 发起异常网络连接)。
5. **检查进程完整性**:将进程内存节区与磁盘上的合法二进制文件进行比对。
6. **与网络活动关联**:被镂空的进程通常会建立 C2 连接,将可疑进程行为与网络日志相关联。
7. **记录并遏制**:报告发现结果,隔离受影响的终端,并更新检测规则。

## 核心概念

| 概念 | 描述 |
|------|------|
| T1055.012 | 进程注入:进程镂空(Process Hollowing) |
| T1055 | 进程注入(父技术) |
| T1055.001 | DLL 注入 |
| T1055.003 | 线程执行劫持 |
| T1055.004 | 异步过程调用 |
| CREATE_SUSPENDED | 以挂起状态创建进程的 Windows 标志 |
| NtUnmapViewOfSection | 取消映射进程内存节区的 API |
| WriteProcessMemory | 向其他进程内存写入数据的 API |
| ResumeThread | 恢复挂起线程的 API |
| 镜像不匹配 | 进程内存内容与磁盘上的二进制文件不同 |
| 进程替身(Process Doppelganging) | 使用 NTFS 事务的相关技术(T1055.013) |

## 工具与系统

| 工具 | 用途 |
|------|------|
| CrowdStrike Falcon | 内存保护和镂空检测 |
| Microsoft Defender for Endpoint | ProcessTampering 告警 |
| Sysmon v13+ | 事件 ID 25 ProcessTampering 检测 |
| Volatility | 内存取证——malfind 插件 |
| pe-sieve | 扫描被镂空进程的内存 |
| Hollows Hunter | 自动化被镂空进程检测 |
| Process Hacker | 实时进程内存检查 |
| API Monitor | 监控 NtUnmapViewOfSection 调用 |

## 常见场景

1. **场景 1**:Svchost.exe 镂空——恶意软件以挂起状态创建 svchost.exe,对其镂空并注入后门代码,进程看起来合法但行为恶意。
2. **场景 2**:Explorer.exe 镂空——攻击者镂空 explorer.exe 以继承其网络权限和受信进程上下文。
3. **场景 3**:Rundll32 镂空——恶意加载程序创建 rundll32.exe,用植入代码替换其内存以进行 C2 信标通信。
4. **场景 4**:多阶段镂空——加载程序将进程镂空作为第一阶段,随后对服务执行额外注入。

## 输出格式

```
Hunt ID: TH-HOLLOW-[DATE]-[SEQ]
Technique: T1055.012
Hollowed Process: [进程名和 PID]
Original Binary: [磁盘上的预期路径]
Parent Process: [父进程名和 PID]
Memory Mismatch: [是/否]
Suspicious APIs: [NtUnmapViewOfSection、WriteProcessMemory 等]
Network Activity: [C2 连接(如有)]
Host: [主机名]
User: [账户上下文]
Risk Level: [Critical/High/Medium/Low]
```

Related Skills

processing-stix-taxii-feeds

9
from killvxk/cybersecurity-skills-zh

处理通过 TAXII 2.1 服务器分发的 STIX 2.1 威胁情报包,将对象规范化为平台原生模式并路由到相应消费系统。适用于接入新的 TAXII 集合端点、自动化与 ISAC 的双向情报共享,或为格式错误的 STIX 包构建管道验证。当涉及 OASIS STIX、TAXII 服务器配置、MISP TAXII 或 Cortex XSOAR 情报源集成时激活。

mapping-mitre-attack-techniques

9
from killvxk/cybersecurity-skills-zh

将观察到的对手行为、安全告警和检测规则映射到 MITRE ATT&CK 技术和子技术,以量化检测覆盖率并指导控制优先级。当构建基于 ATT&CK 的覆盖热图、为 SIEM 告警标记技术 ID、将安全控制与对手攻击手册对齐,或向高层报告威胁暴露时使用。适用于涉及 ATT&CK Navigator、Sigma 规则、MITRE D3FEND 或覆盖缺口分析的请求。

hunting-for-process-injection-techniques

9
from killvxk/cybersecurity-skills-zh

通过 Sysmon 事件 ID 8 和 10 以及 EDR 进程遥测,检测进程注入技术(T1055),包括 CreateRemoteThread、进程空洞化和 DLL 注入。

hunting-for-living-off-the-cloud-techniques

9
from killvxk/cybersecurity-skills-zh

狩猎攻击者滥用合法云服务(Azure、AWS、GCP 和 SaaS 平台)进行 C2、数据暂存和数据外泄的行为。

detecting-wmi-persistence

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。

detecting-t1548-abuse-elevation-control-mechanism

9
from killvxk/cybersecurity-skills-zh

通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。

detecting-t1055-process-injection-with-sysmon

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。

detecting-t1003-credential-dumping-with-edr

9
from killvxk/cybersecurity-skills-zh

利用 EDR 遥测数据、Sysmon 进程访问监控和 Windows 安全事件关联,检测针对 LSASS 内存、SAM 数据库、NTDS.dit 和缓存凭据的 OS 凭据转储技术。

detecting-suspicious-powershell-execution

9
from killvxk/cybersecurity-skills-zh

检测可疑的 PowerShell 执行模式,包括编码命令、下载器(download cradles)、AMSI 绕过尝试以及受限语言模式规避。

detecting-suspicious-oauth-application-consent

9
from killvxk/cybersecurity-skills-zh

使用 Microsoft Graph API、审计日志和权限分析,检测 Azure AD / Microsoft Entra ID 中的高风险 OAuth 应用授权同意,识别非法同意授权攻击。

detecting-supply-chain-attacks-in-ci-cd

9
from killvxk/cybersecurity-skills-zh

扫描 GitHub Actions 工作流和 CI/CD 流水线配置,检测供应链攻击(Supply Chain Attack)向量, 包括未固定的 Action 版本、通过表达式的脚本注入、依赖混淆(Dependency Confusion)和密钥泄露。 使用 PyGithub 和 YAML 解析进行自动化审计。适用于加固 CI/CD 流水线或调查被攻击的构建系统。

detecting-stuxnet-style-attacks

9
from killvxk/cybersecurity-skills-zh

本技能涵盖检测遵循Stuxnet攻击模式的复杂网络物理攻击——在修改PLC逻辑的同时欺骗传感器读数以向操作员隐藏操控行为。内容涉及PLC逻辑完整性监控、基于物理的过程异常检测、工程师工作站入侵指标、USB传播攻击向量,以及从IT到OT横向移动直至过程操控的多阶段攻击链检测。