进程替换的原理:
1.先利用CreateProcess来创建一个进程,但是在创建的过程中需要以挂起的方式去创建
2.进程被创建后,恶意代码就需要将进程的内存空间进行替换,通常会使用ZwUnmapViewOfSection来释放指向的内存
3.原宿主的内存被释放后,需要用VirtualAllocEx为恶意代码分配内存,并搭配WriteProcessMemory来搭配使用写入受害进程中
4.最后调用SetThreadContext让入口点指向恶意代码。调用ResumeThread函数,恢复进程
这里附上一篇看雪帖子https://bbs.pediy.com/thread-153508.htm 感谢作者的分享学习~