问什么允许计量器迁移过程，以及如何抵御它？

EN

什么允许进程迁移工作？

进程迁移是因为进程注入，一种技术，流程可以在另一个进程的虚拟地址空间中运行其代码。

特别是在计量器有效载荷

1. 打开当前进程令牌以设置SE_DEBUG权限
2. Virtualallocexe用于在目标进程中分配内存
3. 写入进程内存在目标进程虚拟内存空间中写入有效负载
4. 通过创建远程线程调用线程的例程

来源

Windows和Linux在进程迁移中的主要区别是什么？

首先，Linux不使用DLL，尽管在windows中有更多的进程注入不使用Dll (PE注入)，但在linux中您将使用LD_PRELOAD或帕斯莱

这个迁移是一个特性还是一个漏洞？

功能，因为有许多过程注入用例，如调试，游戏黑客，使用主题，改变程序的功能和反病毒的东西。

我怎么才能为它辩护？

您很可能希望挂起可能使用的函数，然后执行检查，如果您想让它发生(可能会破坏东西)，进一步阅读

我应该阻止进程迁移吗？

它主要用于恶意软件来隐藏，即使不使用它，您也可以做同样多的damage.So....no。

内存空间和作业控制--例如将进程启动到用户空间运行时的能力--允许进程迁移。

换句话说，它是一个叫做“操作系统”的特性。