早期级联注入：从Windows进程创建到隐蔽注入 (www.outflank.nl)

本文介绍了一种名为“早期级联注入”的新型进程注入技术。该技术针对用户模式下的进程创建过程，结合了早期Bird APC注入和EDR预加载技术的元素。它避免了跨进程异步过程调用，最大限度地减少了远程进程交互，从而实现隐蔽注入，并有效绕过顶级EDR的检测。文章详细分析了Windows进程创建流程、早期Bird APC注入、EDR预加载以及早期级联注入的内部机制，并讨论了EDR用户模式检测机制的加载时机，指出早期级联注入的优势在于其新颖性、无需远程执行原语以及最小的远程进程交互。