Process Hollowing
Crear proceso suspended (CreateProcess con CREATE_SUSPENDED), unmap su imagen original, escribir tu shellcode/PE en su lugar, ResumeThread.
Categoría: Red Team & Evasión 🎯 Trinchera — Crear proceso suspended (CreateProcess con
CREATE_SUSPENDED), unmap su imagen original, escribir tu
shellcode/PE en su lugar, ResumeThread. El proceso “es” ahora tu
malware pero con metadata legítima (firma, nombre).
🔗 Kill chain — Cargar notepad.exe suspendido, reemplazar
con beacon, reanudar. AV ve notepad.exe, no ve el cambio en
memoria a menos que tenga ETW-TI o memscan activos.
📡 Huella defensiva — ETW-TI events
EtwTiLogReadWriteVm/AllocVm con cross-process write; Sysmon
EID 8 (CreateRemoteThread).
⚠️ Falso amigo — En 2026 EDRs modernos (CrowdStrike,
SentinelOne, MDE) detectan process hollowing por defecto.
🛡️ Remediación — Behavioral detection en EDR, hunt de procesos
con firma vs comportamiento anómalo (ej. notepad accediendo a
LSASS).
← Volver al glosario completo Última actualización: 2026-06-11