6.5.16. 恶意软件

6.5.16.1. 行为检测绕过

• 使用 Use Native API 调用

• 使用间接 API 调用

• 复制 API 函数代码

• 直接跳转制 API 函数

• 直接调用 System Call

6.5.16.2. DLL注入

6.5.16.2.1. API Call

• CreateToolhelp32Snapshot

• Process32First

• Process32Next

• OpenProcess

• VirtualAllocEx

• CreateRemoteThread