Rust 中的 ProcessGhosting

进程重影是 Windows 系统中一种先进的技术，用于创建新进程，从而隐藏或操纵其存在，使其不被典型的安全工具或监控机制发现。想象一下，您正在与计算机的安全系统玩捉迷藏游戏。通常，当程序（或进程）启动时，它会在磁盘上创建一个文件，将其加载到内存中并运行它，留下安全软件可以轻松检测到的痕迹。然而，进程重影使用一种特殊的方法来欺骗系统：它创建一个临时文件，将其标记为删除（因此不容易被看到），将程序的代码写入此文件，然后将其作为一个部分直接映射到内存中，而不会在磁盘上留下永久文件。然后从这个内存部分启动这个新进程，使其看起来像一个“幽灵”，因为它没有传统防病毒或监控工具可以追踪的明确文件来源。

https://github.com/Whitecat18/Rust-for-Malware-Development/tree/main/GhostingProcess