Gorstak-Zadar/ProcessHollowingDetection

# 进程挖空检测 ## 📋 概述 ProcessHollowingDetection 可识别进程挖空攻击，在此类攻击中，恶意软件会启动一个合法进程并用恶意代码替换其内存。 ## 🎯 检测内容 - 👻 **进程挖空** - 内存替换攻击 - 🔄 **路径不匹配** - 映像路径差异 - ⏸️ **挂起线程** - 挖空进程指标 - 💾 **内存异常** - 工作集不一致 ## 🚀 使用方法 ``` # 检测进程挖空 .\ProcessHollowingDetection.ps1 ``` ## 📜 许可与免责声明 ## 本软件仅用于**授权安全监控**。 ## 全面法律免责声明 本项目仅供授权防御、行政、研究或教育目的使用。 - 仅在您已获得明确授权的系统、网络和环境中使用。 - 滥用可能违反法律、合同、政策或可接受使用条款。 - 运行安全、加固、监控或响应工具可能影响稳定性，并可能干扰合法软件。 - 在生产环境使用前，请在测试环境中验证所有更改。 - 本项目按"原样"提供，不提供任何形式的保证，包括但不限于适销性、特定用途适用性和非侵权性。 - 作者和贡献者不对任何直接或间接损害、数据丢失、停机、业务中断、法律风险或合规影响承担责任。 - 您全权负责在您管辖范围内的合法运营、配置选择和合规义务。

_{由 Gorstak 精心打造}

标签：AI合规, AMSI绕过, Conpot, EDR, Libemu, Memory Forensics, PowerShell安全, SecList, Suspicious Process, Windows安全, 内存取证, 内存异常检测, 威胁检测, 恶意代码分析, 端点可见性, 终端检测与响应, 脆弱性评估, 进程分析, 进程挖空检测, 进程注入检测, 配置文件, 防御性安全