显示“代码注入”事件信息的窗口包含以下详情:
单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的,则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
如果在创建事件时触发了 TAA (IOA) 规则,则会显示该字段。
如果使用 ARG_SPOOFING 方法注入代码,则会显示此字段。
该字段可以具有以下值:WRITE_EXECUTABLE_MEMORY、SET_WINDOWS_HOOK、QUEUE_APC_THREAD、SET_THREAD_CONTEXT – .MAP_VIEW_OF_SECTION、CREATE_REMOTE_THREAD、ARG_SPOOFING。
如果使用 SET_WINDOWS_HOOK 或 ARG_SPOOFING 方法注入代码,则不会填充此字段。
如果使用 SET_WINDOWS_HOOK 方法注入代码,则填充此字段。
如果使用 SET_WINDOWS_HOOK 方法注入代码,则填充此字段。