Перехват потока выполнения

Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки, перехватывая способ запуска программ операционными системами. Перехват потока выполнения может использоваться для целей закрепления, поскольку это перехваченное выполнение может повторяться с течением времени. Злоумышленники также могут использовать эти механизмы для повышения привилегий или уклонения от защиты, такой как контроль приложений или другие ограничения на выполнение. Существует множество способов, которыми злоумышленник может перехватить поток выполнения, включая манипулирование тем, как операционная система находит программы для выполнения. То, как операционная система находит библиотеки для использования программой, также может быть перехвачено. Местоположения, где операционная система ищет программы/ресурсы, такие как каталоги файлов и в случае Windows — реестр, также могут быть отравлены для включения вредоносных полезных нагрузок.