傀儡进程_dwcreationflags

常见傀儡进程流程：

（1）CreateProcess一个进程，并挂起，即向dwCreationFlags 参数传入CREATE_SUSPENDED；
(2) GetThreadContext获取挂起进程CONTEXT，其中，EAX为进程入口点地址，EBX指向进程PEB;
(3) ZwUnmapViewOfSection卸载挂起进程内存空间数据；
(4) VirtualAlloc分配内存空间；
(5) WriteProcessMemory将恶意代码写入分配的内存；
(6) SetThreadContext设置挂起进程状态；
(6) ResumeThread唤醒进程运行。

分析病毒的傀儡进程流程：

1. CreateProcess一个进程，并挂起，即向dwCreationFlags 参数传入CREATE_SUSPENDED；
   2）在傀儡进程创建映射mapviewofsection;
   3)代码修改OEP的数据
   4）ZwUnmapViewOfSection卸载挂起进程内存空间数据；
   5）Mapviewofsection映射镜像。
   6）ResumeThread唤醒进程运行。