mspaintexe静默退出后运行我们的恶意软件所以，假设我们有我们的“恶意软件”hackcpp*hackcppevil app for windows。

名叫mspaintexe中就像你在上图看到，当产生meterpreter 会话进程之后会在受害机中产生mspaintexe进程同时也可以发现TID为。

mspaintexe 是指是微软画图程序， cmdexe 指正在运行命令行程序， DumpItexe 是之前说的用于获取内存镜像的工具下面针对说。

mspaintexe，WINRARexe，DumpItexe和cmdexe此时，我将假设DumpItexe只是用来创建内存转储的工具，因此我们将只在其他3个。

Mspaint，exe windows自带画图工具通过查看userassist可以发现notepad mspaint 在提取内存时在内存中并没有数据查看用户Home。

“C\Windows\System32\mspaintexe”，按下回车键，就可以打开画图软件4选中任意一张图片，并用右键单击，在弹出的选项中。

启动子进程mspaintexe，作为沙箱内DCOM服务的子进程，自然也被拉入沙箱内如此做到组织逃逸这里面涉及到很多技术细节。

写入mspaintexe内存，修改权限，修改RIP指向loader的入口函数，恢复mspaintexe主线程，完成远程注入HeaderLessPEloader再。