Process Doppelganging — кибератака, основанная на подмене легитимного процесса вредоносным в рамках транзакций файловой системы NTFS. Для реализации такой атаки злоумышленник создает в памяти устройства копию исполняемого файла и внедряет в него вредоносный код. Далее нападающий использует недокументированные функции Windows для загрузки скомпрометированного образца программы вместо верифицированного процесса и отменяет внесенные изменения.
Таким образом, на жестком диске остается незараженный исполняемый файл, а в памяти устройства — вредоносный процесс под видом легитимной задачи.