Про цепочку с forfiles и mshta не уверен, что просто ParentImage + Image хватит — нужны ещё контексты по командам и времени запуска, иначе много ложных срабатываний будет. Детектить такие прокси-бинарники реально сложно, особенно учитывая, что они легальные инструменты. Развивать поведенческие правила — кажется, единственный выход сейчас.