Common API used in Malware

Try Hard Security Group

通用

网络

持久性

加密

反分析/虚拟机

隐蔽

执行

其他

• GetAsyncKeyState() -- 键盘记录

• SetWindowsHookEx -- 键盘记录

• GetForeGroundWindow -- 获取运行窗口名称（或浏览器中的网站）

• LoadLibrary() -- 导入库

• GetProcAddress() -- 导入库

• CreateToolhelp32Snapshot() -- 列出运行中的进程

• GetDC() -- 截图

• BitBlt() -- 截图

• InternetOpen()、InternetOpenUrl()、InternetReadFile()、InternetWriteFile() -- 访问互联网

• FindResource()、LoadResource()、LockResource() -- 访问可执行文件的资源

恶意软件技术

DLL注入

在另一个进程中执行任意DLL

1. 定位要注入恶意DLL的进程：CreateToolhelp32Snapshot、Process32First、Process32Next

2. 打开进程：GetModuleHandle、GetProcAddress、OpenProcess

3. 将DLL路径写入进程：VirtualAllocEx、WriteProcessMemory

4. 在进程中创建一个将加载恶意DLL的线程：CreateRemoteThread、LoadLibrary

其他要使用的函数：NTCreateThreadEx、RtlCreateUserThread

反射式DLL注入

加载恶意DLL而无需调用常规的Windows API调用。 DLL被映射到进程内部，将解析导入地址，修复重定位并调用DllMain函数。

线程劫持

找到进程中的线程并使其加载恶意DLL

1. 找到目标线程：CreateToolhelp32Snapshot、Thread32First、Thread32Next

2. 打开线程：OpenThread

3. 暂停线程：SuspendThread

4. 将恶意DLL的路径写入受害进程：VirtualAllocEx、WriteProcessMemory

5. 恢复加载库的线程：ResumeThread

PE注入

Portable Execution Injection：可执行文件将被写入受害进程的内存中，并从那里执行。

进程空壳化

恶意软件将从进程的内存中取消映射合法代码并加载恶意二进制文件

1. 创建一个新进程：CreateProcess

2. 取消映射内存：ZwUnmapViewOfSection、NtUnmapViewOfSection

3. 将恶意二进制文件写入进程内存：VirtualAllocEc、WriteProcessMemory

4. 设置入口点并执行：SetThreadContext、ResumeThread

钩子

• SSDT（系统服务描述符表）指向内核函数（ntoskrnl.exe）或GUI驱动程序（win32k.sys），因此用户进程可以调用这些函数。

• Rootkit可能会修改这些指针以指向他控制的地址

• IRP（I/O请求数据包）将数据片段从一个组件传输到另一个组件。几乎所有内核都使用IRP，每个设备对象都有自己的函数表，可以对其进行钩取：DKOM（直接内核对象操作）

• IAT（导入地址表）有助于解析依赖项。可以钩取此表以劫持将要调用的代码。

• EAT（导出地址表）钩取。这些钩可以从用户空间完成。目标是钩取DLL导出的函数。

• 内联钩子：这种类型很难实现。这涉及修改函数本身的代码。也许是在函数开头放置一个跳转。

Try Hard Security Group