Common API used in Malware

通用

网络

持久性

加密

反分析/虚拟机

隐身

执行

其他

• GetAsyncKeyState() -- 键盘记录

• SetWindowsHookEx -- 键盘记录

• GetForeGroundWindow -- 获取运行窗口名称（或浏览器中的网站）

• LoadLibrary() -- 导入库

• GetProcAddress() -- 导入库

• CreateToolhelp32Snapshot() -- 列出运行中的进程

• GetDC() -- 截图

• BitBlt() -- 截图

• InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- 访问互联网

• FindResource(), LoadResource(), LockResource() -- 访问可执行文件的资源

恶意软件技术

DLL注入

在另一个进程中执行任意DLL

1. 定位要注入恶意DLL的进程：CreateToolhelp32Snapshot, Process32First, Process32Next

2. 打开进程：GetModuleHandle, GetProcAddress, OpenProcess

3. 在进程中写入DLL的路径：VirtualAllocEx, WriteProcessMemory

4. 在进程中创建一个线程以加载恶意DLL：CreateRemoteThread, LoadLibrary

其他可用的函数：NTCreateThreadEx, RtlCreateUserThread

反射DLL注入

在不调用正常Windows API调用的情况下加载恶意DLL。 DLL在进程中映射，它将解析导入地址，修复重定位并调用DllMain函数。

线程劫持

从进程中找到一个线程并使其加载恶意DLL

1. 找到目标线程：CreateToolhelp32Snapshot, Thread32First, Thread32Next

2. 打开线程：OpenThread

3. 暂停线程：SuspendThread

4. 在受害者进程中写入恶意DLL的路径：VirtualAllocEx, WriteProcessMemory

5. 恢复加载库的线程：ResumeThread

PE注入

可移植执行注入：可执行文件将被写入受害者进程的内存中，并从那里执行。

进程空洞

恶意软件将从进程的内存中取消映射合法代码并加载恶意二进制文件

1. 创建一个新进程：CreateProcess

2. 取消映射内存：ZwUnmapViewOfSection, NtUnmapViewOfSection

3. 在进程内存中写入恶意二进制文件：VirtualAllocEc, WriteProcessMemory

4. 设置入口点并执行：SetThreadContext, ResumeThread

钩子

• SSDT（系统服务描述符表）指向内核函数（ntoskrnl.exe）或GUI驱动程序（win32k.sys），以便用户进程可以调用这些函数。

• 根套件可能会修改这些指针以指向他控制的地址

• IRP（I/O请求包）将数据片段从一个组件传输到另一个组件。几乎内核中的所有内容都使用IRP，每个设备对象都有自己的函数表，可以被钩住：DKOM（直接内核对象操作）

• IAT（导入地址表）用于解析依赖关系。可以钩住此表以劫持将被调用的代码。

• EAT（导出地址表）钩子。此钩子可以从用户空间完成。目标是钩住DLL导出的函数。

• 内联钩子：这种类型很难实现。这涉及到修改函数本身的代码。可能通过在开头放置一个跳转来实现。