Kernel32.dll, Kernelbase.dll y Malware

2

Noté que el mismo malware exportará CreateProcessInternalW desde kernel32.dll en Windows 7 y KernelBase.dll en Windows 10. ¿Por qué está exportando la misma función desde diferentes DLL?

    
pregunta Limpid.Security 26.02.2018 - 22:25
fuente

1 respuesta

1

CreateProcessInternalW no es parte de la API "pública" expuesta por Windows. En consecuencia, Microsoft es libre de moverlo o reimplementarlo como mejor le parezca. (Incluyendo eliminarlo por completo, aunque sea poco probable).

A partir de Windows7, Microsoft comenzó a crear algo que denominaron "MinWin", que es el conjunto mínimo de DLL de Windows y amp; Kernel necesario para crear el núcleo del sistema operativo. (Probablemente está destinado a la contenedorización o estandarización de un núcleo incorporado). Esto condujo a la creación de KernelBase.dll, que contiene la funcionalidad MinWin para las exportaciones de Kernel. Muchas funciones en kernel32.dll son simplemente apéndices que llaman a su función asociada en KernelBase.dll.

No estoy frente a un cuadro de Windows 10 en este momento, pero creo que CreateProcessInternalW se mudó a KernelBase.dll como parte de esto, y por lo tanto el desarrollador de malware lo está buscando allí en Windows 10. (Quizás kernel32.dll ya no exporta el símbolo.)

    
respondido por el David 26.02.2018 - 23:45
fuente

Lea otras preguntas en las etiquetas