Noté que el mismo malware exportará CreateProcessInternalW desde kernel32.dll en Windows 7 y KernelBase.dll en Windows 10. ¿Por qué está exportando la misma función desde diferentes DLL?
Noté que el mismo malware exportará CreateProcessInternalW desde kernel32.dll en Windows 7 y KernelBase.dll en Windows 10. ¿Por qué está exportando la misma función desde diferentes DLL?
CreateProcessInternalW no es parte de la API "pública" expuesta por Windows. En consecuencia, Microsoft es libre de moverlo o reimplementarlo como mejor le parezca. (Incluyendo eliminarlo por completo, aunque sea poco probable).
A partir de Windows7, Microsoft comenzó a crear algo que denominaron "MinWin", que es el conjunto mínimo de DLL de Windows y amp; Kernel necesario para crear el núcleo del sistema operativo. (Probablemente está destinado a la contenedorización o estandarización de un núcleo incorporado). Esto condujo a la creación de KernelBase.dll, que contiene la funcionalidad MinWin para las exportaciones de Kernel. Muchas funciones en kernel32.dll son simplemente apéndices que llaman a su función asociada en KernelBase.dll.
No estoy frente a un cuadro de Windows 10 en este momento, pero creo que CreateProcessInternalW se mudó a KernelBase.dll como parte de esto, y por lo tanto el desarrollador de malware lo está buscando allí en Windows 10. (Quizás kernel32.dll ya no exporta el símbolo.)