01
阅读须知
本文档旨在介绍一些Windows恶意软件常见的API,以及它们的用途和风险,希望能够帮助读者了解Windows恶意软件的工作原理和常用技术,以及如何防范和检测恶意软件的攻击。本文档适合有一定编程基础和安全知识的读者阅读。
02
前言
Windows是世界上最流行的操作系统之一,也是恶意软件的主要目标。恶意软件是指任何能够破坏、窃取或者控制计算机系统或者数据的软件。恶意软件有很多种类,例如病毒、蠕虫、木马、勒索软件、间谍软件等。一些知名的恶意软件例子包括Clop Ransomware、DarkSide Ransomware、Emotet等。
恶意软件通常会利用Windows系统中的一些API(应用程序编程接口)来实现它们的恶意功能。API是指一组函数或者协议,用于让不同的软件之间进行交互或者访问系统资源。Windows提供了数千个API,涵盖了各种功能和领域。恶意软件开发者会利用这些API来隐藏自己的行为、获取敏感信息、修改系统设置、执行远程命令等。根据AV-TEST的数据,有5958万个新的Windows恶意软件样本被发现,占所有新恶意软件样本的95.6%。这表明Windows仍然是恶意软件攻击的主要对象。
03
API分类
Windows API是指Microsoft为Windows操作系统提供的一系列应用程序编程接口(API)。Windows API的名称包含了多个不同的平台实现,通常根据它们的版本或者特性来区分,例如Win32 API、Win64 API、.NETAPI等,Windows API提供的函数可以分为如下类别,
1. 基础服务:提供访问Windows系统基本资源的能力。包括文件系统、设备、进程、线程、错误处理等。这些函数位于16位Windows中的kernel.exe、krnl286.exe或者krnl386.exe文件中,在32位和64位Windows中位于kernel32.dll和KernelBase.dll文件中。这些文件位于所有版本的Windows中的\Windows\System32文件夹中。2. 高级服务:提供访问高级功能和技术的能力。包括组件对象模型(COM)、动态链接库(DLL)、多媒体、网络、安全等。这些函数位于各自对应功能或技术领域的DLL文件中,例如ole32.dll、user32.dll、gdi32.dll、winmm.dll、ws2_32.dll等。3. 图形设备接口(GDI):提供访问图形设备和输出图形内容的能力。包括绘制图形元素、管理字体、处理颜色、打印等。这些函数位于gdi.exe或者gdi32.dll文件中。4. 用户界面:提供创建和管理用户界面元素的能力。包括窗口、控件、菜单、对话框、消息机制等。这些函数位于user.exe或者user32.dll文件中。5. Shell:提供访问Shell功能和资源管理器元素的能力。包括任务栏、开始菜单、通知区域、文件夹视图、快捷方式等。这些函数位于shell32.dll或者shlwapi.dll文件中。6. 通用控件库(Common Controls):提供一组预定义且可重用的用户界面控件,例如按钮、列表框、树视图、工具栏等。这些控件位于comctl32.dll或者comctlv6.dll文件中。7. 通用对话框库(Common Dialogs):提供一组预定义且可重用的用户界面对话框,例如打开文件、保存文件、选择颜色、选择字体等。这些对话框位于comdlg32.dll文件中。8. Internet Explorer:提供访问Internet Explorer浏览器功能和组件的能力。包括网页渲染、导航、历史记录、收藏夹等。这些函数位于ieframe.dll或者shdocvw.dll文件中。
原文始发于微信公众号(dotNet安全矩阵):.NET 调用恶意的系统API一览
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论