Les hooks d’API sous Windows sont utilisés par des programmes légitimes, mais il est intéressant de ne pas les oublier lors d’une analyse mémoire. Ils permettent de détourner un programme légitimement ou non.
À partir d’une formation chez Volatility et de mon expérience sur l’analyse de mémoire vive, mon objectif sera de montrer qu’avec mon dashboard Splunk [1] et un dissecteur spécifique, l’analyse des hooks d’API Windows peut être rapide.
1. Qu’est-ce qu’un hook d’API Windows
1.1 Une API Windows
En partant d’un exemple simple, je vais essayer de rendre les hooks facilement visualisables. Une application programming interface, API, est une interface qui permet d’utiliser des fonctions.
Par exemple, une fonction permettant d’attendre est la fonction Sleep() de la MSDN [2]. Elle est disponible dans la DLL : kernel32.dll.
Cette interface attend des paramètres bien précis, dans le cas de Sleep(), un DWORD pour définir un temps en millisecondes :
void Sleep(
DWORD dwMilliseconds
);
Il existe des API Windows qu’un attaquant pourrait utiliser pour se cacher, créer des processus invisibles, modifier des informations...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première