Ho notato che lo stesso malware esporta CreateProcessInternalW da kernel32.dll in Windows 7 e KernelBase.dll in Windows 10. Perché sta esportando la stessa funzione da diverse DLL?
Ho notato che lo stesso malware esporta CreateProcessInternalW da kernel32.dll in Windows 7 e KernelBase.dll in Windows 10. Perché sta esportando la stessa funzione da diverse DLL?
CreateProcessInternalW non fa parte dell'API "pubblica" esposta da Windows. Di conseguenza, Microsoft è libera di spostarlo o reimplementarlo come ritengono opportuno. (Compreso rimuoverlo interamente, per quanto possa essere improbabile.)
A partire da Windows 7, Microsoft ha iniziato a creare qualcosa chiamato "MinWin", ovvero il set minimo di DLL e ampli di Windows; Kernel necessario per creare il nucleo del sistema operativo. (Probabilmente destinato alla containerizzazione o standardizzazione di un core incorporato.) Ciò ha portato alla creazione di KernelBase.dll, che contiene la funzionalità MinWin per le esportazioni del kernel. Molte funzioni in kernel32.dll sono solo stub che chiamano la funzione partner in KernelBase.dll.
Al momento non sono davanti a una scatola di Windows 10, ma suppongo che CreateProcessInternalW sia stato spostato su KernelBase.dll come parte di questo, e di conseguenza lo sviluppatore di malware lo sta cercando in Windows 10. (Forse kernel32.dll non esporta più il simbolo.)