← Zurück zum Malware-Index
FIN7
Zuordnungen basieren auf öffentlichen Reports. Eine gelistete Familie bedeutet, dass mindestens ein Syscall-Eintrag sie nennt; ihr Fehlen impliziert keine Nicht-Verwendung.
4 Syscalls erwähnt
- NtOpenProcessToken
Öffnet das einem Prozess zugeordnete Zugriffstoken und gibt ein Handle darauf zurück.
- NtQueryInformationToken
Ruft eine angegebene Informationsklasse zu einem Zugriffstoken ab.
- NtImpersonateThread
Lässt den Server-Thread den Sicherheitskontext des Client-Threads impersonieren.
- NtDuplicateObject
Dupliziert ein Handle aus einem Quellprozess in einen Zielprozess, optional mit Anpassung der Zugriffsrechte oder Schließung der Quelle.