← Zurück zum Malware-Index
Mimikatz
Zuordnungen basieren auf öffentlichen Reports. Eine gelistete Familie bedeutet, dass mindestens ein Syscall-Eintrag sie nennt; ihr Fehlen impliziert keine Nicht-Verwendung.
4 Syscalls erwähnt
- NtReadVirtualMemory
Liest Bytes aus dem virtuellen Adressraum eines Zielprozesses in einen vom Aufrufer bereitgestellten Puffer.
- NtOpenProcess
Öffnet ein Handle auf einen existierenden Prozess mit einer angeforderten Zugriffsmaske.
- NtSetInformationToken
Schreibt eine Token-Eigenschaft — Integritätslevel, Session-ID, Owner, Standard-DACL, Audit-Policy, Linked-Token.
- NtReadFile
Liest Bytes aus einer Datei, einem Gerät, einer benannten Pipe oder einer gemappten Section in einen User-Puffer — Kernel-Primitive hinter ReadFile.