← Retour à l'index malware
JuicyPotato / RoguePotato (tooling)
Les attributions s'appuient sur des rapports publics. Une famille listée signifie qu'au moins une fiche syscall la cite ; son absence n'implique pas un non-usage.
3 syscalls cités
- NtOpenProcessTokenEx
Ouvre le jeton d'accès d'un processus en permettant à l'appelant de spécifier des attributs de handle tels que OBJ_INHERIT.
- NtDuplicateToken
Crée un nouveau jeton d'accès dupliquant un jeton existant, en modifiant éventuellement son type et son niveau d'impersonation.
- NtImpersonateThread
Fait impersonner par le thread serveur le contexte de sécurité du thread client.