← Retour à l'index malware
RedLine Stealer
Les attributions s'appuient sur des rapports publics. Une famille listée signifie qu'au moins une fiche syscall la cite ; son absence n'implique pas un non-usage.
4 syscalls cités
- NtReadVirtualMemory
Lit des octets de l'espace d'adressage virtuel d'un processus cible vers un tampon fourni par l'appelant.
- NtDeleteKey
Supprime une clé de registre à la fermeture du handle — utilisé pour effacer la persistance et les artefacts d'audit après exécution.
- NtQueryValueKey
Lit une valeur d'une clé de registre — primitive de collecte ciblée de credentials et de configurations.
- NtReadFile
Lit des octets depuis un fichier, périphérique, pipe nommé ou section mappée vers un tampon utilisateur — primitive noyau derrière ReadFile.