← Retour à l'index malware
Vidar
Les attributions s'appuient sur des rapports publics. Une famille listée signifie qu'au moins une fiche syscall la cite ; son absence n'implique pas un non-usage.
3 syscalls cités
- NtReadVirtualMemory
Lit des octets de l'espace d'adressage virtuel d'un processus cible vers un tampon fourni par l'appelant.
- NtQueryValueKey
Lit une valeur d'une clé de registre — primitive de collecte ciblée de credentials et de configurations.
- NtReadFile
Lit des octets depuis un fichier, périphérique, pipe nommé ou section mappée vers un tampon utilisateur — primitive noyau derrière ReadFile.