Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Alisa Belousova - API sniffer (windows ver.)

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for DC7499 DC7499
December 11, 2015
Research
240
0

Alisa Belousova - API sniffer (windows ver.)

DEFCON Moscow 11

Avatar for DC7499

DC7499

December 11, 2015

More Decks by DC7499

See All by DC7499
Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]
Avatar for DC7499 defcon
0
580
Dmitry Sklyarov - Intel ME: Security keys Genealogy, Obfuscation and other Magic
Avatar for DC7499 defcon
0
310
Anton Lopanitsyn - Initial reconnaissance of web applications.
Avatar for DC7499 defcon
0
320
Dmitry Volkov - Private messengers: without pain??
Avatar for DC7499 defcon
1
250
Andrey Skuratov and Sergey Migalin - DNS tunneling in 2018. What is that, and what to do with it?
Avatar for DC7499 defcon
2
230
Sergey Belov - Another side of Bug Bounty programs
Avatar for DC7499 defcon
0
330
Dmitry Sklyarov - Intel ME: Flash file system explained
Avatar for DC7499 defcon
0
570
Maxim Goryachiy & Mark Ermolov - Inside Intel Management Engine
Avatar for DC7499 defcon
0
680
Sergey Golovanov - Indecent Response 2018
Avatar for DC7499 defcon
0
580

Other Decks in Research

See All in Research
LOSの検討(λ Kansai 2026 in Winter)
Avatar for Motohiro Yakura motopu
0
140
多様なデータを許容し学習し続ける模倣学習 / Advanced Imitation Learning for VLA
Avatar for PRIN Lab prinlab
0
210
計算情報学研究室 (数理情報学第7研究室)2026
Avatar for Tomohiro tomohirokoana
0
520
人間中心の意思決定支援AI
Avatar for Yukino Baba yukinobaba
PRO
4
2.5k
2026年度 生成AI を活用した論文執筆ガイド/ワークショップ / 2026 Academic Year Guide to Writing Papers Using Generative AI - Workshop
Avatar for Kenji Saito ks91
PRO
0
170
SAKURAONE: An Open Ethernet-based AI HPC System And Its Observed Workload Dynamics in a Single-Tenant LLM Development Environment
Avatar for Yuuki Tsubouchi (yuuk1) yuukit
1
310
通時的な類似度行列に基づく単語の意味変化の分析
Avatar for hajime kiyama rudorudo11
0
310
「なんとなく」の顧客理解から脱却する ──顧客の解像度を武器にするインサイトマネジメント
Avatar for 田島佳穂 tajima_kaho
10
7.6k
2026 東京科学大 情報通信系 研究室紹介 (大岡山)
Avatar for Tokyo Tech ICT Dept. icttitech
0
3.7k
2026年1月の生成AI領域の重要リリース&トピック解説
Avatar for KAJI | 梶谷健人 kajikent
0
1k
コーディングエージェントとABNを再考
Avatar for Hironobu Fujiyoshi hf149
2
700
言語モデルから言語について語る際に押さえておきたいこと
Avatar for Sho Yokoi eumesy
PRO
5
2.3k

Featured

See All Featured
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
720
Exploring the relationship between traditional SERPs and Gen AI search
Avatar for Ray Grieselhuber raygrieselhuber
PRO
2
4k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
460
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
1
2k
The Director’s Chair: Orchestrating AI for Truly Effective Learning
Avatar for Mike Taylor tmiket
1
190
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
BBQ
Avatar for Matthew Crist matthewcrist
89
10k
Done Done
Avatar for chrislema chrislema
186
16k
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
1
380
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
The Spectacular Lies of Maps
Avatar for Per Axbom axbom
PRO
1
790
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
250

Transcript

  1. None

  2. Белоусова Алиса ( [email protected] )

  3. API sniffer (windows ver.)

  4. :: Usermode WinAPI data sniffer ]x[ Export functions fuzzing ]x[

    Анализ трафика без установки. ]x[ Перехват и подмена данных на лету. ]x[ Быстрый анализ malware. ]x[ Анализ данных пользовательских функций. ]x[ Построение визуального представления. ]x[ Подключение внешних обработчиков in/Out данных

  5. API Sniffer winAPI

  6. API Sniffer Control Data

  7. API Sniffer Control Data

  8. Hard & Soft аналитика Start cat.exe Exit CreateProcess(dog.exe) Rutine… WriteFile()

    CreateFile(AV path) CreateFile(VM path) CreateRemoteThread(Explorer.exe) Connect( http://iMs.com/?d=34324

  9. Подключаемые обработчики Hooked_WinApi_function ( In param1, Out Param2 ) Python.FuzzParam

    (In param1) Python (In param1)

  10. :: Методы внедрения рабочего кода -:] Внедрение кода в рабочий

    процес -:] Внедрение dll в рабочий процесс -:] Подключение dll при запуске процесса: -=) ^ Легитимное by OS -=) ^ Поиск метода by Path

  11. ·Внедрение кода в рабочий процесс:

  12. The questions ᕙ(⇀‸↼‶)ᕗ [:::]- Работа с не документированными функциями OS

    [:::]- Работа с пользовательскими функциями [:::]- Работа в user space или трансляция из Driver? [:::]- Трансляция из Service? [:::]- Как использование GetProcAddress GetModuleHandle? [:::]- __asm{} вставки, don’t break my heart [:::]- Детектирование Hook [:::]- Вложенность функций -_-) [:::]- Скорость обработки -_-)

  13. :-: Вложенность функций _-_ Разрядность и assembler’овский код? Окай.. <(._.)>

    Попытка работы с EIP <(._.)> Попытка работы со stack’ом ヽ(*≧ω≦)ノ TlsSetValue/TlsGetValue?? (。◕‿◕。) Переход в ntdll.dll ¯\_(ツ)_/¯ Еще ниже…

  14. Try HeapAlloc Sprintf() & TlsSetValue() опять HeapAlloc J EIP: return

    0; pop edi pop esi pop ebx mov esp, ebp pop ebp ret Stack: int isMyFuncArg3; __asm { lea eax, LastArg add eax,4 push [eax] pop isMyFuncArg3} if(isMyFuncArg3 != 0) printf("Вызов из моей функции.\r\n");

  15. Итогo: - Дамп данных любой API функции в пользовательском пространстве.

    - Подключаемые обработчики данных - Повышение привилегий для внедрения в чужие или привилегированные процессы. - Дамп данных функций в скрытом режиме - Fuzzing In/Out данных на лету в GUI. - Ручная правка In/Out данных в GUI. - Сохранение потоков winAPI данных ПО для дальнейшего анализа.

  16. Duck face of pre beta.

  17. That’s all folks