Win 32API速查

最新推荐文章于 2024-07-12 10:14:01 发布

Haessen

最新推荐文章于 2024-07-12 10:14:01 发布

阅读量2k

点赞数 1

分类专栏：速查表

本文链接：https://blog.csdn.net/Snake_74/article/details/104890966

版权

本文深入探讨了Win32API中的关键函数，特别是与恶意软件活动相关的API，如创建进程、内存操作、权限调整等。通过分析这些API的使用，可以帮助理解恶意软件的行为模式，提升安全防御能力。

摘要由CSDN通过智能技术生成

Win32API

用户篇

序号	章节	函数	作用
1	2.1	CreateMutex	创建或打开一个已命名或未命名的互斥对象
		OpenMutex	打开一个现有的互斥对象
2	2.3	FindResource	确定模块中指定类型和名称的资源所在位置
3	2.3	SizeofResource	获取指定资源的字节数
4	2.3	LoadResource	装载指定资源到全局存储器
5	2.3	LockResource	锁定资源并得到资源在内存中第一个字节的指针
6	3.1	SetWindowsHookEx	将程序定义的钩子函数安装到挂钩链中
7	3.2	OpenProcess	打开现有的本地进程对象
8	3.2	VirtualAllocEx	在指定进程的虚拟地址空间内申请内存
9	3.2	WriteProcessMemory	在指定的进程中将数据写入内存
10	3.2	CreateRemoteThread	在另一个进程的虚拟地址空间中创建运行的线程
11	3.4	QueueUserAPC	将用户模式中的异步过程调用（APC）对象添加到指定线程的APC队列中
12	4.1	WinExec	运行指定的应用程序
13	4.1	ShellExecute	运行一个外部程序
14	4.1	CreateProcess	创建一个新进程及主线程
15	4.2	WTSGetActiveConsoleSessionId	检索控制台会话的标识符 Session Id
16	4.2	WTSQueryUserToken	获取由Session Id指定的登录用户的主访问令牌
17	4.2	DuplicateTokenEx	创建一个新的访问令牌
18	4.2	CreateEnvironmentBlock	检索指定用户的环境变量
19	4.2	CreateProcessAsUser	创建一个新进程及主线程
20	5.1	RegOpenKeyEx	打开一个指定的注册表键
21	5.1	RegSetValueEx	在注册表项下设置指定值的数据和类型
22	5.2	SHGetSpecialFolderPath	获取指定的系统路径
23	5.4	OpenSCManager	建立一个到服务控制管理器的连接，并打开指定的数据库
24	5.4	CreateService	创建一个服务对象，并将其添加到指定的服务控制管理器中
25	5.4	OpenService	打开一个已经存在的服务
26	5.4	StartService	启动服务
27	5.4	StartServiceCtrlDispatcher	将服务进程的主线程连接到服务控制管理器，常用来实现一个服务，该函数指定服务控制管理器会调用的服务控制函数
28	6.1	OpenProcessToken	打开与进程关联的访问令牌
29	6.1	LookupPrivilegeValue	查看系统权限的特权值
30	6.1	AdjustTokenPrivileges	启用或禁用指定访问令牌中的权限
31	7.1	NtQueryInformationProcess	获取指定进程的信息
32	7.2	GetThreadContext	获取指定线程的上下文
33	7.2	SetThreadContext	设置指定线程的上下文
34	7.2	ResumeThread	减少线程的暂停计数
35	7.3	ZwQuerySystemInformation	获取指定的系统信息
36	8.1	RtlGetCompressionWorkSpaceSize	确定RtlCompressBuffer和RtlDecompressFragment函数的工作空间缓冲区的正确大小
37	8.1	RtlCompressBuffer	压缩一个缓冲区
38	8.1	RtlDecompressBuffer	解压缩整个压缩缓冲区
39	9.1.1	CryptAcquireContext	用于获取特定加密服务提供程序（CSP）内特定密钥容器的句柄
40	9.1.1	CryptCreateHash	创建一个空HASH对象
41	9.1.1	CryptHashData	将数据添加到HASH对象，并进行HASH计算
42	9.1.1	CryptGetHashParam	从HASH对象中获取指定参数值
43	9.1.2	CryptDeriveKey	从基础数据值派生出的加密会话密钥
44	9.1.2	CryptEncrypt	由CSP模块保存的密钥指定的加密算法来加密数据
45	9.1.2	CryptDecrypt	解密数据
46	9.1.3	CryptGenKey	随机生成加密会话密钥或公钥/私钥对
47	9.1.3	CryptExportKey	以安全的方式从加密服务提供程序中导出加密密钥或密钥对
48	9.1.3	CryptImportKey	将密钥从密钥BLOB导入到加密服务提供程序中
49	10.1.1	Socket	根据指定的地址族、数据类型和协议来分配一个套接口函数
50	10.1.1	bind	将本地地址与套接字相关联
51	10.1.1	htons	将整型变量从主机字节顺序转变成网络字节顺序
52	10.1.1	inet_addr	将一个点分十进制的IP转换成一个长整型数
53	10.1.1	listen	将一个套接字置于正在监听传入连接的状态
54	10.1.1	accept	允许在套接字上尝试连接
55	10.1.1	send	在建立连接的套接字上发送数据
56	10.1.1	recv	从连接的套接字或绑定的无连接套接字中接收数据
57	10.1.2	sendto	将数据发送到特定的目的地
58	10.1.2	recvfrom	接收数据报并存储源地址
59	10.2.1	InternetOpen	初始化对WinNet库的使用，并设置用于HTTP通信的User-Agent字段
		InternetOpenUrl	使用一个完整的FTP或者HTTP的URL，来打开一个句柄
60	10.2.1	InternetConnect	建立互联网的连接
61	10.2.1	FtpOpenFile	访问FTP服务器上的远程文件以执行读取或写入
62	10.2.1	InternetWriteFile	将数据写入打开的互联网文件中
63	10.2.2	InternetReadFile	从打开的句柄中读取数据
64	10.3.1	HttpOpenRequest	创建一个HTTP请求句柄
65	10.3.1	HttpSendRequestEx	将指定的请求发送到HTTP服务器
66	10.3.1	HttpQueryInfo	该函数查询有关HTTP请求的信息
67	11.1	CreateToolhelp32Snapshot	获取进程信息为指定的进程、进程使用的堆、模块以及线程建立一个快照
68	11.1	Process32First	检索系统快照中遇到的第一个进程信息
69	11.1	Process32Next	检索系统快照中记录的下一个进程信息
70	11.2	FindFirstFile	搜索与特定名称匹配的文件名称或子目录
71	11.2	FindNextFile	继续搜索文件
72	11.3	GetDC	检索指定窗口的客户区域或整个屏幕上显示设备上下文环境的句柄
73	11.3	BitBlt	对指定的源设备环境区域中的像素进行位块（Bit Block）转换
74	11.4	RegisterRawInputDevices	注册提供原始输入数据的设备
75	11.4	GetRawInputData	从指定的设备中获取原始输入
76	11.5	CreatePipe	创建一个匿名管道，并从中得到读写管道的句柄
77	11.7	ReadDirecotryChangesW	监控文件目录
78	11.8	MoveFileEx	使用各种移动选项移动现有的文件或目录
		GetCurrentProcess	获取当前进程的伪句柄
		GetModuleFileNameA	获取当前所运行程序的完整路径
		_strrchr	查找当前程序完整路径中，最后一次出现的字符，回从这个位置开始往后的所有字符
		gethostbyname	返回IP地址并填充sockaddr_in结构
		GetModuleBaseNameA	将PID翻译为进程名
		NtUnmapViewOfSection	从内存中移除进程
		GetForegroundWindows	选择按键按下的活动窗口
		EnumProcessModules	返回加载到这个进程的所有模块的句柄数组
		CryptBinaryToStringA	转换字符
		StrTrimA	在字符串中去除字符
		StrStrA	在字符串1中
		SHGetFolderPath	检索特殊文件夹
		PathFindFileName	通过文件路径获取路径中的文件名