凭据API挂钩

对手可能会挂钩Windows应用程序编程接口（API）函数以收集用户凭据。恶意挂钩机制可能会捕获包含揭示用户认证凭据参数的API调用。(引用: Microsoft TrojanSpy:Win32/Ursnif.gen!I Sept 2017) 与键盘记录不同，此技术专注于包含揭示用户凭据参数的API函数。挂钩涉及拦截这些函数的调用，并可以通过以下方式实现： * 挂钩过程，拦截并在响应事件（如消息、按键和鼠标输入）时执行指定代码。(引用: Microsoft Hook Overview)(引用: Elastic Process Injection July 2017) * 导入地址表（IAT）挂钩，通过修改进程的IAT，其中存储了指向导入API函数的指针。(引用: Elastic Process Injection July 2017)(引用: Adlice Software IAT Hooks Oct 2014)(引用: MWRInfoSecurity Dynamic Hooking 2015) * 内联挂钩，覆盖API函数中的第一个字节以重定向代码流。(引用: Elastic Process Injection July 2017)(引用: HighTech Bridge Inline Hooking Sept 2011)(引用: MWRInfoSecurity Dynamic Hooking 2015)