Access the Windows API by hash function.
Teknik function-hash menyembunyikan nama API yang diakses dengan merepresentasikan target sebagai hash.
Resolusi fungsi dilakukan dengan menelusuri setiap DLL yang telah dimuat, menghitung hash dari setiap nama fungsi dan membandingkannya dengan nilai hash target. Teknik ini menghilangkan string nama fungsi dari binary sehingga mempersulit analisis statis.
Pencarian melalui InMemoryOrderModuleList pada PEB dilakukan untuk mendapatkan semua module yang telah dimuat.
Hash function yang digunakan dapat berupa cryptographic hash ataupun non-cryptographic hash.
Daftar teknik function-hash yang diimplementasikan:
- ror13: resolusi fungsi menggunakan algoritma hash ROR-13 dengan penelusuran PEB dan export table.