Common API used in Malware

学习和实践AWS黑客技术：HackTricks培训AWS红队专家(ARTE) 学习和实践GCP黑客技术：HackTricks培训GCP红队专家(GRTE)

支持HackTricks

查看订阅计划!
加入 💬 Discord群组或电报群组或关注我们的Twitter 🐦 @hacktricks_live.
通过向 HackTricks和HackTricks Cloud github库提交PR分享黑客技巧。

通用

网络

原始套接字	WinAPI套接字
socket()	WSAStratup()
bind()	bind()
listen()	listen()
accept()	accept()
connect()	connect()
read()/recv()	recv()
write()	send()
shutdown()	WSACleanup()

原始套接字

WinAPI套接字

socket()

WSAStratup()

bind()

listen()

accept()

connect()

read()/recv()

recv()

write()

send()

shutdown()

WSACleanup()

持久性

注册表	文件	服务
RegCreateKeyEx()	GetTempPath()	OpenSCManager
RegOpenKeyEx()	CopyFile()	CreateService()
RegSetValueEx()	CreateFile()	StartServiceCtrlDispatcher()
RegDeleteKeyEx()	WriteFile()
RegGetValue()	ReadFile()

注册表

文件

服务

RegCreateKeyEx()

GetTempPath()

OpenSCManager

RegOpenKeyEx()

CopyFile()

CreateService()

RegSetValueEx()

CreateFile()

StartServiceCtrlDispatcher()

RegDeleteKeyEx()

WriteFile()

RegGetValue()

ReadFile()

加密

名称
WinCrypt
CryptAcquireContext()
CryptGenKey()
CryptDeriveKey()
CryptDecrypt()
CryptReleaseContext()

名称

WinCrypt

CryptAcquireContext()

CryptGenKey()

CryptDeriveKey()

CryptDecrypt()

CryptReleaseContext()

反分析/虚拟机

函数名称	汇编指令
IsDebuggerPresent()	CPUID()
GetSystemInfo()	IN()
GlobalMemoryStatusEx()
GetVersion()
CreateToolhelp32Snapshot [检查进程是否在运行]
CreateFileW/A [检查文件是否存在]

函数名称

汇编指令

IsDebuggerPresent()

CPUID()

GetSystemInfo()

IN()

GlobalMemoryStatusEx()

GetVersion()

CreateToolhelp32Snapshot [检查进程是否在运行]

CreateFileW/A [检查文件是否存在]

隐身

名称
VirtualAlloc	分配内存（打包器）
VirtualProtect	更改内存权限（打包器给予某个部分执行权限）
ReadProcessMemory	注入到外部进程
WriteProcessMemoryA/W	注入到外部进程
NtWriteVirtualMemory
CreateRemoteThread	DLL/进程注入...
NtUnmapViewOfSection
QueueUserAPC
CreateProcessInternalA/W

名称

VirtualAlloc

分配内存（打包器）

VirtualProtect

更改内存权限（打包器给予某个部分执行权限）

ReadProcessMemory

注入到外部进程

WriteProcessMemoryA/W

注入到外部进程

NtWriteVirtualMemory

CreateRemoteThread

DLL/进程注入...

NtUnmapViewOfSection

QueueUserAPC

CreateProcessInternalA/W

执行

函数名称
CreateProcessA/W
ShellExecute
WinExec
ResumeThread
NtResumeThread

函数名称

CreateProcessA/W

ShellExecute

WinExec

ResumeThread

NtResumeThread

其他

GetAsyncKeyState() -- 键盘记录
SetWindowsHookEx -- 键盘记录
GetForeGroundWindow -- 获取运行窗口名称（或浏览器中的网站）
LoadLibrary() -- 导入库
GetProcAddress() -- 导入库
CreateToolhelp32Snapshot() -- 列出运行中的进程
GetDC() -- 截图
BitBlt() -- 截图
InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- 访问互联网
FindResource(), LoadResource(), LockResource() -- 访问可执行文件的资源

恶意软件技术

DLL注入

在另一个进程中执行任意DLL

定位要注入恶意DLL的进程：CreateToolhelp32Snapshot, Process32First, Process32Next
打开进程：GetModuleHandle, GetProcAddress, OpenProcess
在进程中写入DLL的路径：VirtualAllocEx, WriteProcessMemory
在进程中创建一个线程以加载恶意DLL：CreateRemoteThread, LoadLibrary

其他可用函数：NTCreateThreadEx, RtlCreateUserThread

反射DLL注入

在不调用正常Windows API调用的情况下加载恶意DLL。 DLL在进程内部被映射，它将解析导入地址，修复重定位并调用DllMain函数。

线程劫持

从进程中找到一个线程并使其加载恶意DLL

找到目标线程：CreateToolhelp32Snapshot, Thread32First, Thread32Next
打开线程：OpenThread
暂停线程：SuspendThread
在受害者进程中写入恶意DLL的路径：VirtualAllocEx, WriteProcessMemory
恢复加载库的线程：ResumeThread

PE注入

可移植执行注入：可执行文件将被写入受害者进程的内存中，并从那里执行。

进程空洞

恶意软件将从进程的内存中取消映射合法代码并加载恶意二进制文件

创建一个新进程：CreateProcess
取消映射内存：ZwUnmapViewOfSection, NtUnmapViewOfSection
在进程内存中写入恶意二进制文件：VirtualAllocEc, WriteProcessMemory
设置入口点并执行：SetThreadContext, ResumeThread

钩子

SSDT（系统服务描述符表）指向内核函数（ntoskrnl.exe）或GUI驱动程序（win32k.sys），以便用户进程可以调用这些函数。
根套件可能会修改这些指针以指向他控制的地址
IRP（I/O请求包）将数据片段从一个组件传输到另一个组件。几乎内核中的所有内容都使用IRP，每个设备对象都有自己的函数表，可以被钩住：DKOM（直接内核对象操作）
IAT（导入地址表）用于解析依赖关系。可以钩住此表以劫持将被调用的代码。
EAT（导出地址表）钩子。此钩子可以从用户空间完成。目标是钩住DLL导出的函数。
内联钩子：这种类型的钩子难以实现。这涉及修改函数本身的代码。可能通过在开头放置一个跳转来实现。

支持HackTricks

查看订阅计划!
加入 💬 Discord群组或电报群组或关注我们的Twitter 🐦 @hacktricks_live.
通过向 HackTricks和HackTricks Cloud github库提交PR分享黑客技巧。

PreviousBlobrunner NextWord Macros

Last updated 2 months ago