Common API used in Malware

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान देखें!
आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
हमारा संग्रह The PEASS Family खोजें, हमारा विशेष NFTs संग्रह
जुड़ें 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह में या हमें ट्विटर 🐦 @carlospolopm** पर फॉलो करें।
HackTricks और HackTricks Cloud github repos में PRs सबमिट करके अपने हैकिंग ट्रिक्स साझा करें।

Try Hard सुरक्षा समूह

Join the Try Hard Security Discord Server!Discord

सामान्य

नेटवर्किंग

रॉ सॉकेट्स	WinAPI सॉकेट्स
socket()	WSAStratup()
bind()	bind()
listen()	listen()
accept()	accept()
connect()	connect()
read()/recv()	recv()
write()	send()
shutdown()	WSACleanup()

रॉ सॉकेट्स

WinAPI सॉकेट्स

socket()

WSAStratup()

bind()

listen()

accept()

connect()

read()/recv()

recv()

write()

send()

shutdown()

WSACleanup()

स्थिरता

रजिस्ट्री	फ़ाइल	सेवा
RegCreateKeyEx()	GetTempPath()	OpenSCManager
RegOpenKeyEx()	CopyFile()	CreateService()
RegSetValueEx()	CreateFile()	StartServiceCtrlDispatcher()
RegDeleteKeyEx()	WriteFile()
RegGetValue()	ReadFile()

रजिस्ट्री

फ़ाइल

सेवा

RegCreateKeyEx()

GetTempPath()

OpenSCManager

RegOpenKeyEx()

CopyFile()

CreateService()

RegSetValueEx()

CreateFile()

StartServiceCtrlDispatcher()

RegDeleteKeyEx()

WriteFile()

RegGetValue()

ReadFile()

एन्क्रिप्शन

नाम
WinCrypt
CryptAcquireContext()
CryptGenKey()
CryptDeriveKey()
CryptDecrypt()
CryptReleaseContext()

नाम

WinCrypt

CryptAcquireContext()

CryptGenKey()

CryptDeriveKey()

CryptDecrypt()

CryptReleaseContext()

एंटी-विश्लेषण/वीएम

फ़ंक्शन नाम	असेम्बली निर्देश
IsDebuggerPresent()	CPUID()
GetSystemInfo()	IN()
GlobalMemoryStatusEx()
GetVersion()
CreateToolhelp32Snapshot [प्रक्रिया चल रही है या नहीं देखें]
CreateFileW/A [फ़ाइल मौजूद है या नहीं देखें]

फ़ंक्शन नाम

असेम्बली निर्देश

IsDebuggerPresent()

CPUID()

GetSystemInfo()

IN()

GlobalMemoryStatusEx()

GetVersion()

CreateToolhelp32Snapshot [प्रक्रिया चल रही है या नहीं देखें]

CreateFileW/A [फ़ाइल मौजूद है या नहीं देखें]

छिपाव

नाम
VirtualAlloc	मेमोरी आवंटित करें (पैकर्स)
VirtualProtect	मेमोरी अनुमति बदलें (पैकर एक खंड को क्रियान्वयन अनुमति देना)
ReadProcessMemory	बाहरी प्रक्रियाओं में इंजेक्शन
WriteProcessMemoryA/W	बाहरी प्रक्रियाओं में इंजेक्शन
NtWriteVirtualMemory
CreateRemoteThread	DLL/प्रक्रिया इंजेक्शन...
NtUnmapViewOfSection
QueueUserAPC
CreateProcessInternalA/W

नाम

VirtualAlloc

मेमोरी आवंटित करें (पैकर्स)

VirtualProtect

मेमोरी अनुमति बदलें (पैकर एक खंड को क्रियान्वयन अनुमति देना)

ReadProcessMemory

बाहरी प्रक्रियाओं में इंजेक्शन

WriteProcessMemoryA/W

बाहरी प्रक्रियाओं में इंजेक्शन

NtWriteVirtualMemory

CreateRemoteThread

DLL/प्रक्रिया इंजेक्शन...

NtUnmapViewOfSection

QueueUserAPC

CreateProcessInternalA/W

क्रियान्वयन

फ़ंक्शन नाम
CreateProcessA/W
ShellExecute
WinExec
ResumeThread
NtResumeThread

फ़ंक्शन नाम

CreateProcessA/W

ShellExecute

WinExec

ResumeThread

NtResumeThread

विविध

GetAsyncKeyState() -- कुंजी लॉगिंग
SetWindowsHookEx -- कुंजी लॉगिंग
GetForeGroundWindow -- चल रही विंडो का नाम प्राप्त करें (या ब्राउज़र से वेबसाइट)
LoadLibrary() -- लाइब्रेरी आयात
GetProcAddress() -- लाइब्रेरी आयात
CreateToolhelp32Snapshot() -- चल रही प्रक्रियाएँ सूचीबद्ध करें
GetDC() -- स्क्रीनशॉट
BitBlt() -- स्क्रीनशॉट
InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- इंटरनेट तक पहुंचें
FindResource(), LoadResource(), LockResource() -- कार्यक्रम के संसाधनों तक पहुंचें

मैलवेयर तकनीकें

DLL इंजेक्शन

किसी अन्य प्रक्रिया में एक विचित्र DLL को निषेधित करें

दुरुपयोगी DLL डालने के लिए प्रक्रिया का पता लगाएं: CreateToolhelp32Snapshot, Process32First, Process32Next
प्रक्रिया खोलें: GetModuleHandle, GetProcAddress, OpenProcess
DLL के पथ को प्रक्रिया के अंदर लिखें: VirtualAllocEx, WriteProcessMemory
प्रक्रिया में एक धारात्मक DLL लोड करने वाली धारा बनाएं: CreateRemoteThread, LoadLibrary

उपयोग करने के अन्य फ़ंक्शन: NTCreateThreadEx, RtlCreateUserThread

प्रतिबिम्बित DLL इंजेक्शन

सामान्य Windows API कॉल किए बिना एक दुरुपयोगी DLL लोड करें। DLL प्रक्रिया के अंदर मैप किया जाता है, यह आयात पते हल करेगा, स्थानांतरणों को ठीक करेगा और DllMain फ़ंक्शन को कॉल करेगा।

थ्रेड हाइजैकिंग

प्रक्रिया से एक धारात्मक DLL लोड करने के लिए एक धारात्मक थ्रेड खोजें

लक्ष्य थ्रेड खोजें: CreateToolhelp32Snapshot, Thread32First, Thread32Next
थ्रेड खोलें: OpenThread
थ्रेड को रोकें: SuspendThread
पीड़ित प्रक्रिया में दुरुपयोगी DLL के पथ को लिखें: VirtualAllocEx, WriteProcessMemory
लाइब्रेरी लोड करने वाले थ्रेड को फिर से आरंभ करें: ResumeThread

पीई इंजेक्शन

पोर्टेबल एक्जीक्यूशन इंजेक्शन: एक्जीक्यूशन विक्टिम प्रक्रिया की मेमोरी में लिखा जाएगा और वहां से चलाया जाएगा।

प्रक्रिया होलोइंग

मैलवेयर वास्तविक कोड को प्रक्रिया की मेमोरी से अनमैप करेगा और एक दुरुपयोगी बाइनरी लोड करेगा

एक नई प्रक्रिया बनाएं: CreateProcess
मेमोरी को अनमैप करें: ZwUnmapViewOfSection, NtUnmapViewOfSection
प्रक्रिया मेमोरी में दुरुपयोगी बाइनरी लिखें: VirtualAllocEc, WriteProcessMemory
प्रवेश बिंदु सेट करें और क्रियान्वयन करें: SetThreadContext, ResumeThread

हुकिंग

SSDT (सिस्टम सेवा विवरण तालिका) कर्नेल फ़ंक्शनों (ntoskrnl.exe) या GUI ड्राइवर (win32k.sys) को इंगित करता है ताकि उपयोगकर्ता प्रक्रियाएँ इन फ़ंक्शनों को कॉल कर सकें।
एक रूटकिट इन पॉइंटर को उसके नियंत्रण में पते पर संशोधित कर सकता है
IRP (आई/ओ अनुरोध पैकेट्स) एक घटक से दूसरे घटक तक डेटा ट्रांसमिट करते हैं। कर्नेल में लगभग सभी चीजें IRPs का उपयोग करती हैं और प्रत्येक डिवाइस ऑब्ज
अपनी हैकिंग ट्रिक्स साझा करें PRs सबमिट करके HackTricks और HackTricks Cloud github repos पर।

PreviousBlobrunner NextWord Macros

Last updated 1 month ago