hacktricks/forensics/basic-forensic-methodology/malware-analysis.md

# मैलवेयर विश्लेषण

{% hint style="success" %}
AWS हैकिंग सीखें और अभ्यास करें:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks प्रशिक्षण AWS रेड टीम विशेषज्ञ (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP हैकिंग सीखें और अभ्यास करें: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks प्रशिक्षण GCP रेड टीम विशेषज्ञ (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>हैकट्रिक्स का समर्थन करें</summary>

* [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जाँच करें!
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या **हमें** **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें।
* **हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github रेपो में।

</details>
{% endhint %}

## फोरेंसिक्स चीटशीट्स

[https://www.jaiminton.com/cheatsheet/DFIR/#](https://www.jaiminton.com/cheatsheet/DFIR/)

## ऑनलाइन सेवाएं

* [VirusTotal](https://www.virustotal.com/gui/home/upload)
* [HybridAnalysis](https://www.hybrid-analysis.com)
* [Koodous](https://koodous.com)
* [Intezer](https://analyze.intezer.com)
* [Any.Run](https://any.run/)

## ऑफलाइन एंटीवायरस और पहचान उपकरण

### यारा

#### स्थापित
```bash
sudo apt-get install -y yara
```
#### नियम तैयार करें

इस स्क्रिप्ट का उपयोग करके गिथब से सभी यारा मैलवेयर नियम डाउनलोड और मर्ज करें: [https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9](https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9)\
_**rules**_ निर्देशिका बनाएं और इसे निष्पादित करें। इससे _**malware\_rules.yar**_ नामक एक फ़ाइल बनेगी जिसमें सभी मैलवेयर के लिए यारा नियम होंगे।
```bash
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
```
#### स्कैन
```bash
yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder
```
#### YaraGen: मैलवेयर की जाँच करें और नियम बनाएं

आप टूल [**YaraGen**](https://github.com/Neo23x0/yarGen) का उपयोग कर सकते हैं ताकि आप एक बाइनरी से यारा नियम उत्पन्न कर सकें। इन ट्यूटोरियल्स की जाँच करें: [**भाग 1**](https://www.nextron-systems.com/2015/02/16/write-simple-sound-yara-rules/), [**भाग 2**](https://www.nextron-systems.com/2015/10/17/how-to-write-simple-but-sound-yara-rules-part-2/), [**भाग 3**](https://www.nextron-systems.com/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/)
```bash
python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/
```
### ClamAV

#### स्थापित करें
```
sudo apt-get install -y clamav
```
#### स्कैन
```bash
sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder
```
### [Capa](https://github.com/mandiant/capa)

**Capa** प्रोग्रामों में पोटेंशियली जानलेवा **क्षमताएँ** पहचानता है: PE, ELF, .NET। इसलिए यह चीजें खोजेगा जैसे Att\&ck तकनीकें, या संदिग्ध क्षमताएँ जैसे:

* OutputDebugString त्रुटि की जाँच करें
* सेवा के रूप में चलाएं
* प्रक्रिया बनाएं

इसे [**Github रेपो**](https://github.com/mandiant/capa) से प्राप्त करें।

### IOCs

IOC का मतलब होता है Indicator Of Compromise। एक IOC एक सेट की **शर्तें हैं जो** कुछ पोटेंशियली अवांछित सॉफ्टवेयर या पुष्टि की गई **मैलवेयर** की पहचान करती हैं। ब्लू टीम इस प्रकार की परिभाषा का उपयोग अपने **सिस्टम** और **नेटवर्क्स** में इस प्रकार के जानलेवा फ़ाइलों की **खोज के लिए** करती है।\
इन परिभाषाओं को साझा करना बहुत उपयोगी है क्योंकि जब किसी कंप्यूटर में मैलवेयर की पहचान होती है और उस मैलवेयर के लिए एक IOC बनाया जाता है, तो अन्य ब्लू टीम इसका उपयोग करके मैलवेयर की पहचान तेजी से कर सकती है।

IOC बनाने या संशोधित करने के लिए एक उपकरण है [**IOC संपादक**](https://www.fireeye.com/services/freeware/ioc-editor.html)**।**\
आप [**Redline**](https://www.fireeye.com/services/freeware/redline.html) जैसे उपकरण का उपयोग कर सकते हैं **एक उपकरण में परिभाषित IOC की खोज के लिए**।

### Loki

[**Loki**](https://github.com/Neo23x0/Loki) एक स्कैनर है आसान जानलेवा संकेतों के लिए।\
पहचान चार पहचान पद्धतियों पर आधारित है:
```
1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)
```
### लिनक्स मैलवेयर डिटेक्ट

[**लिनक्स मैलवेयर डिटेक्ट (LMD)**](https://www.rfxn.com/projects/linux-malware-detect/) एक मैलवेयर स्कैनर है जो लिनक्स के लिए GNU GPLv2 लाइसेंस के तहत जारी किया गया है, जो साझा होस्टेड वातावरणों में प्रतिकूलताओं के आसपास डिज़ाइन किया गया है। यह नेटवर्क एज इन्ट्रूजन डिटेक्शन सिस्टम से धारा डेटा का उपयोग करता है ताकि हमलों में सक्रिय रूप से उपयोग किया जा रहा मैलवेयर निकाल सके और पहचान के लिए सिग्नेचर उत्पन्न कर सके। साथ ही, धारा डेटा भी उपयोगकर्ता सबमिशन से लिया जाता है जिसमें LMD चेकआउट फीचर और मैलवेयर समुदाय संसाधन शामिल हैं।

### rkhunter

[**rkhunter**](http://rkhunter.sourceforge.net) जैसे उपकरण को फाइल सिस्टम की जाँच के लिए उपयोग किया जा सकता है जिसमें संभावित **रूटकिट्स** और मैलवेयर की जाँच की जा सकती है।
```bash
sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]
```
### FLOSS

[**FLOSS**](https://github.com/mandiant/flare-floss) एक टूल है जो विभिन्न तकनीकों का उपयोग करके executables में छिपे हुए strings को खोजने का प्रयास करेगा।

### PEpper

[PEpper ](https://github.com/Th3Hurrican3/PEpper) executable में कुछ मौलिक चीजें जैसे binary data, entropy, URLs और IPs, कुछ yara rules की जांच करता है।

### PEstudio

[PEstudio](https://www.winitor.com/download) एक टूल है जो Windows executables की जानकारी प्राप्त करने की अनुमति देता है जैसे imports, exports, headers, लेकिन यह वायरस टोटल की जांच करेगा और potential Att\&ck techniques खोजेगा।

### Detect It Easy(DiE)

[**DiE**](https://github.com/horsicq/Detect-It-Easy/) एक टूल है जो फ़ाइल को **encrypted** है या नहीं यह खोजने के लिए है और **packers** भी खोजेगा।

### NeoPI

[**NeoPI** ](https://github.com/CiscoCXSecurity/NeoPI) एक Python script है जो **statistical methods** का उपयोग करके **obfuscated** और **encrypted** content को text/script files में खोजने के लिए है। NeoPI का उद्देश्य **hidden web shell code** की **detection** में सहायता करना है।

### **php-malware-finder**

[**PHP-malware-finder**](https://github.com/nbs-system/php-malware-finder) अपनी सर्वोत्तम प्रयास करता है कि **obfuscated**/**dodgy code** और फ़ाइलें खोजें जो **malwares**/webshells में अक्सर उपयोग की जाने वाली **PHP** functions का उपयोग करती हैं।

### Apple Binary Signatures

किसी **malware sample** की जांच करते समय आपको हमेशा बाइनरी के **signature** की जांच करनी चाहिए क्योंकि उस **developer** को जिसने इसे **sign** किया हो संबंधित हो सकता है **malware** के साथ।
```bash
#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app
```
## डिटेक्शन तकनीक

### फ़ाइल स्टैकिंग

अगर आपको पता है कि किसी वेब सर्वर के **फ़ाइलें** की किसी तारीख को **अंतिम बार अपडेट हुई थी**। **जांचें** कि **वेब सर्वर में सभी फ़ाइलें कब बनाई और संशोधित की गई थीं** और यदि कोई तारीख **संदिग्ध** है, तो उस फ़ाइल की जांच करें।

### बेसलाइन्स

अगर किसी फ़ोल्डर की फ़ाइलें **संशोधित नहीं होनी चाहिए**, तो आप फ़ोल्डर की **मौलिक फ़ाइलों** का **हैश** निकाल सकते हैं और उन्हें **वर्तमान** फ़ाइलों के साथ **तुलना** कर सकते हैं। कुछ भी संशोधित होने पर **संदिग्ध** होगा।

### सांख्यिकीय विश्लेषण

जब जानकारी लॉग में सहेजी जाती है तो आप **जांच सकते हैं कि वेब सर्वर की प्रत्येक फ़ाइल का कितनी बार एक्सेस किया गया था क्योंकि एक वेब शैल में सबसे अधिक हो सकता है**।
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								# मैलवेयर विश्लेषण
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								{% hint style="success" %}
 								AWS हैकिंग सीखें और अभ्यास करें:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks प्रशिक्षण AWS रेड टीम विशेषज्ञ (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
 								GCP हैकिंग सीखें और अभ्यास करें: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks प्रशिक्षण GCP रेड टीम विशेषज्ञ (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								<details>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								<summary>हैकट्रिक्स का समर्थन करें</summary>
-												Translated ['1911-pentesting-fox.md', 'README.md', 'backdoors/salseo.md'

											
										
										
											2023-12-30 13:26:01 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								* [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जाँच करें!
 								* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या **हमें** **ट्विटर** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें।
 								* **हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github रेपो में।
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								{% endhint %}
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								## फोरेंसिक्स चीटशीट्स
-												GitBook: [#3165] No subject

											
										
										
											2022-05-01 16:32:23 +00:00
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
+								[https://www.jaiminton.com/cheatsheet/DFIR/#](https://www.jaiminton.com/cheatsheet/DFIR/)
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								## ऑनलाइन सेवाएं
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
 								* [VirusTotal](https://www.virustotal.com/gui/home/upload)
 								* [HybridAnalysis](https://www.hybrid-analysis.com)
-												GitBook: [#2777] gitbookissooooo slow I cannot write

											
										
										
											2021-10-18 11:21:18 +00:00
+								* [Koodous](https://koodous.com)
 								* [Intezer](https://analyze.intezer.com)
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
+								* [Any.Run](https://any.run/)
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti

											
										
										
											2024-02-05 04:17:29 +00:00
+								## ऑफलाइन एंटीवायरस और पहचान उपकरण
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								### यारा
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti

											
										
										
											2024-02-05 04:17:29 +00:00
+								#### स्थापित
-												GitBook: [master] 2 pages modified
											
										
										
											2020-12-21 20:50:30 +00:00
+								```bash
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								sudo apt-get install -y yara
 								```
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								#### नियम तैयार करें
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti

											
										
										
											2024-02-05 04:17:29 +00:00
+								इस स्क्रिप्ट का उपयोग करके गिथब से सभी यारा मैलवेयर नियम डाउनलोड और मर्ज करें: [https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9](https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9)\
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								_**rules**_ निर्देशिका बनाएं और इसे निष्पादित करें। इससे _**malware\_rules.yar**_ नामक एक फ़ाइल बनेगी जिसमें सभी मैलवेयर के लिए यारा नियम होंगे।
-												GitBook: [master] 2 pages modified
											
										
										
											2020-12-21 20:50:30 +00:00
+								```bash
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
 								mkdir rules
 								python malware_yara_rules.py
 								```
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								#### स्कैन
-												GitBook: [master] one page modified
											
										
										
											2021-08-18 23:59:47 +00:00
+								```bash
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								yara -w malware_rules.yar image  #Scan 1 file
 								yara -w malware_rules.yar folder #Scan the whole folder
-												GitBook: [master] one page modified
											
										
										
											2021-08-18 23:59:47 +00:00
+								```
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								#### YaraGen: मैलवेयर की जाँच करें और नियम बनाएं
-												GitBook: [master] one page modified
											
										
										
											2021-08-18 23:59:47 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								आप टूल [**YaraGen**](https://github.com/Neo23x0/yarGen) का उपयोग कर सकते हैं ताकि आप एक बाइनरी से यारा नियम उत्पन्न कर सकें। इन ट्यूटोरियल्स की जाँच करें: [**भाग 1**](https://www.nextron-systems.com/2015/02/16/write-simple-sound-yara-rules/), [**भाग 2**](https://www.nextron-systems.com/2015/10/17/how-to-write-simple-but-sound-yara-rules-part-2/), [**भाग 3**](https://www.nextron-systems.com/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/)
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								```bash
 								python3 yarGen.py --update
 								python3.exe yarGen.py --excludegood -m  ../../mals/
 								```
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
+								### ClamAV
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								#### स्थापित करें
-												GitBook: [#2777] gitbookissooooo slow I cannot write

											
										
										
											2021-10-18 11:21:18 +00:00
+								```
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								sudo apt-get install -y clamav
 								```
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								#### स्कैन
-												GitBook: [master] 2 pages modified
											
										
										
											2020-12-21 20:50:30 +00:00
+								```bash
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								sudo freshclam      #Update rules
 								clamscan filepath   #Scan 1 file
-												Update malware-analysis.md
											
										
										
											2022-09-08 08:47:03 +00:00
+								clamscan folderpath #Scan the whole folder
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								### [Capa](https://github.com/mandiant/capa)
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								**Capa** प्रोग्रामों में पोटेंशियली जानलेवा **क्षमताएँ** पहचानता है: PE, ELF, .NET। इसलिए यह चीजें खोजेगा जैसे Att\&ck तकनीकें, या संदिग्ध क्षमताएँ जैसे:
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								* OutputDebugString त्रुटि की जाँच करें
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								* सेवा के रूप में चलाएं
 								* प्रक्रिया बनाएं
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
-												Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti

											
										
										
											2024-02-05 04:17:29 +00:00
+								इसे [**Github रेपो**](https://github.com/mandiant/capa) से प्राप्त करें।
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
-												Translated ['1911-pentesting-fox.md', 'README.md', 'backdoors/salseo.md'

											
										
										
											2023-12-30 13:26:01 +00:00
+								### IOCs
-												GitBook: [master] 508 pages modified
											
										
										
											2021-08-16 23:29:43 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								IOC का मतलब होता है Indicator Of Compromise। एक IOC एक सेट की **शर्तें हैं जो** कुछ पोटेंशियली अवांछित सॉफ्टवेयर या पुष्टि की गई **मैलवेयर** की पहचान करती हैं। ब्लू टीम इस प्रकार की परिभाषा का उपयोग अपने **सिस्टम** और **नेटवर्क्स** में इस प्रकार के जानलेवा फ़ाइलों की **खोज के लिए** करती है।\
-												Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti

											
										
										
											2024-02-05 04:17:29 +00:00
+								इन परिभाषाओं को साझा करना बहुत उपयोगी है क्योंकि जब किसी कंप्यूटर में मैलवेयर की पहचान होती है और उस मैलवेयर के लिए एक IOC बनाया जाता है, तो अन्य ब्लू टीम इसका उपयोग करके मैलवेयर की पहचान तेजी से कर सकती है।
-												GitBook: [master] 508 pages modified
											
										
										
											2021-08-16 23:29:43 +00:00
-												Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti

											
										
										
											2024-02-05 04:17:29 +00:00
+								IOC बनाने या संशोधित करने के लिए एक उपकरण है [**IOC संपादक**](https://www.fireeye.com/services/freeware/ioc-editor.html)**।**\
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								आप [**Redline**](https://www.fireeye.com/services/freeware/redline.html) जैसे उपकरण का उपयोग कर सकते हैं **एक उपकरण में परिभाषित IOC की खोज के लिए**।
-												GitBook: [master] 508 pages modified
											
										
										
											2021-08-16 23:29:43 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								### Loki
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								[**Loki**](https://github.com/Neo23x0/Loki) एक स्कैनर है आसान जानलेवा संकेतों के लिए।\
-												Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti

											
										
										
											2024-02-05 04:17:29 +00:00
+								पहचान चार पहचान पद्धतियों पर आधारित है:
-												GitBook: [#2777] gitbookissooooo slow I cannot write

											
										
										
											2021-10-18 11:21:18 +00:00
+								```
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
+. File Name IOC
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								Regex match on full file path/name
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
 . Yara Rule Check
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								Yara signature matches on file data and process memory
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
 . Hash Check
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
+. C2 Back Connect Check
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								Compares process connection endpoints with C2 IOCs (new since version v.10)
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
+								```
-												Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti

											
										
										
											2024-02-05 04:17:29 +00:00
+								### लिनक्स मैलवेयर डिटेक्ट
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								[**लिनक्स मैलवेयर डिटेक्ट (LMD)**](https://www.rfxn.com/projects/linux-malware-detect/) एक मैलवेयर स्कैनर है जो लिनक्स के लिए GNU GPLv2 लाइसेंस के तहत जारी किया गया है, जो साझा होस्टेड वातावरणों में प्रतिकूलताओं के आसपास डिज़ाइन किया गया है। यह नेटवर्क एज इन्ट्रूजन डिटेक्शन सिस्टम से धारा डेटा का उपयोग करता है ताकि हमलों में सक्रिय रूप से उपयोग किया जा रहा मैलवेयर निकाल सके और पहचान के लिए सिग्नेचर उत्पन्न कर सके। साथ ही, धारा डेटा भी उपयोगकर्ता सबमिशन से लिया जाता है जिसमें LMD चेकआउट फीचर और मैलवेयर समुदाय संसाधन शामिल हैं।
-												GitBook: [master] 3 pages modified
											
										
										
											2020-12-23 19:52:25 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								### rkhunter
-												GitBook: [master] 3 pages modified
											
										
										
											2020-12-23 19:52:25 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								[**rkhunter**](http://rkhunter.sourceforge.net) जैसे उपकरण को फाइल सिस्टम की जाँच के लिए उपयोग किया जा सकता है जिसमें संभावित **रूटकिट्स** और मैलवेयर की जाँच की जा सकती है।
-												GitBook: [master] 3 pages modified
											
										
										
											2020-12-23 19:52:25 +00:00
+								```bash
 								sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]
 								```
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
+								### FLOSS
-												Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti

											
										
										
											2024-02-05 04:17:29 +00:00
+								[**FLOSS**](https://github.com/mandiant/flare-floss) एक टूल है जो विभिन्न तकनीकों का उपयोग करके executables में छिपे हुए strings को खोजने का प्रयास करेगा।
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
 								### PEpper
-												GitBook: [master] 3 pages modified
											
										
										
											2020-12-23 19:52:25 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								[PEpper ](https://github.com/Th3Hurrican3/PEpper) executable में कुछ मौलिक चीजें जैसे binary data, entropy, URLs और IPs, कुछ yara rules की जांच करता है।
-												GitBook: [master] 3 pages modified
											
										
										
											2020-12-23 19:52:25 +00:00
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
+								### PEstudio
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								[PEstudio](https://www.winitor.com/download) एक टूल है जो Windows executables की जानकारी प्राप्त करने की अनुमति देता है जैसे imports, exports, headers, लेकिन यह वायरस टोटल की जांच करेगा और potential Att\&ck techniques खोजेगा।
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
 								### Detect It Easy(DiE)
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								[**DiE**](https://github.com/horsicq/Detect-It-Easy/) एक टूल है जो फ़ाइल को **encrypted** है या नहीं यह खोजने के लिए है और **packers** भी खोजेगा।
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
 								### NeoPI
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								[**NeoPI** ](https://github.com/CiscoCXSecurity/NeoPI) एक Python script है जो **statistical methods** का उपयोग करके **obfuscated** और **encrypted** content को text/script files में खोजने के लिए है। NeoPI का उद्देश्य **hidden web shell code** की **detection** में सहायता करना है।
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
+								### **php-malware-finder**
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								[**PHP-malware-finder**](https://github.com/nbs-system/php-malware-finder) अपनी सर्वोत्तम प्रयास करता है कि **obfuscated**/**dodgy code** और फ़ाइलें खोजें जो **malwares**/webshells में अक्सर उपयोग की जाने वाली **PHP** functions का उपयोग करती हैं।
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												GITBOOK-3999: change request with no subject merged in GitBook

											
										
										
											2023-07-04 15:58:34 +00:00
+								### Apple Binary Signatures
-												GitBook: [master] 504 pages and 3 assets modified
											
										
										
											2021-08-03 16:29:03 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								किसी **malware sample** की जांच करते समय आपको हमेशा बाइनरी के **signature** की जांच करनी चाहिए क्योंकि उस **developer** को जिसने इसे **sign** किया हो संबंधित हो सकता है **malware** के साथ।
-												GitBook: [master] 504 pages and 3 assets modified
											
										
										
											2021-08-03 16:29:03 +00:00
+								```bash
 								#Get signer
 								codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"
 								#Check if the app’s contents have been modified
 								codesign --verify --verbose /Applications/Safari.app
 								#Check if the signature is valid
 								spctl --assess --verbose /Applications/Safari.app
 								```
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								## डिटेक्शन तकनीक
-												GitBook: [master] 504 pages and 3 assets modified
											
										
										
											2021-08-03 16:29:03 +00:00
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								### फ़ाइल स्टैकिंग
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								अगर आपको पता है कि किसी वेब सर्वर के **फ़ाइलें** की किसी तारीख को **अंतिम बार अपडेट हुई थी**। **जांचें** कि **वेब सर्वर में सभी फ़ाइलें कब बनाई और संशोधित की गई थीं** और यदि कोई तारीख **संदिग्ध** है, तो उस फ़ाइल की जांच करें।
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								### बेसलाइन्स
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								अगर किसी फ़ोल्डर की फ़ाइलें **संशोधित नहीं होनी चाहिए**, तो आप फ़ोल्डर की **मौलिक फ़ाइलों** का **हैश** निकाल सकते हैं और उन्हें **वर्तमान** फ़ाइलों के साथ **तुलना** कर सकते हैं। कुछ भी संशोधित होने पर **संदिग्ध** होगा।
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												Translated to Hindi

											
										
										
											2023-11-06 08:38:02 +00:00
+								### सांख्यिकीय विश्लेषण
-												GitBook: [master] 4 pages and 2 assets modified
											
										
										
											2021-08-19 22:50:46 +00:00
-												Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md

											
										
										
											2024-07-18 19:58:30 +00:00
+								जब जानकारी लॉग में सहेजी जाती है तो आप **जांच सकते हैं कि वेब सर्वर की प्रत्येक फ़ाइल का कितनी बार एक्सेस किया गया था क्योंकि एक वेब शैल में सबसे अधिक हो सकता है**।