hacktricks/reversing/common-api-used-in-malware.md

<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente de graça**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

***

# Genérico

## Rede

| Raw Sockets   | WinAPI Sockets |
| ------------- | -------------- |
| socket()      | WSAStratup()   |
| bind()        | bind()         |
| listen()      | listen()       |
| accept()      | accept()       |
| connect()     | connect()      |
| read()/recv() | recv()         |
| write()       | send()         |
| shutdown()    | WSACleanup()   |

## Persistência

| Registro         | Arquivo       | Serviço                      |
| ---------------- | ------------- | ---------------------------- |
| RegCreateKeyEx() | GetTempPath() | OpenSCManager                |
| RegOpenKeyEx()   | CopyFile()    | CreateService()              |
| RegSetValueEx()  | CreateFile()  | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile()   |                              |
| RegGetValue()    | ReadFile()    |                              |

## Criptografia

| Nome                  |
| --------------------- |
| WinCrypt              |
| CryptAcquireContext() |
| CryptGenKey()         |
| CryptDeriveKey()      |
| CryptDecrypt()        |
| CryptReleaseContext() |

## Anti-Análise/VM

| Nome da Função                                           | Instruções de Assembly |
| -------------------------------------------------------- | ---------------------- |
| IsDebuggerPresent()                                      | CPUID()               |
| GetSystemInfo()                                          | IN()                  |
| GlobalMemoryStatusEx()                                   |                       |
| GetVersion()                                             |                       |
| CreateToolhelp32Snapshot \[Verificar se um processo está em execução] |                       |
| CreateFileW/A \[Verificar se um arquivo existe]           |                       |

## Furtividade

| Nome                     |                                                                            |
| ------------------------ | -------------------------------------------------------------------------- |
| VirtualAlloc             | Alocar memória (empacotadores)                                            |
| VirtualProtect           | Alterar permissão de memória (empacotador dando permissão de execução a uma seção) |
| ReadProcessMemory        | Injeção em processos externos                                            |
| WriteProcessMemoryA/W    | Injeção em processos externos                                            |
| NtWriteVirtualMemory     |                                                                            |
| CreateRemoteThread       | Injeção de DLL/Processo...                                               |
| NtUnmapViewOfSection     |                                                                            |
| QueueUserAPC             |                                                                            |
| CreateProcessInternalA/W |                                                                            |

## Execução

| Nome da Função    |
| ---------------- |
| CreateProcessA/W |
| ShellExecute     |
| WinExec          |
| ResumeThread     |
| NtResumeThread   |

## Diversos

* GetAsyncKeyState() -- Registro de teclas
* SetWindowsHookEx -- Registro de teclas
* GetForeGroundWindow -- Obter nome da janela em execução (ou o site de um navegador)
* LoadLibrary() -- Importar biblioteca
* GetProcAddress() -- Importar biblioteca
* CreateToolhelp32Snapshot() -- Listar processos em execução
* GetDC() -- Captura de tela
* BitBlt() -- Captura de tela
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acessar a Internet
* FindResource(), LoadResource(), LockResource() -- Acessar recursos do executável

# Técnicas de Malware

## Injeção de DLL

Execute uma DLL arbitrária dentro de outro processo

1. Localize o processo para injetar a DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
2. Abra o processo: GetModuleHandle, GetProcAddress, OpenProcess
3. Escreva o caminho para a DLL dentro do processo: VirtualAllocEx, WriteProcessMemory
4. Crie uma thread no processo que carregará a DLL maliciosa: CreateRemoteThread, LoadLibrary

Outras funções a serem usadas: NTCreateThreadEx, RtlCreateUserThread

## Injeção de DLL Reflexiva

Carregue uma DLL maliciosa sem chamar chamadas normais de API do Windows.\
A DLL é mapeada dentro de um processo, ela resolverá os endereços de importação, corrigirá as realocações e chamará a função DllMain.

## Sequestro de Thread

Encontre uma thread de um processo e faça com que ela carregue uma DLL maliciosa

1. Encontre uma thread alvo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Abra a thread: OpenThread
3. Suspenda a thread: SuspendThread
4. Escreva o caminho para a DLL maliciosa dentro do processo vítima: VirtualAllocEx, WriteProcessMemory
5. Retome a thread carregando a biblioteca: ResumeThread

## Injeção PE

Injeção de Execução Portátil: O executável será escrito na memória do processo vítima e será executado a partir daí.

## Oco de Processo

O malware desmapeará o código legítimo da memória do processo e carregará um binário malicioso

1. Crie um novo processo: CreateProcess
2. Desmapeie a memória: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. Escreva o binário malicioso na memória do processo: VirtualAllocEc, WriteProcessMemory
4. Defina o ponto de entrada e execute: SetThreadContext, ResumeThread

# Hooking

* A **SSDT** (**Tabela de Descritores de Serviço do Sistema**) aponta para funções do kernel (ntoskrnl.exe) ou driver GUI (win32k.sys) para que processos de usuário possam chamar essas funções.
* Um rootkit pode modificar esses ponteiros para endereços que ele controla
* **IRP** (**Pacotes de Solicitação de E/S**) transmitem pedaços de dados de um componente para outro. Quase tudo no kernel usa IRPs e cada objeto de dispositivo tem sua própria tabela de funções que podem ser hookadas: DKOM (Manipulação Direta de Objetos do Kernel)
* O **IAT** (**Tabela de Endereços de Importação**) é útil para resolver dependências. É possível hookar essa tabela para sequestrar o código que será chamado.
* **EAT** (**Tabela de Endereços de Exportação**) Hooks. Esses hooks podem ser feitos do **espaço do usuário**. O objetivo é hookar funções exportadas por DLLs.
* **Hooks Inline**: Esse tipo é difícil de alcançar. Isso envolve modificar o código das funções em si. Talvez colocando um salto no início disso.


<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

Encontre vulnerabilidades que mais importam para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha tecnológica, de APIs a aplicativos da web e sistemas em nuvem. [**Experimente de graça**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>