hacktricks/reversing/common-api-used-in-malware.md

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)

- Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)

- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

***

# Genérico

## Rede

| Raw Sockets   | WinAPI Sockets |
| ------------- | -------------- |
| socket()      | WSAStratup()   |
| bind()        | bind()         |
| listen()      | listen()       |
| accept()      | accept()       |
| connect()     | connect()      |
| read()/recv() | recv()         |
| write()       | send()         |
| shutdown()    | WSACleanup()   |

## Persistência

| Registro           | Arquivo       | Serviço                      |
| ------------------ | ------------- | ---------------------------- |
| RegCreateKeyEx()   | GetTempPath() | OpenSCManager                |
| RegOpenKeyEx()     | CopyFile()    | CreateService()              |
| RegSetValueEx()    | CreateFile()  | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx()   | WriteFile()   |                              |
| RegGetValue()      | ReadFile()    |                              |

## Criptografia

| Nome                  |
| --------------------- |
| WinCrypt              |
| CryptAcquireContext() |
| CryptGenKey()         |
| CryptDeriveKey()      |
| CryptDecrypt()        |
| CryptReleaseContext() |

## Anti-Análise/VM

| Nome da Função                                           | Instruções de Assembly |
| -------------------------------------------------------- | --------------------- |
| IsDebuggerPresent()                                      | CPUID()               |
| GetSystemInfo()                                          | IN()                  |
| GlobalMemoryStatusEx()                                   |                       |
| GetVersion()                                             |                       |
| CreateToolhelp32Snapshot \[Verificar se um processo está em execução] |                       |
| CreateFileW/A \[Verificar se um arquivo existe]           |                       |

## Furtividade

| Nome                     |                                                                            |
| ------------------------ | -------------------------------------------------------------------------- |
| VirtualAlloc             | Alocar memória (empacotadores)                                              |
| VirtualProtect           | Alterar permissão de memória (empacotador dando permissão de execução a uma seção) |
| ReadProcessMemory        | Injeção em processos externos                                          |
| WriteProcessMemoryA/W    | Injeção em processos externos                                          |
| NtWriteVirtualMemory     |                                                                            |
| CreateRemoteThread       | Injeção de DLL/Processo...                                                   |
| NtUnmapViewOfSection     |                                                                            |
| QueueUserAPC             |                                                                            |
| CreateProcessInternalA/W |                                                                            |

## Execução

| Nome da Função    |
| ---------------- |
| CreateProcessA/W |
| ShellExecute     |
| WinExec          |
| ResumeThread     |
| NtResumeThread   |

## Diversos

* GetAsyncKeyState() -- Registro de teclas
* SetWindowsHookEx -- Registro de teclas
* GetForeGroundWindow -- Obter nome da janela em execução (ou o site de um navegador)
* LoadLibrary() -- Importar biblioteca
* GetProcAddress() -- Importar biblioteca
* CreateToolhelp32Snapshot() -- Listar processos em execução
* GetDC() -- Captura de tela
* BitBlt() -- Captura de tela
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acessar a Internet
* FindResource(), LoadResource(), LockResource() -- Acessar recursos do executável

# Técnicas de Malware

## Injeção de DLL

Execute uma DLL arbitrária dentro de outro processo

1. Localize o processo para injetar a DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
2. Abra o processo: GetModuleHandle, GetProcAddress, OpenProcess
3. Escreva o caminho para a DLL dentro do processo: VirtualAllocEx, WriteProcessMemory
4. Crie uma thread no processo que carregará a DLL maliciosa: CreateRemoteThread, LoadLibrary

Outras funções a serem usadas: NTCreateThreadEx, RtlCreateUserThread

## Injeção de DLL Reflexiva

Carregue uma DLL maliciosa sem chamar as chamadas normais da API do Windows.\
A DLL é mapeada dentro de um processo, ela resolverá os endereços de importação, corrigirá as realocações e chamará a função DllMain.
## Sequestro de Thread

Encontre uma thread de um processo e faça com que ela carregue uma DLL maliciosa

1. Encontre a thread alvo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Abra a thread: OpenThread
3. Suspenda a thread: SuspendThread
4. Escreva o caminho para a DLL maliciosa dentro do processo vítima: VirtualAllocEx, WriteProcessMemory
5. Retome a thread carregando a biblioteca: ResumeThread

## Injeção PE

Injeção de Execução Portátil: O executável será escrito na memória do processo vítima e será executado a partir de lá.

## Process Hollowing

O malware desmapeará o código legítimo da memória do processo e carregará um binário malicioso

1. Crie um novo processo: CreateProcess
2. Desmapeie a memória: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. Escreva o binário malicioso na memória do processo: VirtualAllocEx, WriteProcessMemory
4. Defina o ponto de entrada e execute: SetThreadContext, ResumeThread

# Hooking

* A **SSDT** (**System Service Descriptor Table**) aponta para funções do kernel (ntoskrnl.exe) ou driver GUI (win32k.sys) para que os processos do usuário possam chamar essas funções.
* Um rootkit pode modificar esses ponteiros para endereços que ele controla.
* **IRP** (**I/O Request Packets**) transmitem pedaços de dados de um componente para outro. Quase tudo no kernel usa IRPs e cada objeto de dispositivo tem sua própria tabela de funções que pode ser hookada: DKOM (Direct Kernel Object Manipulation)
* A **IAT** (**Import Address Table**) é útil para resolver dependências. É possível hookar essa tabela para sequestrar o código que será chamado.
* Hooks de **EAT** (**Export Address Table**). Esses hooks podem ser feitos a partir do **userland**. O objetivo é hookar funções exportadas por DLLs.
* **Inline Hooks**: Esse tipo é difícil de alcançar. Isso envolve modificar o código das próprias funções. Talvez colocando um salto no início disso.

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [**Experimente gratuitamente**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje mesmo.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? Ou você quer ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!

- Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)

- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)

- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`

			`- Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`

			`- Adquira o [swag oficial PEASS & HackTricks](https://peass.creator-spring.com)`

			`- Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`

			`- Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`

			`<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>`

			`Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [Experimente gratuitamente](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje.`

			`{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}`

			`***`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Genérico`
GitBook: [#3165] No subject 2022-05-01 16:32:23 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Rede`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`\| Raw Sockets \| WinAPI Sockets \|`
			`\| ------------- \| -------------- \|`
			`\| socket() \| WSAStratup() \|`
			`\| bind() \| bind() \|`
			`\| listen() \| listen() \|`
			`\| accept() \| accept() \|`
			`\| connect() \| connect() \|`
			`\| read()/recv() \| recv() \|`
			`\| write() \| send() \|`
			`\| shutdown() \| WSACleanup() \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Persistência`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`\| Registro \| Arquivo \| Serviço \|`
			`\| ------------------ \| ------------- \| ---------------------------- \|`
			`\| RegCreateKeyEx() \| GetTempPath() \| OpenSCManager \|`
			`\| RegOpenKeyEx() \| CopyFile() \| CreateService() \|`
			`\| RegSetValueEx() \| CreateFile() \| StartServiceCtrlDispatcher() \|`
			`\| RegDeleteKeyEx() \| WriteFile() \| \|`
			`\| RegGetValue() \| ReadFile() \| \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Criptografia`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`\| Nome \|`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`\| --------------------- \|`
			`\| WinCrypt \|`
			`\| CryptAcquireContext() \|`
			`\| CryptGenKey() \|`
			`\| CryptDeriveKey() \|`
			`\| CryptDecrypt() \|`
			`\| CryptReleaseContext() \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Anti-Análise/VM`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`\| Nome da Função \| Instruções de Assembly \|`
			`\| -------------------------------------------------------- \| --------------------- \|`
			`\| IsDebuggerPresent() \| CPUID() \|`
			`\| GetSystemInfo() \| IN() \|`
			`\| GlobalMemoryStatusEx() \| \|`
			`\| GetVersion() \| \|`
			`\| CreateToolhelp32Snapshot \[Verificar se um processo está em execução] \| \|`
			`\| CreateFileW/A \[Verificar se um arquivo existe] \| \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Furtividade`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`\| Nome \| \|`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`\| ------------------------ \| -------------------------------------------------------------------------- \|`
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`\| VirtualAlloc \| Alocar memória (empacotadores) \|`
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`\| VirtualProtect \| Alterar permissão de memória (empacotador dando permissão de execução a uma seção) \|`
			`\| ReadProcessMemory \| Injeção em processos externos \|`
			`\| WriteProcessMemoryA/W \| Injeção em processos externos \|`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`\| NtWriteVirtualMemory \| \|`
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`\| CreateRemoteThread \| Injeção de DLL/Processo... \|`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`\| NtUnmapViewOfSection \| \|`
			`\| QueueUserAPC \| \|`
			`\| CreateProcessInternalA/W \| \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Execução`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`\| Nome da Função \|`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`\| ---------------- \|`
GitBook: [master] 411 pages modified 2020-12-09 00:31:50 +00:00			`\| CreateProcessA/W \|`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`\| ShellExecute \|`
			`\| WinExec \|`
			`\| ResumeThread \|`
			`\| NtResumeThread \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Diversos`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* GetAsyncKeyState() -- Registro de teclas`
			`* SetWindowsHookEx -- Registro de teclas`
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`* GetForeGroundWindow -- Obter nome da janela em execução (ou o site de um navegador)`
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* LoadLibrary() -- Importar biblioteca`
			`* GetProcAddress() -- Importar biblioteca`
			`* CreateToolhelp32Snapshot() -- Listar processos em execução`
			`* GetDC() -- Captura de tela`
			`* BitBlt() -- Captura de tela`
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acessar a Internet`
			`* FindResource(), LoadResource(), LockResource() -- Acessar recursos do executável`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Técnicas de Malware`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Injeção de DLL`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`Execute uma DLL arbitrária dentro de outro processo`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`1. Localize o processo para injetar a DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next`
			`2. Abra o processo: GetModuleHandle, GetProcAddress, OpenProcess`
			`3. Escreva o caminho para a DLL dentro do processo: VirtualAllocEx, WriteProcessMemory`
			`4. Crie uma thread no processo que carregará a DLL maliciosa: CreateRemoteThread, LoadLibrary`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Outras funções a serem usadas: NTCreateThreadEx, RtlCreateUserThread`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Injeção de DLL Reflexiva`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`Carregue uma DLL maliciosa sem chamar as chamadas normais da API do Windows.\`
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`A DLL é mapeada dentro de um processo, ela resolverá os endereços de importação, corrigirá as realocações e chamará a função DllMain.`
			`## Sequestro de Thread`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`Encontre uma thread de um processo e faça com que ela carregue uma DLL maliciosa`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`1. Encontre a thread alvo: CreateToolhelp32Snapshot, Thread32First, Thread32Next`
			`2. Abra a thread: OpenThread`
			`3. Suspenda a thread: SuspendThread`
			`4. Escreva o caminho para a DLL maliciosa dentro do processo vítima: VirtualAllocEx, WriteProcessMemory`
			`5. Retome a thread carregando a biblioteca: ResumeThread`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`## Injeção PE`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`Injeção de Execução Portátil: O executável será escrito na memória do processo vítima e será executado a partir de lá.`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`## Process Hollowing`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`O malware desmapeará o código legítimo da memória do processo e carregará um binário malicioso`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`1. Crie um novo processo: CreateProcess`
			`2. Desmapeie a memória: ZwUnmapViewOfSection, NtUnmapViewOfSection`
			`3. Escreva o binário malicioso na memória do processo: VirtualAllocEx, WriteProcessMemory`
			`4. Defina o ponto de entrada e execute: SetThreadContext, ResumeThread`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
GitBook: [#3165] No subject 2022-05-01 16:32:23 +00:00			`# Hooking`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* A SSDT (System Service Descriptor Table) aponta para funções do kernel (ntoskrnl.exe) ou driver GUI (win32k.sys) para que os processos do usuário possam chamar essas funções.`
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:19:04 +00:00			`* Um rootkit pode modificar esses ponteiros para endereços que ele controla.`
			`* IRP (I/O Request Packets) transmitem pedaços de dados de um componente para outro. Quase tudo no kernel usa IRPs e cada objeto de dispositivo tem sua própria tabela de funções que pode ser hookada: DKOM (Direct Kernel Object Manipulation)`
			`* A IAT (Import Address Table) é útil para resolver dependências. É possível hookar essa tabela para sequestrar o código que será chamado.`
			`* Hooks de EAT (Export Address Table). Esses hooks podem ser feitos a partir do userland. O objetivo é hookar funções exportadas por DLLs.`
			`* Inline Hooks: Esse tipo é difícil de alcançar. Isso envolve modificar o código das próprias funções. Talvez colocando um salto no início disso.`

			`<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>`

			`Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. [Experimente gratuitamente](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) hoje mesmo.`

			`{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}`

			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`- Você trabalha em uma empresa de cibersegurança? Você quer ver sua empresa anunciada no HackTricks? Ou você quer ter acesso à versão mais recente do PEASS ou baixar o HackTricks em PDF? Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`

			`- Descubra [The PEASS Family](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`

			`- Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`

			`- Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`

			`- Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`