mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-22 20:53:37 +00:00
156 lines
11 KiB
Markdown
156 lines
11 KiB
Markdown
|
# मैलवेयर में उपयोग किए जाने वाले सामान्य API
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> के साथ!</strong></summary>
|
||
|
|
||
|
HackTricks का समर्थन करने के अन्य तरीके:
|
||
|
|
||
|
* यदि आप अपनी कंपनी का विज्ञापन **HackTricks** में देखना चाहते हैं या **HackTricks** को **PDF** में डाउनलोड करना चाहते हैं तो [**सब्सक्रिप्शन प्लान**](https://github.com/sponsors/carlospolop) देखें!
|
||
|
* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
|
||
|
* हमारा संग्रह [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह
|
||
|
* **जुड़ें** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में या हमें **ट्विटर** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** पर **फॉलो** करें।
|
||
|
* **HackTricks** और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में **PRs** सबमिट करके अपने हैकिंग ट्रिक्स साझा करें।
|
||
|
|
||
|
</details>
|
||
|
|
||
|
**Try Hard सुरक्षा समूह**
|
||
|
|
||
|
<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
|
||
|
|
||
|
{% embed url="https://discord.gg/tryhardsecurity" %}
|
||
|
|
||
|
***
|
||
|
|
||
|
## सामान्य
|
||
|
|
||
|
### नेटवर्किंग
|
||
|
|
||
|
| रॉ सॉकेट्स | WinAPI सॉकेट्स |
|
||
|
| ------------- | -------------- |
|
||
|
| socket() | WSAStratup() |
|
||
|
| bind() | bind() |
|
||
|
| listen() | listen() |
|
||
|
| accept() | accept() |
|
||
|
| connect() | connect() |
|
||
|
| read()/recv() | recv() |
|
||
|
| write() | send() |
|
||
|
| shutdown() | WSACleanup() |
|
||
|
|
||
|
### स्थिरता
|
||
|
|
||
|
| रजिस्ट्री | फ़ाइल | सेवा |
|
||
|
| ---------------- | ------------- | ---------------------------- |
|
||
|
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
|
||
|
| RegOpenKeyEx() | CopyFile() | CreateService() |
|
||
|
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
|
||
|
| RegDeleteKeyEx() | WriteFile() | |
|
||
|
| RegGetValue() | ReadFile() | |
|
||
|
|
||
|
### एन्क्रिप्शन
|
||
|
|
||
|
| नाम |
|
||
|
| --------------------- |
|
||
|
| WinCrypt |
|
||
|
| CryptAcquireContext() |
|
||
|
| CryptGenKey() |
|
||
|
| CryptDeriveKey() |
|
||
|
| CryptDecrypt() |
|
||
|
| CryptReleaseContext() |
|
||
|
|
||
|
### एंटी-विश्लेषण/वीएम
|
||
|
|
||
|
| फ़ंक्शन नाम | असेम्बली निर्देश |
|
||
|
| --------------------------------------------------------- | --------------------- |
|
||
|
| IsDebuggerPresent() | CPUID() |
|
||
|
| GetSystemInfo() | IN() |
|
||
|
| GlobalMemoryStatusEx() | |
|
||
|
| GetVersion() | |
|
||
|
| CreateToolhelp32Snapshot \[प्रक्रिया चल रही है या नहीं देखें] | |
|
||
|
| CreateFileW/A \[फ़ाइल मौजूद है या नहीं देखें] | |
|
||
|
|
||
|
### छिपाव
|
||
|
|
||
|
| नाम | |
|
||
|
| ------------------------ | -------------------------------------------------------------------------- |
|
||
|
| VirtualAlloc | मेमोरी आवंटित करें (पैकर्स) |
|
||
|
| VirtualProtect | मेमोरी अनुमति बदलें (पैकर एक खंड को क्रियान्वयन अनुमति देना) |
|
||
|
| ReadProcessMemory | बाहरी प्रक्रियाओं में इंजेक्शन |
|
||
|
| WriteProcessMemoryA/W | बाहरी प्रक्रियाओं में इंजेक्शन |
|
||
|
| NtWriteVirtualMemory | |
|
||
|
| CreateRemoteThread | DLL/प्रक्रिया इंजेक्शन... |
|
||
|
| NtUnmapViewOfSection | |
|
||
|
| QueueUserAPC | |
|
||
|
| CreateProcessInternalA/W | |
|
||
|
|
||
|
### क्रियान्वयन
|
||
|
|
||
|
| फ़ंक्शन नाम |
|
||
|
| ---------------- |
|
||
|
| CreateProcessA/W |
|
||
|
| ShellExecute |
|
||
|
| WinExec |
|
||
|
| ResumeThread |
|
||
|
| NtResumeThread |
|
||
|
|
||
|
### विविध
|
||
|
|
||
|
* GetAsyncKeyState() -- कुंजी लॉगिंग
|
||
|
* SetWindowsHookEx -- कुंजी लॉगिंग
|
||
|
* GetForeGroundWindow -- चल रही विंडो का नाम प्राप्त करें (या ब्राउज़र से वेबसाइट)
|
||
|
* LoadLibrary() -- लाइब्रेरी आयात
|
||
|
* GetProcAddress() -- लाइब्रेरी आयात
|
||
|
* CreateToolhelp32Snapshot() -- चल रही प्रक्रियाएँ सूचीबद्ध करें
|
||
|
* GetDC() -- स्क्रीनशॉट
|
||
|
* BitBlt() -- स्क्रीनशॉट
|
||
|
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- इंटरनेट तक पहुंचें
|
||
|
* FindResource(), LoadResource(), LockResource() -- कार्यक्रम के संसाधनों तक पहुंचें
|
||
|
|
||
|
## मैलवेयर तकनीकें
|
||
|
|
||
|
### DLL इंजेक्शन
|
||
|
|
||
|
किसी अन्य प्रक्रिया में एक विचित्र DLL को निषेधित करें
|
||
|
|
||
|
1. दुरुपयोगी DLL डालने के लिए प्रक्रिया का पता लगाएं: CreateToolhelp32Snapshot, Process32First, Process32Next
|
||
|
2. प्रक्रिया खोलें: GetModuleHandle, GetProcAddress, OpenProcess
|
||
|
3. DLL के पथ को प्रक्रिया के अंदर लिखें: VirtualAllocEx, WriteProcessMemory
|
||
|
4. प्रक्रिया में एक धारात्मक DLL लोड करने वाली धारा बनाएं: CreateRemoteThread, LoadLibrary
|
||
|
|
||
|
उपयोग करने के अन्य फ़ंक्शन: NTCreateThreadEx, RtlCreateUserThread
|
||
|
|
||
|
### प्रतिबिम्बित DLL इंजेक्शन
|
||
|
|
||
|
सामान्य Windows API कॉल किए बिना एक दुरुपयोगी DLL लोड करें।\
|
||
|
DLL प्रक्रिया के अंदर मैप किया जाता है, यह आयात पते हल करेगा, स्थानांतरणों को ठीक करेगा और DllMain फ़ंक्शन को कॉल करेगा।
|
||
|
|
||
|
### थ्रेड हाइजैकिंग
|
||
|
|
||
|
प्रक्रिया से एक धारात्मक DLL लोड करने के लिए एक धारात्मक थ्रेड खोजें
|
||
|
|
||
|
1. लक्ष्य थ्रेड खोजें: CreateToolhelp32Snapshot, Thread32First, Thread32Next
|
||
|
2. थ्रेड खोलें: OpenThread
|
||
|
3. थ्रेड को रोकें: SuspendThread
|
||
|
4. पीड़ित प्रक्रिया में दुरुपयोगी DLL के पथ को लिखें: VirtualAllocEx, WriteProcessMemory
|
||
|
5. लाइब्रेरी लोड करने वाले थ्रेड को फिर से आरंभ करें: ResumeThread
|
||
|
|
||
|
### पीई इंजेक्शन
|
||
|
|
||
|
पोर्टेबल एक्जीक्यूशन इंजेक्शन: एक्जीक्यूशन विक्टिम प्रक्रिया की मेमोरी में लिखा जाएगा और वहां से चलाया जाएगा।
|
||
|
|
||
|
### प्रक्रिया होलोइंग
|
||
|
|
||
|
मैलवेयर वास्तविक कोड को प्रक्रिया की मेमोरी से अनमैप करेगा और एक दुरुपयोगी बाइनरी लोड करेगा
|
||
|
|
||
|
1. एक नई प्रक्रिया बनाएं: CreateProcess
|
||
|
2. मेमोरी को अनमैप करें: ZwUnmapViewOfSection, NtUnmapViewOfSection
|
||
|
3. प्रक्रिया मेमोरी में दुरुपयोगी बाइनरी लिखें: VirtualAllocEc, WriteProcessMemory
|
||
|
4. प्रवेश बिंदु सेट करें और क्रियान्वयन करें: SetThreadContext, ResumeThread
|
||
|
|
||
|
## हुकिंग
|
||
|
|
||
|
* **SSDT** (**सिस्टम सेवा विवरण तालिका**) कर्नेल फ़ंक्शनों (ntoskrnl.exe) या GUI ड्राइवर (win32k.sys) को इंगित करता है ताकि उपयोगकर्ता प्रक्रियाएँ इन फ़ंक्शनों को कॉल कर सकें।
|
||
|
* एक रूटकिट इन पॉइंटर को उसके नियंत्रण में पते पर संशोधित कर सकता है
|
||
|
* **IRP** (**आई/ओ अनुरोध पैकेट्स**) एक घटक से दूसरे घटक तक डेटा ट्रांसमिट करते हैं। कर्नेल में लगभग सभी चीजें IRPs का उपयोग करती हैं और प्रत्येक डिवाइस ऑब्ज
|
||
|
* **अपनी हैकिंग ट्रिक्स साझा करें PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) **और** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **github repos पर।**
|