hacktricks/reversing/common-api-used-in-malware.md

# API comunes utilizadas en Malware

<details>

<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de GitHub.

</details>

**Try Hard Security Group**

<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>

{% embed url="https://discord.gg/tryhardsecurity" %}

***

## Genérico

### Redes

| Raw Sockets   | WinAPI Sockets |
| ------------- | -------------- |
| socket()      | WSAStratup()   |
| bind()        | bind()         |
| listen()      | listen()       |
| accept()      | accept()       |
| connect()     | connect()      |
| read()/recv() | recv()         |
| write()       | send()         |
| shutdown()    | WSACleanup()   |

### Persistencia

| Registro          | Archivo       | Servicio                     |
| ----------------- | ------------- | ---------------------------- |
| RegCreateKeyEx()  | GetTempPath() | OpenSCManager                |
| RegOpenKeyEx()    | CopyFile()    | CreateService()              |
| RegSetValueEx()   | CreateFile()  | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx()  | WriteFile()   |                              |
| RegGetValue()     | ReadFile()    |                              |

### Encriptación

| Nombre                 |
| ---------------------- |
| WinCrypt               |
| CryptAcquireContext()  |
| CryptGenKey()          |
| CryptDeriveKey()       |
| CryptDecrypt()         |
| CryptReleaseContext()  |

### Anti-Análisis/VM

| Nombre de la Función                                      | Instrucciones de Ensamblaje |
| --------------------------------------------------------- | --------------------------- |
| IsDebuggerPresent()                                       | CPUID()                    |
| GetSystemInfo()                                           | IN()                       |
| GlobalMemoryStatusEx()                                    |                            |
| GetVersion()                                              |                            |
| CreateToolhelp32Snapshot \[Verificar si un proceso está en ejecución] |                            |
| CreateFileW/A \[Verificar si un archivo existe]           |                            |

### Sigilo

| Nombre                   |                                                                            |
| ------------------------ | -------------------------------------------------------------------------- |
| VirtualAlloc             | Asignar memoria (empaquetadores)                                           |
| VirtualProtect           | Cambiar permisos de memoria (empaquetador dando permiso de ejecución a una sección) |
| ReadProcessMemory        | Inyección en procesos externos                                             |
| WriteProcessMemoryA/W    | Inyección en procesos externos                                             |
| NtWriteVirtualMemory     |                                                                            |
| CreateRemoteThread       | Inyección de DLL/proceso...                                                |
| NtUnmapViewOfSection     |                                                                            |
| QueueUserAPC             |                                                                            |
| CreateProcessInternalA/W |                                                                            |

### Ejecución

| Nombre de la Función    |
| ----------------------- |
| CreateProcessA/W        |
| ShellExecute            |
| WinExec                 |
| ResumeThread            |
| NtResumeThread          |

### Varios

* GetAsyncKeyState() -- Registro de teclas
* SetWindowsHookEx -- Registro de teclas
* GetForeGroundWindow -- Obtener el nombre de la ventana en ejecución (o el sitio web desde un navegador)
* LoadLibrary() -- Importar biblioteca
* GetProcAddress() -- Importar biblioteca
* CreateToolhelp32Snapshot() -- Listar procesos en ejecución
* GetDC() -- Captura de pantalla
* BitBlt() -- Captura de pantalla
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acceder a Internet
* FindResource(), LoadResource(), LockResource() -- Acceder a los recursos del ejecutable

## Técnicas de Malware

### Inyección de DLL

Ejecutar una DLL arbitraria dentro de otro proceso

1. Localizar el proceso para inyectar la DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next
2. Abrir el proceso: GetModuleHandle, GetProcAddress, OpenProcess
3. Escribir la ruta de la DLL dentro del proceso: VirtualAllocEx, WriteProcessMemory
4. Crear un hilo en el proceso que cargará la DLL maliciosa: CreateRemoteThread, LoadLibrary

Otras funciones a utilizar: NTCreateThreadEx, RtlCreateUserThread

### Inyección de DLL Reflectante

Cargar una DLL maliciosa sin llamar a las llamadas normales de la API de Windows.\
La DLL se mapea dentro de un proceso, resolverá las direcciones de importación, corregirá las reubicaciones y llamará a la función DllMain.

### Secuestro de Hilo

Encontrar un hilo de un proceso y hacer que cargue una DLL maliciosa

1. Encontrar un hilo objetivo: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Abrir el hilo: OpenThread
3. Suspender el hilo: SuspendThread
4. Escribir la ruta de la DLL maliciosa dentro del proceso víctima: VirtualAllocEx, WriteProcessMemory
5. Reanudar el hilo cargando la biblioteca: ResumeThread

### Inyección de PE

Inyección de Ejecución Portátil: El ejecutable se escribirá en la memoria del proceso víctima y se ejecutará desde allí.

### Vaciamiento de Proceso

El malware desmapeará el código legítimo de la memoria del proceso y cargará un binario malicioso

1. Crear un nuevo proceso: CreateProcess
2. Desmapear la memoria: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. Escribir el binario malicioso en la memoria del proceso: VirtualAllocEc, WriteProcessMemory
4. Establecer el punto de entrada y ejecutar: SetThreadContext, ResumeThread

## Enganche

* La **SSDT** (**Tabla de Descriptores de Servicios del Sistema**) apunta a funciones del kernel (ntoskrnl.exe) o controlador GUI (win32k.sys) para que los procesos de usuario puedan llamar a estas funciones.
* Un rootkit puede modificar estos punteros a direcciones que él controla
* **IRP** (**Paquetes de Solicitud de E/S**) transmiten fragmentos de datos de un componente a otro. Casi todo en el kernel utiliza IRPs y cada objeto de dispositivo tiene su propia tabla de funciones que se pueden enganchar: DKOM (Manipulación Directa de Objetos del Kernel)
* La **IAT** (**Tabla de Direcciones de Importación**) es útil para resolver dependencias. Es posible enganchar esta tabla para secuestrar el código que se llamará.
* Enganches de **EAT** (**Tabla de Direcciones de Exportación**). Estos enganches se pueden hacer desde el **espacio de usuario**. El objetivo es enganchar funciones exportadas por DLLs.
* **Enganches Inline**: Este tipo es difícil de lograr. Esto implica modificar el código de las funciones en sí. Tal vez colocando un salto al principio de esto.

**Try Hard Security Group**

<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>

{% embed url="https://discord.gg/tryhardsecurity" %}

<details>

<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) en GitHub. 

</details>
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:24:43 +00:00			`# API comunes utilizadas en Malware`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:16:15 +00:00			`<details>`

Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 13:17:05 +00:00			`<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:16:15 +00:00
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00			`Otras formas de apoyar a HackTricks:`
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:16:15 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:24:43 +00:00			`* Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:18 +00:00			`* Obtén el [swag oficial de PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`* Únete al 💬 [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o síguenos en Twitter 🐦 [@carlospolopm](https://twitter.com/hacktricks\_live).`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 13:17:05 +00:00			`* Comparte tus trucos de hacking enviando PRs a los [HackTricks](https://github.com/carlospolop/hacktricks) y [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositorios de GitHub.`
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:16:15 +00:00
			`</details>`

Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 13:17:05 +00:00			`Try Hard Security Group`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:18 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 13:17:05 +00:00			`<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:18 +00:00
			`{% embed url="https://discord.gg/tryhardsecurity" %}`

			`***`

Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`## Genérico`
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:16:15 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Redes`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`\| Raw Sockets \| WinAPI Sockets \|`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`\| ------------- \| -------------- \|`
			`\| socket() \| WSAStratup() \|`
			`\| bind() \| bind() \|`
			`\| listen() \| listen() \|`
			`\| accept() \| accept() \|`
			`\| connect() \| connect() \|`
			`\| read()/recv() \| recv() \|`
			`\| write() \| send() \|`
			`\| shutdown() \| WSACleanup() \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Persistencia`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 13:17:05 +00:00			`\| Registro \| Archivo \| Servicio \|`
			`\| ----------------- \| ------------- \| ---------------------------- \|`
			`\| RegCreateKeyEx() \| GetTempPath() \| OpenSCManager \|`
			`\| RegOpenKeyEx() \| CopyFile() \| CreateService() \|`
			`\| RegSetValueEx() \| CreateFile() \| StartServiceCtrlDispatcher() \|`
			`\| RegDeleteKeyEx() \| WriteFile() \| \|`
			`\| RegGetValue() \| ReadFile() \| \|`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Encriptación`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 13:17:05 +00:00			`\| Nombre \|`
			`\| ---------------------- \|`
			`\| WinCrypt \|`
			`\| CryptAcquireContext() \|`
			`\| CryptGenKey() \|`
			`\| CryptDeriveKey() \|`
			`\| CryptDecrypt() \|`
			`\| CryptReleaseContext() \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Anti-Análisis/VM`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`\| Nombre de la Función \| Instrucciones de Ensamblaje \|`
			`\| --------------------------------------------------------- \| --------------------------- \|`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`\| IsDebuggerPresent() \| CPUID() \|`
			`\| GetSystemInfo() \| IN() \|`
			`\| GlobalMemoryStatusEx() \| \|`
			`\| GetVersion() \| \|`
			`\| CreateToolhelp32Snapshot \[Verificar si un proceso está en ejecución] \| \|`
			`\| CreateFileW/A \[Verificar si un archivo existe] \| \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Sigilo`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`\| Nombre \| \|`
			`\| ------------------------ \| -------------------------------------------------------------------------- \|`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:24:43 +00:00			`\| VirtualAlloc \| Asignar memoria (empaquetadores) \|`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`\| VirtualProtect \| Cambiar permisos de memoria (empaquetador dando permiso de ejecución a una sección) \|`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 13:17:05 +00:00			`\| ReadProcessMemory \| Inyección en procesos externos \|`
			`\| WriteProcessMemoryA/W \| Inyección en procesos externos \|`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`\| NtWriteVirtualMemory \| \|`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 13:17:05 +00:00			`\| CreateRemoteThread \| Inyección de DLL/proceso... \|`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`\| NtUnmapViewOfSection \| \|`
			`\| QueueUserAPC \| \|`
			`\| CreateProcessInternalA/W \| \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Ejecución`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`\| Nombre de la Función \|`
			`\| ----------------------- \|`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 13:17:05 +00:00			`\| CreateProcessA/W \|`
			`\| ShellExecute \|`
			`\| WinExec \|`
			`\| ResumeThread \|`
			`\| NtResumeThread \|`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Varios`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`* GetAsyncKeyState() -- Registro de teclas`
			`* SetWindowsHookEx -- Registro de teclas`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:24:43 +00:00			`* GetForeGroundWindow -- Obtener el nombre de la ventana en ejecución (o el sitio web desde un navegador)`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`* LoadLibrary() -- Importar biblioteca`
			`* GetProcAddress() -- Importar biblioteca`
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00			`* CreateToolhelp32Snapshot() -- Listar procesos en ejecución`
Translated to Spanish 2023-06-03 01:46:23 +00:00			`* GetDC() -- Captura de pantalla`
			`* BitBlt() -- Captura de pantalla`
			`* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Acceder a Internet`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:24:43 +00:00			`* FindResource(), LoadResource(), LockResource() -- Acceder a los recursos del ejecutable`
GitBook: [master] 2 pages modified 2020-12-03 18:00:02 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`## Técnicas de Malware`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Inyección de DLL`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00			`Ejecutar una DLL arbitraria dentro de otro proceso`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00			`1. Localizar el proceso para inyectar la DLL maliciosa: CreateToolhelp32Snapshot, Process32First, Process32Next`
			`2. Abrir el proceso: GetModuleHandle, GetProcAddress, OpenProcess`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`3. Escribir la ruta de la DLL dentro del proceso: VirtualAllocEx, WriteProcessMemory`
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00			`4. Crear un hilo en el proceso que cargará la DLL maliciosa: CreateRemoteThread, LoadLibrary`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`Otras funciones a utilizar: NTCreateThreadEx, RtlCreateUserThread`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Inyección de DLL Reflectante`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00			`Cargar una DLL maliciosa sin llamar a las llamadas normales de la API de Windows.\`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`La DLL se mapea dentro de un proceso, resolverá las direcciones de importación, corregirá las reubicaciones y llamará a la función DllMain.`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Secuestro de Hilo`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00			`Encontrar un hilo de un proceso y hacer que cargue una DLL maliciosa`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00			`1. Encontrar un hilo objetivo: CreateToolhelp32Snapshot, Thread32First, Thread32Next`
			`2. Abrir el hilo: OpenThread`
			`3. Suspender el hilo: SuspendThread`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`4. Escribir la ruta de la DLL maliciosa dentro del proceso víctima: VirtualAllocEx, WriteProcessMemory`
			`5. Reanudar el hilo cargando la biblioteca: ResumeThread`
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Inyección de PE`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Inyección de Ejecución Portátil: El ejecutable se escribirá en la memoria del proceso víctima y se ejecutará desde allí.`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`### Vaciamiento de Proceso`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`El malware desmapeará el código legítimo de la memoria del proceso y cargará un binario malicioso`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00			`1. Crear un nuevo proceso: CreateProcess`
			`2. Desmapear la memoria: ZwUnmapViewOfSection, NtUnmapViewOfSection`
			`3. Escribir el binario malicioso en la memoria del proceso: VirtualAllocEc, WriteProcessMemory`
			`4. Establecer el punto de entrada y ejecutar: SetThreadContext, ResumeThread`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:18 +00:00			`## Enganche`
GitBook: [master] one page modified 2021-09-07 00:15:14 +00:00
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`* La SSDT (Tabla de Descriptores de Servicios del Sistema) apunta a funciones del kernel (ntoskrnl.exe) o controlador GUI (win32k.sys) para que los procesos de usuario puedan llamar a estas funciones.`
Translated ['physical-attacks/escaping-from-gui-applications/README.md', 2024-01-09 14:11:06 +00:00			`* Un rootkit puede modificar estos punteros a direcciones que él controla`
Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R 2024-02-09 02:10:17 +00:00			`* IRP (Paquetes de Solicitud de E/S) transmiten fragmentos de datos de un componente a otro. Casi todo en el kernel utiliza IRPs y cada objeto de dispositivo tiene su propia tabla de funciones que se pueden enganchar: DKOM (Manipulación Directa de Objetos del Kernel)`
			`* La IAT (Tabla de Direcciones de Importación) es útil para resolver dependencias. Es posible enganchar esta tabla para secuestrar el código que se llamará.`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:24:43 +00:00			`* Enganches de EAT (Tabla de Direcciones de Exportación). Estos enganches se pueden hacer desde el espacio de usuario. El objetivo es enganchar funciones exportadas por DLLs.`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 13:17:05 +00:00			`* Enganches Inline: Este tipo es difícil de lograr. Esto implica modificar el código de las funciones en sí. Tal vez colocando un salto al principio de esto.`

			`Try Hard Security Group`

			`<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>`

			`{% embed url="https://discord.gg/tryhardsecurity" %}`

			`<details>`

			`<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`

			`Otras formas de apoyar a HackTricks:`

			`* Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Obtén el [swag oficial de PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Únete al 💬 [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o síguenos en Twitter 🐦 [@carlospolopm](https://twitter.com/hacktricks\_live).`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:24:43 +00:00			`* Comparte tus trucos de hacking enviando PRs a los repositorios de [HackTricks](https://github.com/carlospolop/hacktricks) y [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) en GitHub.`
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:16:15 +00:00
			`</details>`