2024-03-09 13:17:44 +00:00
# Powszechne API używane w złośliwym oprogramowaniu
2022-04-28 16:01:33 +00:00
< details >
2024-03-24 12:30:56 +00:00
< summary > < strong > Nauka hakowania AWS od zera do bohatera z< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2022-04-28 16:01:33 +00:00
2024-02-11 01:46:25 +00:00
Inne sposoby wsparcia HackTricks:
2022-04-28 16:01:33 +00:00
2024-03-09 13:17:44 +00:00
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** , sprawdź [**PLANY SUBSKRYPCYJNE** ](https://github.com/sponsors/carlospolop )!
2024-02-11 01:46:25 +00:00
* Zdobądź [**oficjalne gadżety PEASS & HackTricks** ](https://peass.creator-spring.com )
* Odkryj [**Rodzinę PEASS** ](https://opensea.io/collection/the-peass-family ), naszą kolekcję ekskluzywnych [**NFT** ](https://opensea.io/collection/the-peass-family )
2024-03-09 13:17:44 +00:00
* **Dołącz do** 💬 [**grupy Discord** ](https://discord.gg/hRep4RUj7f ) lub [**grupy telegramowej** ](https://t.me/peass ) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )**.**
2024-03-14 23:38:03 +00:00
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) i [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) na GitHubie.
2022-04-28 16:01:33 +00:00
< / details >
2024-03-24 12:30:56 +00:00
**Try Hard Security Group**
2024-03-14 23:38:03 +00:00
2024-03-24 12:30:56 +00:00
< figure > < img src = "/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt = "" > < figcaption > < / figcaption > < / figure >
2024-03-14 23:38:03 +00:00
{% embed url="https://discord.gg/tryhardsecurity" %}
***
2024-03-09 13:17:44 +00:00
## Ogólne
2023-09-02 23:48:41 +00:00
2024-03-09 13:17:44 +00:00
### Sieci
2022-04-28 16:01:33 +00:00
2024-03-24 12:30:56 +00:00
| Surowe gniazdka | WinAPI Sockets |
| --------------- | -------------- |
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
2024-02-11 01:46:25 +00:00
2024-03-09 13:17:44 +00:00
### Trwałość
2024-02-11 01:46:25 +00:00
2024-03-24 12:30:56 +00:00
| Rejestr | Plik | Usługa |
| ------------------ | ------------- | --------------------------- |
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() | |
2024-02-11 01:46:25 +00:00
2024-03-09 13:17:44 +00:00
### Szyfrowanie
2024-02-11 01:46:25 +00:00
2024-03-14 23:38:03 +00:00
| Nazwa |
2024-02-11 01:46:25 +00:00
| ---------------------- |
2024-03-14 23:38:03 +00:00
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
2024-02-11 01:46:25 +00:00
2024-03-09 13:17:44 +00:00
### Anty-Analiza/VM
2024-02-11 01:46:25 +00:00
2024-03-24 12:30:56 +00:00
| Nazwa Funkcji | Instrukcje Assembly |
| -------------------------------------------------------- | ------------------- |
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
2024-03-09 13:17:44 +00:00
| CreateToolhelp32Snapshot \[Sprawdź, czy proces jest uruchomiony] | |
2024-03-24 12:30:56 +00:00
| CreateFileW/A \[Sprawdź, czy plik istnieje] | |
2024-02-11 01:46:25 +00:00
2024-03-09 13:17:44 +00:00
### Ukrywanie
2024-02-11 01:46:25 +00:00
| Nazwa | |
2024-03-24 12:30:56 +00:00
| ------------------------ | -------------------------------------------------------------------------- |
2024-03-09 13:17:44 +00:00
| VirtualAlloc | Alokuje pamięć (pakowacze) |
| VirtualProtect | Zmienia uprawnienia pamięci (pakowacz nadaje uprawnienia do wykonania sekcji) |
| ReadProcessMemory | Wstrzyknięcie do zewnętrznych procesów |
| WriteProcessMemoryA/W | Wstrzyknięcie do zewnętrznych procesów |
2021-10-18 11:21:18 +00:00
| NtWriteVirtualMemory | |
2024-03-09 13:17:44 +00:00
| CreateRemoteThread | Wstrzyknięcie DLL/procesu... |
2021-10-18 11:21:18 +00:00
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W | |
2020-12-03 18:00:02 +00:00
2024-03-24 12:30:56 +00:00
### Wykonanie
2020-12-03 18:00:02 +00:00
2024-03-24 12:30:56 +00:00
| Nazwa Funkcji |
| ----------------- |
| CreateProcessA/W |
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
2020-12-03 18:00:02 +00:00
2024-03-09 13:17:44 +00:00
### Różne
2021-09-07 00:15:14 +00:00
2024-02-11 01:46:25 +00:00
* GetAsyncKeyState() -- Rejestracja klawiszy
* SetWindowsHookEx -- Rejestracja klawiszy
2024-03-24 12:30:56 +00:00
* GetForeGroundWindow -- Pobierz nazwę uruchomionego okna (lub witrynę z przeglądarki)
2024-02-11 01:46:25 +00:00
* LoadLibrary() -- Importuj bibliotekę
* GetProcAddress() -- Importuj bibliotekę
2024-03-09 13:17:44 +00:00
* CreateToolhelp32Snapshot() -- Lista uruchomionych procesów
2024-02-11 01:46:25 +00:00
* GetDC() -- Zrzut ekranu
* BitBlt() -- Zrzut ekranu
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Dostęp do Internetu
* FindResource(), LoadResource(), LockResource() -- Dostęp do zasobów wykonywalnych
2021-09-07 00:15:14 +00:00
2024-03-09 13:17:44 +00:00
## Techniki Malware
2021-09-07 00:15:14 +00:00
2024-03-09 13:17:44 +00:00
### Wstrzykiwanie DLL
2021-09-07 00:15:14 +00:00
2024-03-24 12:30:56 +00:00
Wykonaj dowolne DLL w innym procesie
2021-09-07 00:15:14 +00:00
2024-03-09 13:17:44 +00:00
1. Zlokalizuj proces do wstrzyknięcia złośliwej DLL: CreateToolhelp32Snapshot, Process32First, Process32Next
2024-02-11 01:46:25 +00:00
2. Otwórz proces: GetModuleHandle, GetProcAddress, OpenProcess
3. Zapisz ścieżkę do DLL wewnątrz procesu: VirtualAllocEx, WriteProcessMemory
2024-03-09 13:17:44 +00:00
4. Utwórz wątek w procesie, który załaduje złośliwą DLL: CreateRemoteThread, LoadLibrary
2021-09-07 00:15:14 +00:00
2024-02-11 01:46:25 +00:00
Inne funkcje do użycia: NTCreateThreadEx, RtlCreateUserThread
2021-09-07 00:15:14 +00:00
2024-03-24 12:30:56 +00:00
### Wstrzykiwanie DLL odbijające
2021-09-07 00:15:14 +00:00
2024-02-11 01:46:25 +00:00
Załaduj złośliwą DLL bez wywoływania normalnych wywołań API systemu Windows.\
2024-03-24 12:30:56 +00:00
DLL jest mapowany wewnątrz procesu, rozwiąże adresy importu, naprawi relokacje i wywoła funkcję DllMain.
2021-09-07 00:15:14 +00:00
2024-03-24 12:30:56 +00:00
### Przechwytywanie wątku
2021-09-07 00:15:14 +00:00
2024-02-11 01:46:25 +00:00
Znajdź wątek w procesie i spraw, aby załadował złośliwą DLL
2021-09-07 00:15:14 +00:00
2024-02-11 01:46:25 +00:00
1. Znajdź docelowy wątek: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Otwórz wątek: OpenThread
3. Wstrzymaj wątek: SuspendThread
4. Zapisz ścieżkę do złośliwej DLL wewnątrz procesu ofiary: VirtualAllocEx, WriteProcessMemory
2024-03-09 13:17:44 +00:00
5. Wznów wątek ładowania biblioteki: ResumeThread
2021-09-07 00:15:14 +00:00
2024-03-09 13:17:44 +00:00
### Wstrzykiwanie PE
2021-09-07 00:15:14 +00:00
2024-03-24 12:30:56 +00:00
Wstrzyknięcie Wykonywalne: Wykonywalny plik zostanie zapisany w pamięci procesu ofiary i zostanie wykonany stamtąd.
2021-09-07 00:15:14 +00:00
2024-03-24 12:30:56 +00:00
### Wstrzykiwanie procesu
2021-09-07 00:15:14 +00:00
2024-03-09 13:17:44 +00:00
Złośliwe oprogramowanie odmapuje legalny kod z pamięci procesu i załaduje złośliwy plik binarny
2022-04-28 16:01:33 +00:00
2024-02-11 01:46:25 +00:00
1. Utwórz nowy proces: CreateProcess
2. Odmapuj pamięć: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. Zapisz złośliwy plik binarny w pamięci procesu: VirtualAllocEc, WriteProcessMemory
2024-03-09 13:17:44 +00:00
4. Ustaw punkt wejścia i wykonaj: SetThreadContext, ResumeThread
## Hooking
* **SSDT** (**System Service Descriptor Table**) wskazuje na funkcje jądra (ntoskrnl.exe) lub sterownik GUI (win32k.sys), dzięki czemu procesy użytkownika mogą wywoływać te funkcje.
* Rootkit może zmodyfikować te wskaźniki na adresy, które kontroluje
2024-03-24 12:30:56 +00:00
* **IRP** (**I/O Request Packets**) przesyłają fragmenty danych z jednego komponentu do drugiego. Prawie wszystko w jądrze używa IRP, a każdy obiekt urządzenia ma własną tabelę funkcji, którą można przechwycić: DKOM (Direct Kernel Object Manipulation)
2024-03-09 13:17:44 +00:00
* **IAT** (**Import Address Table**) jest przydatna do rozwiązywania zależności. Można przechwycić tę tabelę, aby przejąć kod, który zostanie wywołany.
* **EAT** (**Export Address Table**) Hooks. Te haki można wykonać z **userland** . Celem jest przechwycenie funkcji eksportowanych przez biblioteki DLL.
2024-03-14 23:38:03 +00:00
* **Inline Hooks**: Ten typ jest trudny do osiągnięcia. Polega to na modyfikowaniu kodu funkcji. Być może poprzez umieszczenie skoku na początku tego.
2024-03-24 12:30:56 +00:00
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) **i** [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) **na GitHubie.**