hacktricks/reversing/common-api-used-in-malware.md

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- क्या आप किसी **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित करना** चाहते हैं? या क्या आपको **PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की आवश्यकता है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!

- खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष संग्रह [**NFTs**](https://opensea.io/collection/the-peass-family)

- प्राप्त करें [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com)

- **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में या मुझे **Twitter** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **अपने हैकिंग ट्रिक्स को [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके साझा करें।**

</details>

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

वे संदेश खोजें जो सबसे महत्वपूर्ण होते हैं ताकि आप उन्हें तेजी से ठीक कर सकें। Intruder आपकी हमला सतह का पता लगाता है, प्रोएक्टिव धमकी स्कैन चलाता है, एपीआई से वेब ऐप्स और क्लाउड सिस्टम तक के बीच मुद्दों को खोजता है। [**इसे नि: शुल्क परीक्षण के लिए आज़माएं**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)।

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

***

# सामान्य

## नेटवर्किंग

| रॉ सॉकेट   | WinAPI सॉकेट |
| ------------- | -------------- |
| सॉकेट()      | WSAStratup()   |
| बाइंड()        | बाइंड()         |
| सुनें()      | सुनें()       |
| स्वीकार()      | स्वीकार()       |
| कनेक्ट()     | कनेक्ट()      |
| पढ़ें()/प्राप्त() | प्राप्त()         |
| लिखें()       | भेजें()         |
| शटडाउन()    | WSACleanup()   |

## स्थिरता

| रजिस्ट्री         | फ़ाइल          | सेवा                      |
| ---------------- | ------------- | ---------------------------- |
| RegCreateKeyEx() | GetTempPath() | OpenSCManager                |
| RegOpenKeyEx()   | CopyFile()    | CreateService()              |
| RegSetValueEx()  | CreateFile()  | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile()   |                              |
| RegGetValue()    | ReadFile()    |                              |

## एन्क्रिप्शन

| नाम                  |
| --------------------- |
| WinCrypt              |
| CryptAcquireContext() |
| CryptGenKey()         |
| CryptDeriveKey()      |
| CryptDecrypt()        |
| CryptReleaseContext() |

## एंटी-विश्लेषण/वीएम

| फ़ंक्शन नाम                                             | असेंबली निर्देश |
| --------------------------------------------------------- | --------------------- |
| IsDebuggerPresent()                                       | CPUID()               |
| GetSystemInfo()                                           | IN()                  |
| GlobalMemoryStatusEx()                                    |                       |
| GetVersion()                                              |                       |
| CreateToolhelp32Snapshot \[प्रक्रिया चल रही है या नहीं देखें] |                       |
| CreateFileW/A \[फ़ाइल मौजूद है या नहीं देखें]                    |                       |

## छिपाना

| नाम                     |                                                                            |
| ------------------------ | -------------------------------------------------------------------------- |
| VirtualAlloc             | मेमोरी आवंटित करें (पैकर्स)                                                     |
| VirtualProtect           | मेमोरी अनुमति बदलें (पैकर एक खंड को निष्पादन अनुमति देना) |
| ReadProcessMemory        | बाहरी प्रक्रियाओं में इंजेक्शन                                          |
| WriteProcessMemoryA/W    | बाहरी प्रक्रियाओं में इंजेक्शन                                          |
| NtWriteVirtualMemory     |                                                                            |
| CreateRemoteThread       | DLL/प्रक्रिया इंजेक्शन...                                                   |
| NtUnmapViewOfSection     |                                                                            |
| QueueUserAPC             |                                                                            |
| CreateProcessInternalA/W |                                                                            |

## निष्पादन

| फ़ंक्शन नाम    |
| ---------------- |
| CreateProcessA/W |
| ShellExecute     |
| WinExec          |
| ResumeThread     |
| NtResumeThread   |

## विविध

* GetAsyncKeyState() -- कुंजी लॉगिंग
* SetWindowsHookEx -- कुंजी लॉगिंग
* GetForeGroundWindow -- चल रही विंडो का नाम प्राप्त करें (या ब्राउज़र से वेबसाइट)
* LoadLibrary() -- लाइब्रेरी आयात करें
* GetProcAddress() -- लाइब्रेरी आयात करें
* CreateToolhelp32Snapshot() -- चल रही प्रक्रियाओं की सूची
* GetDC() -- स्क्रीनशॉट
* BitBlt() -- स्क्रीनशॉट
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- इंटरनेट तक पहुंच
* FindResource(), LoadResource(), LockResource() -- कार्यक्रम के संसाधनों तक पहुंचें

# मैलवेयर तकनीकें

## DLL इंजेक्शन

एक अन्य प्रक्रिया में एक अनियमित DLL निष्पादित करें

1. अनियमित DLL निष्पादित करने के लिए प्रक्रिया का पता लगाएं: CreateToolhelp32Snapshot, Process32First, Process32Next
2. प्रक्रिया खोलें: GetModuleHandle, GetProcAddress,
## थ्रेड हाइजैकिंग

प्रक्रिया से एक थ्रेड खोजें और उसे एक खतरनाक DLL लोड कराएं

1. लक्षित थ्रेड खोजें: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. थ्रेड खोलें: OpenThread
3. थ्रेड को रोकें: SuspendThread
4. ख़तरनाक DLL के पथ को पीड़ित प्रक्रिया में लिखें: VirtualAllocEx, WriteProcessMemory
5. थ्रेड को फिर से चालू करें और पुस्तकालय लोड करें: ResumeThread

## PE इंजेक्शन

पोर्टेबल एक्जीक्यूशन इंजेक्शन: एक्जीक्यूशनेबल को पीड़ित प्रक्रिया की मेमोरी में लिखा जाएगा और वहां से चलाया जाएगा।

## प्रक्रिया होलोइंग

मैलवेयर प्रक्रिया की मेमोरी से विधिमान कोड को अनमैप करेगा और एक खतरनाक बाइनरी लोड करेगा

1. एक नई प्रक्रिया बनाएं: CreateProcess
2. मेमोरी को अनमैप करें: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. प्रक्रिया मेमोरी में खतरनाक बाइनरी लिखें: VirtualAllocEc, WriteProcessMemory
4. एंट्रीपॉइंट सेट करें और चलाएं: SetThreadContext, ResumeThread

# हुकिंग

* **SSDT** (**सिस्टम सेवा विवरण तालिका**) कर्नल फ़ंक्शन (ntoskrnl.exe) या GUI ड्राइवर (win32k.sys) को इंगित करती है, ताकि उपयोगकर्ता प्रक्रियाएँ इन फ़ंक्शन को कॉल कर सकें।
* एक रूटकिट इन पॉइंटर को उसके नियंत्रण में रखने के लिए बदल सकता है
* **IRP** (**I/O अनुरोध पैकेट्स**) एक कंपोनेंट से दूसरे कंपोनेंट तक डेटा के टुकड़े भेजते हैं। कर्नल में लगभग सभी चीजें IRP का उपयोग करती हैं और प्रत्येक डिवाइस ऑब्जेक्ट के पास अपना फ़ंक्शन टेबल होता है जिसे हुक किया जा सकता है: DKOM (डायरेक्ट कर्नल ऑब्जेक्ट मेनिपुलेशन)
* **IAT** (**आयात पता तालिका**) आवश्यक होती है ताकि आपकी आवश्यकताओं को हल कर सकें। इस तालिका को हुक करके बुलाए जाने वाले कोड को हाइजैक किया जा सकता है।
* **EAT** (**निर्यात पता तालिका**) हुक्स। यह हुक्स **यूज़रलैंड** से किए जा सकते हैं। लक्ष्य है कि डीएलएल द्वारा निर्यात किए जाने वाले फ़ंक्शन को हुक किया जाए।
* **इनलाइन हुक्स**: इस प्रकार के हुक्स को प्राप्त करना कठिन होता है। इसमें फ़ंक्शन के कोड को संशोधित करना शामिल होता है। शायद इसकी शुरुआत में एक जंप डालकर।


<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

विशेषता को ढ़ूंढ़ें जो सबसे अधिक मायने रखती है ताकि आप उन्हें तेजी से ठीक कर सकें। Intruder आपकी हमला सतह का ट्रैक करता है, प्रोएक्टिव ध्रुवीकरण स्कैन चलाता है, आपकी पूरी टेक स्टैक, एपीआई से वेब ऐप्स और क्लाउड सिस्टम तक, सभी मुद्दों को खोजता है। [**इसे मुफ़्त में प्रयास करें**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) आज।

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आप **PEASS के नवीनतम संस्करण का उपयोग करना चाहते हैं या HackTricks को पीडीएफ़ में डाउनलोड करना चाहते हैं**? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!

- खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष संग्रह [**NFTs**](https://opensea.io/collection/the-peass-family)

- प्राप्त करें [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com)

- **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या मुझे **ट्विटर** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **अपने हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स रेपो और हैकट्रिक्स-क्लाउड रेपो में पीआर जमा करके।**

</details>