hacktricks/forensics/basic-forensic-methodology/malware-analysis.md

# मैलवेयर विश्लेषण

<details>

<summary><strong>AWS हैकिंग सीखें शून्य से लेकर हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> के साथ!</strong></summary>

HackTricks का समर्थन करने के अन्य तरीके:

* यदि आप चाहते हैं कि आपकी **कंपनी का विज्ञापन HackTricks में दिखाई दे** या **HackTricks को PDF में डाउनलोड करें**, तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह
* 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) में **शामिल हों** या [**telegram group**](https://t.me/peass) में या **Twitter** पर 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) को **फॉलो** करें।
* **HackTricks** के [**github repos**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) में PRs सबमिट करके अपनी हैकिंग ट्रिक्स साझा करें।

</details>

## फोरेंसिक्स चीटशीट्स

[https://www.jaiminton.com/cheatsheet/DFIR/#](https://www.jaiminton.com/cheatsheet/DFIR/)

## ऑनलाइन सेवाएं

* [VirusTotal](https://www.virustotal.com/gui/home/upload)
* [HybridAnalysis](https://www.hybrid-analysis.com)
* [Koodous](https://koodous.com)
* [Intezer](https://analyze.intezer.com)
* [Any.Run](https://any.run/)

## ऑफलाइन एंटीवायरस और डिटेक्शन टूल्स

### Yara

#### स्थापित करें
```bash
sudo apt-get install -y yara
```
#### नियम तैयार करें

गिटहब से सभी yara मैलवेयर नियमों को डाउनलोड करने और मर्ज करने के लिए इस स्क्रिप्ट का उपयोग करें: [https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9](https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9)\
_**rules**_ डायरेक्टरी बनाएं और इसे निष्पादित करें। इससे एक फाइल बनेगी जिसका नाम _**malware\_rules.yar**_ होगा जिसमें मैलवेयर के लिए सभी yara नियम होंगे।
```bash
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
```
#### स्कैन
```bash
yara -w malware_rules.yar image  #Scan 1 file
yara -w malware_rules.yar folder #Scan the whole folder
```
#### YaraGen: मैलवेयर की जाँच करें और नियम बनाएं

आप [**YaraGen**](https://github.com/Neo23x0/yarGen) टूल का उपयोग करके बाइनरी से yara नियम उत्पन्न कर सकते हैं। इन ट्यूटोरियल्स को देखें: [**भाग 1**](https://www.nextron-systems.com/2015/02/16/write-simple-sound-yara-rules/), [**भाग 2**](https://www.nextron-systems.com/2015/10/17/how-to-write-simple-but-sound-yara-rules-part-2/), [**भाग 3**](https://www.nextron-systems.com/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/)
```bash
python3 yarGen.py --update
python3.exe yarGen.py --excludegood -m  ../../mals/
```
### ClamAV

#### स्थापित करें
```
sudo apt-get install -y clamav
```
#### स्कैन
```bash
sudo freshclam      #Update rules
clamscan filepath   #Scan 1 file
clamscan folderpath #Scan the whole folder
```
### [Capa](https://github.com/mandiant/capa)

**Capa** PE, ELF, .NET जैसे एक्जीक्यूटेबल्स में संभावित रूप से हानिकारक **क्षमताओं** का पता लगाता है। इसलिए यह Att\&ck तकनीकों जैसी चीजें या संदिग्ध क्षमताओं जैसे कि पता लगाएगा:

* OutputDebugString त्रुटि के लिए जांच
* सेवा के रूप में चलाएं
* प्रक्रिया बनाएं

इसे [**Github रेपो**](https://github.com/mandiant/capa) में प्राप्त करें।

### IOCs

IOC का मतलब है Indicator Of Compromise। एक IOC एक सेट है जो कुछ अवांछित सॉफ्टवेयर या पुष्टि की गई **मैलवेयर** की पहचान करता है। Blue Teams इस प्रकार की परिभाषा का उपयोग अपने **सिस्टम्स** और **नेटवर्क्स** में इस प्रकार की हानिकारक फाइलों की **खोज के लिए करती हैं**।\
इन परिभाषाओं को साझा करना बहुत उपयोगी है क्योंकि जब किसी कंप्यूटर में मैलवेयर की पहचान की जाती है और उस मैलवेयर के लिए एक IOC बनाया जाता है, तो अन्य Blue Teams इसे तेजी से पहचानने के लिए उपयोग कर सकती हैं।

IOCs बनाने या संशोधित करने के लिए एक उपकरण है [**IOC Editor**](https://www.fireeye.com/services/freeware/ioc-editor.html)**.**\
आप एक डिवाइस में परिभाषित IOCs की **खोज के लिए** [**Redline**](https://www.fireeye.com/services/freeware/redline.html) जैसे उपकरणों का उपयोग कर सकते हैं।

### Loki

[**Loki**](https://github.com/Neo23x0/Loki) एक स्कैनर है जो Simple Indicators of Compromise के लिए है।\
पता लगाना चार पता लगाने की विधियों पर आधारित है:
```
1. File Name IOC
Regex match on full file path/name

2. Yara Rule Check
Yara signature matches on file data and process memory

3. Hash Check
Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files

4. C2 Back Connect Check
Compares process connection endpoints with C2 IOCs (new since version v.10)
```
### Linux Malware Detect

[**Linux Malware Detect (LMD)**](https://www.rfxn.com/projects/linux-malware-detect/) एक मैलवेयर स्कैनर है जो Linux के लिए GNU GPLv2 लाइसेंस के तहत जारी किया गया है, जिसे साझा होस्टेड वातावरण में सामना किए जा रहे खतरों के आसपास डिजाइन किया गया है। यह नेटवर्क एज इंट्रूजन डिटेक्शन सिस्टम से धमकी डेटा का उपयोग करके मैलवेयर को निकालता है जो सक्रिय रूप से हमलों में इस्तेमाल किया जा रहा है और पता लगाने के लिए हस्ताक्षर उत्पन्न करता है। इसके अलावा, धमकी डेटा LMD चेकआउट फीचर के साथ उपयोगकर्ता सबमिशन से और मैलवेयर समुदाय संसाधनों से भी प्राप्त की जाती है।

### rkhunter

[**rkhunter**](http://rkhunter.sourceforge.net) जैसे उपकरणों का उपयोग संभावित **rootkits** और मैलवेयर के लिए फाइलसिस्टम की जांच करने के लिए किया जा सकता है।
```bash
sudo ./rkhunter --check -r / -l /tmp/rkhunter.log [--report-warnings-only] [--skip-keypress]
```
### FLOSS

[**FLOSS**](https://github.com/mandiant/flare-floss) एक ऐसा उपकरण है जो विभिन्न तकनीकों का उपयोग करके एक्जीक्यूटेबल्स में छिपे हुए स्ट्रिंग्स को खोजने की कोशिश करेगा।

### PEpper

[PEpper ](https://github.com/Th3Hurrican3/PEpper) एक्जीक्यूटेबल में कुछ मूलभूत चीजों की जांच करता है (बाइनरी डेटा, एंट्रोपी, URLs और IPs, कुछ yara नियमों की जांच).

### PEstudio

[PEstudio](https://www.winitor.com/download) एक ऐसा उपकरण है जो Windows एक्जीक्यूटेबल्स की जानकारी प्रदान करता है जैसे कि इम्पोर्ट्स, एक्सपोर्ट्स, हेडर्स, साथ ही virus total की जांच करेगा और संभावित Att\&ck तकनीकों का पता लगाएगा।

### Detect It Easy(DiE)

[**DiE**](https://github.com/horsicq/Detect-It-Easy/) एक उपकरण है जो यह पता लगाने के लिए है कि कोई फाइल **encrypted** है और साथ ही **packers** का पता लगाएगा।

### NeoPI

[**NeoPI** ](https://github.com/CiscoCXSecurity/NeoPI) एक Python स्क्रिप्ट है जो टेक्स्ट/स्क्रिप्ट फाइलों में **obfuscated** और **encrypted** सामग्री का पता लगाने के लिए विभिन्न **statistical methods** का उपयोग करती है। NeoPI का उद्देश्य **hidden web shell code** का पता लगाने में सहायता करना है।

### **php-malware-finder**

[**PHP-malware-finder**](https://github.com/nbs-system/php-malware-finder) **obfuscated**/**dodgy code** का पता लगाने के साथ-साथ **PHP** फंक्शन्स का उपयोग करने वाली फाइलों का पता लगाने की पूरी कोशिश करता है जो अक्सर **malwares**/webshells में इस्तेमाल होते हैं।

### Apple Binary Signatures

किसी **malware sample** की जांच करते समय आपको हमेशा बाइनरी के **signature** की जांच करनी चाहिए क्योंकि इसे साइन करने वाला **developer** पहले से **malware** से **related** हो सकता है।
```bash
#Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

#Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

#Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app
```
## पता लगाने की तकनीकें

### फ़ाइल स्टैकिंग

यदि आप जानते हैं कि किसी वेब सर्वर की **फ़ाइलों** वाले फ़ोल्डर को **अंतिम बार किसी तारीख को अपडेट किया गया था**। **जांचें** कि वेब सर्वर की सभी **फ़ाइलें कब बनाई और संशोधित की गईं** और यदि कोई तारीख **संदिग्ध** है, तो उस फ़ाइल की जांच करें।

### बेसलाइन्स

यदि किसी फ़ोल्डर की फ़ाइलों को **संशोधित नहीं किया जाना चाहिए था**, तो आप फ़ोल्डर की **मूल फ़ाइलों** का **हैश** गणना कर सकते हैं और उन्हें **वर्तमान** वालों के साथ **तुलना** कर सकते हैं। कुछ भी संशोधित होना **संदिग्ध** होगा।

### सांख्यिकीय विश्लेषण

जब जानकारी लॉग्स में सहेजी जाती है तो आप **आँकड़े जैसे कि वेब सर्वर की प्रत्येक फ़ाइल को कितनी बार एक्सेस किया गया, जैसे कि वेब शेल सबसे अधिक हो सकता है**।

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert) के साथ शून्य से नायक तक AWS हैकिंग सीखें</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

HackTricks का समर्थन करने के अन्य तरीके:

* यदि आप चाहते हैं कि आपकी **कंपनी का विज्ञापन HackTricks में दिखाई दे** या **HackTricks को PDF में डाउनलोड करें** तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा एक्सक्लूसिव [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह
* 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) में **शामिल हों** या [**telegram group**](https://t.me/peass) में या **Twitter** पर मुझे 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) **का पालन करें**।
* **HackTricks** के [**github repos**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) में PRs सबमिट करके अपनी हैकिंग ट्रिक्स साझा करें।

</details>