2024-03-09 13:18:06 +00:00
# Često korišćene API u Malveru
2022-04-28 16:01:33 +00:00
< details >
2024-02-10 13:11:20 +00:00
< summary > < strong > Naučite hakovanje AWS-a od nule do heroja sa< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2022-04-28 16:01:33 +00:00
2024-02-10 13:11:20 +00:00
Drugi načini podrške HackTricks-u:
2022-04-28 16:01:33 +00:00
2024-03-14 23:38:08 +00:00
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJATELJE** ](https://github.com/sponsors/carlospolop )!
2024-02-10 13:11:20 +00:00
* Nabavite [**zvanični PEASS & HackTricks swag** ](https://peass.creator-spring.com )
2024-03-14 23:38:08 +00:00
* Otkrijte [**The PEASS Family** ](https://opensea.io/collection/the-peass-family ), našu kolekciju ekskluzivnih [**NFT-ova** ](https://opensea.io/collection/the-peass-family )
2024-03-09 13:18:06 +00:00
* **Pridružite se** 💬 [**Discord grupi** ](https://discord.gg/hRep4RUj7f ) ili [**telegram grupi** ](https://t.me/peass ) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )**.**
2024-02-10 13:11:20 +00:00
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) i [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) github repozitorijume.
2022-04-28 16:01:33 +00:00
< / details >
2024-03-14 23:38:08 +00:00
**Try Hard Security Group**
< figure > < img src = "../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt = "" > < figcaption > < / figcaption > < / figure >
{% embed url="https://discord.gg/tryhardsecurity" %}
***
2024-03-09 13:18:06 +00:00
## Generičko
2022-04-28 16:01:33 +00:00
2024-03-09 13:18:06 +00:00
### Mreža
2020-12-03 18:00:02 +00:00
2024-03-14 23:38:08 +00:00
| Raw Sockets | WinAPI Sockets |
| ------------- | -------------- |
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
2020-12-03 18:00:02 +00:00
2024-03-09 13:18:06 +00:00
### Upornost
2020-12-03 18:00:02 +00:00
2024-03-14 23:38:08 +00:00
| Registry | File | Service |
| ---------------- | ------------- | ---------------------------- |
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() | |
2020-12-03 18:00:02 +00:00
2024-03-09 13:18:06 +00:00
### Enkripcija
2020-12-03 18:00:02 +00:00
2024-03-09 13:18:06 +00:00
| Ime |
2024-03-14 23:38:08 +00:00
| --------------------- |
| WinCrypt |
2021-10-18 11:21:18 +00:00
| CryptAcquireContext() |
2024-03-14 23:38:08 +00:00
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
2021-10-18 11:21:18 +00:00
| CryptReleaseContext() |
2020-12-03 18:00:02 +00:00
2024-03-09 13:18:06 +00:00
### Anti-Analiza/VM
2020-12-03 18:00:02 +00:00
2024-03-09 13:18:06 +00:00
| Ime Funkcije | Skup Instrukcija |
2024-03-14 23:38:08 +00:00
| --------------------------------------------------------- | ---------------- |
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
2024-02-10 13:11:20 +00:00
| CreateToolhelp32Snapshot \[Provera da li je proces pokrenut] | |
2024-03-14 23:38:08 +00:00
| CreateFileW/A \[Provera da li fajl postoji] | |
2024-03-09 13:18:06 +00:00
### Skrivanje
| Ime | |
2024-03-14 23:38:08 +00:00
| ------------------------ | -------------------------------------------------------------------------- |
| VirtualAlloc | Alocira memoriju (paketi) |
| VirtualProtect | Menja dozvole memorije (paket daje dozvolu za izvršenje sekciji) |
| ReadProcessMemory | Ubrizgavanje u spoljne procese |
| WriteProcessMemoryA/W | Ubrizgavanje u spoljne procese |
| NtWriteVirtualMemory | |
| CreateRemoteThread | Ubrizgavanje DLL-a/procesa... |
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W | |
2024-03-09 13:18:06 +00:00
### Izvršenje
2024-03-14 23:38:08 +00:00
| Ime Funkcije |
2024-03-09 13:18:06 +00:00
| ---------------- |
2020-12-09 00:31:50 +00:00
| CreateProcessA/W |
2021-10-18 11:21:18 +00:00
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
2020-12-03 18:00:02 +00:00
2024-03-09 13:18:06 +00:00
### Razno
2021-09-07 00:15:14 +00:00
2024-03-09 13:18:06 +00:00
* GetAsyncKeyState() -- Snimanje tastera
* SetWindowsHookEx -- Snimanje tastera
* GetForeGroundWindow -- Dobijanje imena pokrenutog prozora (ili sajta iz pretraživača)
2024-02-10 13:11:20 +00:00
* LoadLibrary() -- Uvoz biblioteke
* GetProcAddress() -- Uvoz biblioteke
* CreateToolhelp32Snapshot() -- Lista pokrenutih procesa
* GetDC() -- Snimak ekrana
* BitBlt() -- Snimak ekrana
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Pristup internetu
2024-03-09 13:18:06 +00:00
* FindResource(), LoadResource(), LockResource() -- Pristup resursima iz izvršnog fajla
2021-09-07 00:15:14 +00:00
2024-03-09 13:18:06 +00:00
## Tehnike Malvera
2021-09-07 00:15:14 +00:00
2024-03-14 23:38:08 +00:00
### Ubrizgavanje DLL-a
2021-09-07 00:15:14 +00:00
2024-03-14 23:38:08 +00:00
Izvršava proizvoljni DLL unutar drugog procesa
2021-09-07 00:15:14 +00:00
2024-03-14 23:38:08 +00:00
1. Locirajte proces za ubrizgavanje zlonamernog DLL-a: CreateToolhelp32Snapshot, Process32First, Process32Next
2024-02-10 13:11:20 +00:00
2. Otvorite proces: GetModuleHandle, GetProcAddress, OpenProcess
2024-03-14 23:38:08 +00:00
3. Napišite putanju do DLL-a unutar procesa: VirtualAllocEx, WriteProcessMemory
4. Kreirajte nit u procesu koja će učitati zlonamerni DLL: CreateRemoteThread, LoadLibrary
2021-09-07 00:15:14 +00:00
2024-03-09 13:18:06 +00:00
Druge funkcije za korišćenje: NTCreateThreadEx, RtlCreateUserThread
2021-09-07 00:15:14 +00:00
2024-03-14 23:38:08 +00:00
### Reflektivno Ubrizgavanje DLL-a
2021-09-07 00:15:14 +00:00
2024-03-14 23:38:08 +00:00
Učitava zlonamerni DLL bez pozivanja normalnih Windows API poziva.\
2024-03-09 13:18:06 +00:00
DLL je mapiran unutar procesa, rešavaće adrese uvoza, popravljaće premeštanja i pozvaće funkciju DllMain.
2021-09-07 00:15:14 +00:00
2024-03-09 13:18:06 +00:00
### Preuzimanje Niti
2021-09-07 00:15:14 +00:00
2024-03-14 23:38:08 +00:00
Pronađite nit iz procesa i naterajte je da učita zlonamerni DLL
2021-09-07 00:15:14 +00:00
2024-02-10 13:11:20 +00:00
1. Pronađite ciljnu nit: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Otvorite nit: OpenThread
2024-03-09 13:18:06 +00:00
3. Pauzirajte nit: SuspendThread
2024-03-14 23:38:08 +00:00
4. Napišite putanju do zlonamernog DLL-a unutar žrtvenog procesa: VirtualAllocEx, WriteProcessMemory
2024-02-10 13:11:20 +00:00
5. Nastavite nit koja učitava biblioteku: ResumeThread
2021-09-07 00:15:14 +00:00
2024-03-14 23:38:08 +00:00
### PE Ubrizgavanje
2021-09-07 00:15:14 +00:00
2024-03-14 23:38:08 +00:00
Ubrizgavanje Portable Execution: Izvršni fajl će biti napisan u memoriji žrtvenog procesa i izvršavaće se odande.
2021-09-07 00:15:14 +00:00
2024-03-09 13:18:06 +00:00
### Procesno Ispraznjenje
2021-09-07 00:15:14 +00:00
2024-03-09 13:18:06 +00:00
Malver će ukloniti legitimni kod iz memorije procesa i učitati zlonamerni binarni fajl
2021-09-07 00:15:14 +00:00
2024-02-10 13:11:20 +00:00
1. Kreirajte novi proces: CreateProcess
2024-03-14 23:38:08 +00:00
2. Uklonite memoriju: ZwUnmapViewOfSection, NtUnmapViewOfSection
2024-03-09 13:18:06 +00:00
3. Napišite zlonamerni binarni fajl u memoriju procesa: VirtualAllocEc, WriteProcessMemory
2024-02-10 13:11:20 +00:00
4. Postavite tačku ulaska i izvršite: SetThreadContext, ResumeThread
2022-04-28 16:01:33 +00:00
2024-03-09 13:18:06 +00:00
## Hakovanje
2022-04-28 16:01:33 +00:00
2024-03-14 23:38:08 +00:00
* **SSDT** (**Tabela Deskriptora Sistemskih Servisa**) pokazuje na funkcije kernela (ntoskrnl.exe) ili GUI drajvera (win32k.sys) tako da korisnički procesi mogu pozvati ove funkcije.
2024-03-09 13:18:06 +00:00
* Rootkit može modifikovati ove pokazivače na adrese koje kontroliše
2024-03-14 23:38:08 +00:00
* **IRP** (**I/O Zahtevni Paketi**) prenose delove podataka od jedne komponente do druge. Skoro sve u kernelu koristi IRP-ove i svaki objekat uređaja ima svoju funkcionalnu tabelu koja može biti hakovana: DKOM (Direktno Manipulisanje Objektima Kernela)
2024-03-09 13:18:06 +00:00
* **IAT** (**Tabela Adresa Uvoza**) je korisna za rešavanje zavisnosti. Moguće je hakovati ovu tabelu kako bi se preusmerio kod koji će biti pozvan.
* **EAT** (**Tabela Adresa Izvoza**) Hakovi. Ovi hakovi mogu biti urađeni iz **userland-a** . Cilj je hakovati izvožene funkcije od strane DLL-ova.
* **Inline Hakovi**: Ovaj tip je teško postići. Uključuje modifikovanje koda samih funkcija. Možda postavljanjem skoka na početku ovoga.
2024-03-14 23:38:08 +00:00
**Try Hard Security Group**
< figure > < img src = "../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt = "" > < figcaption > < / figcaption > < / figure >
{% embed url="https://discord.gg/tryhardsecurity" %}
< details >
< summary > < strong > Naučite hakovanje AWS-a od nule do heroja sa< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
Drugi načini podrške HackTricks-u:
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJATELJE** ](https://github.com/sponsors/carlospolop )!
* Nabavite [**zvanični PEASS & HackTricks swag** ](https://peass.creator-spring.com )
* Otkrijte [**The PEASS Family** ](https://opensea.io/collection/the-peass-family ), našu kolekciju ekskluzivnih [**NFT-ova** ](https://opensea.io/collection/the-peass-family )
* **Pridružite se** 💬 [**Discord grupi** ](https://discord.gg/hRep4RUj7f ) ili [**telegram grupi** ](https://t.me/peass ) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) i [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) github repozitorijume.