mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-27 07:01:09 +00:00
8.8 KiB
8.8 KiB
☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 YouTube 🎥
-
你在一家网络安全公司工作吗?想要在HackTricks中看到你的公司广告吗?或者你想要获取PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
-
发现我们的独家NFTs收藏品——The PEASS Family
-
加入💬 Discord群组或电报群组,或者关注我在Twitter上的🐦@carlospolopm。
-
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。
通用
网络
| 原始套接字 | WinAPI套接字 |
|---|---|
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
持久性
| 注册表 | 文件 | 服务 |
|---|---|---|
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() |
加密
| 名称 |
|---|
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
反分析/虚拟机
| 函数名 | 汇编指令 |
|---|---|
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
| CreateToolhelp32Snapshot [检查进程是否正在运行] | |
| CreateFileW/A [检查文件是否存在] |
隐蔽性
| 名称 | |
|---|---|
| VirtualAlloc | 分配内存(打包工具) |
| VirtualProtect | 更改内存权限(打包工具将执行权限授予某个部分) |
| ReadProcessMemory | 注入到外部进程 |
| WriteProcessMemoryA/W | 注入到外部进程 |
| NtWriteVirtualMemory | |
| CreateRemoteThread | DLL/进程注入... |
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W |
执行
| 函数名 |
|---|
| CreateProcessA/W |
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
其他
- GetAsyncKeyState() -- 键盘记录
- SetWindowsHookEx -- 键盘记录
- GetForeGroundWindow -- 获取运行窗口名称(或浏览器中的网站)
- LoadLibrary() -- 导入库
- GetProcAddress() -- 导入库
- CreateToolhelp32Snapshot() -- 列出运行中的进程
- GetDC() -- 屏幕截图
- BitBlt() -- 屏幕截图
- InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- 访问互联网
- FindResource(), LoadResource(), LockResource() -- 访问可执行文件的资源
恶意软件技术
DLL注入
在另一个进程中执行任意DLL
- 定位要注入恶意DLL的进程:CreateToolhelp32Snapshot,Process32First,Process32Next
- 打开进程:GetModuleHandle,GetProcAddress,OpenProcess
- 在进程中写入DLL的路径:VirtualAllocEx,WriteProcessMemory
- 在进程中创建一个加载恶意DLL的线程:CreateRemoteThread,LoadLibrary
其他要使用的函数:NTCreateThreadEx,RtlCreateUserThread
反射式DLL注入
在不调用常规Windows API调用的情况下加载恶意DLL。
该DLL被映射到进程内部,它将解析导入地址,修复重定位并调用DllMain函数。
线程劫持
找到一个进程的线程并使其加载恶意DLL
- 找到目标线程:CreateToolhelp32Snapshot,Thread32First,Thread32Next
- 打开线程:OpenThread
- 暂停线程:SuspendThread
- 在受害进程中写入恶意DLL的路径:VirtualAllocEx,WriteProcessMemory
- 恢复线程并加载库:ResumeThread
PE注入
可执行文件注入:将可执行文件写入受害进程的内存中,并从那里执行。
进程空壳化
恶意软件将从进程的内存中取消映射合法代码,并加载恶意二进制文件
- 创建一个新进程:CreateProcess
- 取消内存映射:ZwUnmapViewOfSection,NtUnmapViewOfSection
- 将恶意二进制文件写入进程内存:VirtualAllocEc,WriteProcessMemory
- 设置入口点并执行:SetThreadContext,ResumeThread
钩子
- SSDT(系统服务描述符表)指向内核函数(ntoskrnl.exe)或GUI驱动程序(win32k.sys),以便用户进程可以调用这些函数。
- Rootkit可能会修改这些指针以指向他控制的地址。
- IRP(I/O请求数据包)将数据从一个组件传输到另一个组件。内核中的几乎所有内容都使用IRP,每个设备对象都有自己的函数表,可以进行钩子:DKOM(直接内核对象操作)
- IAT(导入地址表)用于解析依赖项。可以钩住这个表以劫持将要调用的代码。
- EAT(导出地址表)钩子。这些钩子可以从用户空间进行。目标是钩住DLL导出的函数。
- 内联钩子:这种类型很难实现。这涉及修改函数本身的代码。可能是在函数开头放置一个跳转。
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
你在一家网络安全公司工作吗?想要在HackTricks中宣传你的公司吗?或者你想要获取PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
-
发现我们的独家NFTs收藏品The PEASS Family
-
加入💬 Discord群组 或 Telegram群组,或者关注我在Twitter上的🐦@carlospolopm。
-
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。