16 KiB
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
क्या आप किसी साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित करना चाहते हैं? या क्या आपको PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग करने की आवश्यकता है? सदस्यता योजनाएं की जांच करें!
-
खोजें The PEASS Family, हमारा विशेष संग्रह NFTs
-
प्राप्त करें आधिकारिक PEASS & HackTricks swag
-
शामिल हों 💬 Discord समूह या टेलीग्राम समूह में या मुझे Twitter पर फ़ॉलो करें 🐦@carlospolopm.
-
अपने हैकिंग ट्रिक्स को hacktricks रेपो और hacktricks-cloud रेपो में पीआर जमा करके साझा करें।
वे संदेश खोजें जो सबसे महत्वपूर्ण होते हैं ताकि आप उन्हें तेजी से ठीक कर सकें। Intruder आपकी हमला सतह का पता लगाता है, प्रोएक्टिव धमकी स्कैन चलाता है, एपीआई से वेब ऐप्स और क्लाउड सिस्टम तक के बीच मुद्दों को खोजता है। इसे नि: शुल्क परीक्षण के लिए आज़माएं।
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
सामान्य
नेटवर्किंग
| रॉ सॉकेट | WinAPI सॉकेट |
|---|---|
| सॉकेट() | WSAStratup() |
| बाइंड() | बाइंड() |
| सुनें() | सुनें() |
| स्वीकार() | स्वीकार() |
| कनेक्ट() | कनेक्ट() |
| पढ़ें()/प्राप्त() | प्राप्त() |
| लिखें() | भेजें() |
| शटडाउन() | WSACleanup() |
स्थिरता
| रजिस्ट्री | फ़ाइल | सेवा |
|---|---|---|
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() |
एन्क्रिप्शन
| नाम |
|---|
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
एंटी-विश्लेषण/वीएम
| फ़ंक्शन नाम | असेंबली निर्देश |
|---|---|
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
| CreateToolhelp32Snapshot [प्रक्रिया चल रही है या नहीं देखें] | |
| CreateFileW/A [फ़ाइल मौजूद है या नहीं देखें] |
छिपाना
| नाम | |
|---|---|
| VirtualAlloc | मेमोरी आवंटित करें (पैकर्स) |
| VirtualProtect | मेमोरी अनुमति बदलें (पैकर एक खंड को निष्पादन अनुमति देना) |
| ReadProcessMemory | बाहरी प्रक्रियाओं में इंजेक्शन |
| WriteProcessMemoryA/W | बाहरी प्रक्रियाओं में इंजेक्शन |
| NtWriteVirtualMemory | |
| CreateRemoteThread | DLL/प्रक्रिया इंजेक्शन... |
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W |
निष्पादन
| फ़ंक्शन नाम |
|---|
| CreateProcessA/W |
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
विविध
- GetAsyncKeyState() -- कुंजी लॉगिंग
- SetWindowsHookEx -- कुंजी लॉगिंग
- GetForeGroundWindow -- चल रही विंडो का नाम प्राप्त करें (या ब्राउज़र से वेबसाइट)
- LoadLibrary() -- लाइब्रेरी आयात करें
- GetProcAddress() -- लाइब्रेरी आयात करें
- CreateToolhelp32Snapshot() -- चल रही प्रक्रियाओं की सूची
- GetDC() -- स्क्रीनशॉट
- BitBlt() -- स्क्रीनशॉट
- InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- इंटरनेट तक पहुंच
- FindResource(), LoadResource(), LockResource() -- कार्यक्रम के संसाधनों तक पहुंचें
मैलवेयर तकनीकें
DLL इंजेक्शन
एक अन्य प्रक्रिया में एक अनियमित DLL निष्पादित करें
- अनियमित DLL निष्पादित करने के लिए प्रक्रिया का पता लगाएं: CreateToolhelp32Snapshot, Process32First, Process32Next
- प्रक्रिया खोलें: GetModuleHandle, GetProcAddress,
थ्रेड हाइजैकिंग
प्रक्रिया से एक थ्रेड खोजें और उसे एक खतरनाक DLL लोड कराएं
- लक्षित थ्रेड खोजें: CreateToolhelp32Snapshot, Thread32First, Thread32Next
- थ्रेड खोलें: OpenThread
- थ्रेड को रोकें: SuspendThread
- ख़तरनाक DLL के पथ को पीड़ित प्रक्रिया में लिखें: VirtualAllocEx, WriteProcessMemory
- थ्रेड को फिर से चालू करें और पुस्तकालय लोड करें: ResumeThread
PE इंजेक्शन
पोर्टेबल एक्जीक्यूशन इंजेक्शन: एक्जीक्यूशनेबल को पीड़ित प्रक्रिया की मेमोरी में लिखा जाएगा और वहां से चलाया जाएगा।
प्रक्रिया होलोइंग
मैलवेयर प्रक्रिया की मेमोरी से विधिमान कोड को अनमैप करेगा और एक खतरनाक बाइनरी लोड करेगा
- एक नई प्रक्रिया बनाएं: CreateProcess
- मेमोरी को अनमैप करें: ZwUnmapViewOfSection, NtUnmapViewOfSection
- प्रक्रिया मेमोरी में खतरनाक बाइनरी लिखें: VirtualAllocEc, WriteProcessMemory
- एंट्रीपॉइंट सेट करें और चलाएं: SetThreadContext, ResumeThread
हुकिंग
- SSDT (सिस्टम सेवा विवरण तालिका) कर्नल फ़ंक्शन (ntoskrnl.exe) या GUI ड्राइवर (win32k.sys) को इंगित करती है, ताकि उपयोगकर्ता प्रक्रियाएँ इन फ़ंक्शन को कॉल कर सकें।
- एक रूटकिट इन पॉइंटर को उसके नियंत्रण में रखने के लिए बदल सकता है
- IRP (I/O अनुरोध पैकेट्स) एक कंपोनेंट से दूसरे कंपोनेंट तक डेटा के टुकड़े भेजते हैं। कर्नल में लगभग सभी चीजें IRP का उपयोग करती हैं और प्रत्येक डिवाइस ऑब्जेक्ट के पास अपना फ़ंक्शन टेबल होता है जिसे हुक किया जा सकता है: DKOM (डायरेक्ट कर्नल ऑब्जेक्ट मेनिपुलेशन)
- IAT (आयात पता तालिका) आवश्यक होती है ताकि आपकी आवश्यकताओं को हल कर सकें। इस तालिका को हुक करके बुलाए जाने वाले कोड को हाइजैक किया जा सकता है।
- EAT (निर्यात पता तालिका) हुक्स। यह हुक्स यूज़रलैंड से किए जा सकते हैं। लक्ष्य है कि डीएलएल द्वारा निर्यात किए जाने वाले फ़ंक्शन को हुक किया जाए।
- इनलाइन हुक्स: इस प्रकार के हुक्स को प्राप्त करना कठिन होता है। इसमें फ़ंक्शन के कोड को संशोधित करना शामिल होता है। शायद इसकी शुरुआत में एक जंप डालकर।
विशेषता को ढ़ूंढ़ें जो सबसे अधिक मायने रखती है ताकि आप उन्हें तेजी से ठीक कर सकें। Intruder आपकी हमला सतह का ट्रैक करता है, प्रोएक्टिव ध्रुवीकरण स्कैन चलाता है, आपकी पूरी टेक स्टैक, एपीआई से वेब ऐप्स और क्लाउड सिस्टम तक, सभी मुद्दों को खोजता है। इसे मुफ़्त में प्रयास करें आज।
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आप PEASS के नवीनतम संस्करण का उपयोग करना चाहते हैं या HackTricks को पीडीएफ़ में डाउनलोड करना चाहते हैं? सदस्यता योजनाएं की जांच करें!
-
खोजें The PEASS Family, हमारा विशेष संग्रह NFTs
-
प्राप्त करें आधिकारिक PEASS & HackTricks swag
-
शामिल हों 💬 Discord समूह या टेलीग्राम समूह या मुझे ट्विटर पर फ़ॉलो करें 🐦@carlospolopm.
-
अपने हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स रेपो और हैकट्रिक्स-क्लाउड रेपो में पीआर जमा करके।