Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 06:30:37 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/reversing/common-api-used-in-malware.md
Translator workflow 75e8745ba3 Translated to Hindi
2023-11-06 08:38:02 +00:00

170 lines
16 KiB
Markdown
Raw Blame History

<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
- क्या आप किसी **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित करना** चाहते हैं? या क्या आपको **PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की आवश्यकता है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
- खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष संग्रह [**NFTs**](https://opensea.io/collection/the-peass-family)
- प्राप्त करें [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com)
- **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में या मुझे **Twitter** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **अपने हैकिंग ट्रिक्स को [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके साझा करें।**
</details>
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
वे संदेश खोजें जो सबसे महत्वपूर्ण होते हैं ताकि आप उन्हें तेजी से ठीक कर सकें। Intruder आपकी हमला सतह का पता लगाता है, प्रोएक्टिव धमकी स्कैन चलाता है, एपीआई से वेब ऐप्स और क्लाउड सिस्टम तक के बीच मुद्दों को खोजता है। [**इसे नि: शुल्क परीक्षण के लिए आज़माएं**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)।
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
***
# सामान्य
## नेटवर्किंग
| रॉ सॉकेट | WinAPI सॉकेट |
| ------------- | -------------- |
| सॉकेट() | WSAStratup() |
| बाइंड() | बाइंड() |
| सुनें() | सुनें() |
| स्वीकार() | स्वीकार() |
| कनेक्ट() | कनेक्ट() |
| पढ़ें()/प्राप्त() | प्राप्त() |
| लिखें() | भेजें() |
| शटडाउन() | WSACleanup() |
## स्थिरता
| रजिस्ट्री | फ़ाइल | सेवा |
| ---------------- | ------------- | ---------------------------- |
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() | |
## एन्क्रिप्शन
| नाम |
| --------------------- |
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
## एंटी-विश्लेषण/वीएम
| फ़ंक्शन नाम | असेंबली निर्देश |
| --------------------------------------------------------- | --------------------- |
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
| CreateToolhelp32Snapshot \[प्रक्रिया चल रही है या नहीं देखें] | |
| CreateFileW/A \[फ़ाइल मौजूद है या नहीं देखें] | |
## छिपाना
| नाम | |
| ------------------------ | -------------------------------------------------------------------------- |
| VirtualAlloc | मेमोरी आवंटित करें (पैकर्स) |
| VirtualProtect | मेमोरी अनुमति बदलें (पैकर एक खंड को निष्पादन अनुमति देना) |
| ReadProcessMemory | बाहरी प्रक्रियाओं में इंजेक्शन |
| WriteProcessMemoryA/W | बाहरी प्रक्रियाओं में इंजेक्शन |
| NtWriteVirtualMemory | |
| CreateRemoteThread | DLL/प्रक्रिया इंजेक्शन... |
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W | |
## निष्पादन
| फ़ंक्शन नाम |
| ---------------- |
| CreateProcessA/W |
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
## विविध
* GetAsyncKeyState() -- कुंजी लॉगिंग
* SetWindowsHookEx -- कुंजी लॉगिंग
* GetForeGroundWindow -- चल रही विंडो का नाम प्राप्त करें (या ब्राउज़र से वेबसाइट)
* LoadLibrary() -- लाइब्रेरी आयात करें
* GetProcAddress() -- लाइब्रेरी आयात करें
* CreateToolhelp32Snapshot() -- चल रही प्रक्रियाओं की सूची
* GetDC() -- स्क्रीनशॉट
* BitBlt() -- स्क्रीनशॉट
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- इंटरनेट तक पहुंच
* FindResource(), LoadResource(), LockResource() -- कार्यक्रम के संसाधनों तक पहुंचें
# मैलवेयर तकनीकें
## DLL इंजेक्शन
एक अन्य प्रक्रिया में एक अनियमित DLL निष्पादित करें
1. अनियमित DLL निष्पादित करने के लिए प्रक्रिया का पता लगाएं: CreateToolhelp32Snapshot, Process32First, Process32Next
2. प्रक्रिया खोलें: GetModuleHandle, GetProcAddress,
## थ्रेड हाइजैकिंग
प्रक्रिया से एक थ्रेड खोजें और उसे एक खतरनाक DLL लोड कराएं
1. लक्षित थ्रेड खोजें: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. थ्रेड खोलें: OpenThread
3. थ्रेड को रोकें: SuspendThread
4. ख़तरनाक DLL के पथ को पीड़ित प्रक्रिया में लिखें: VirtualAllocEx, WriteProcessMemory
5. थ्रेड को फिर से चालू करें और पुस्तकालय लोड करें: ResumeThread
## PE इंजेक्शन
पोर्टेबल एक्जीक्यूशन इंजेक्शन: एक्जीक्यूशनेबल को पीड़ित प्रक्रिया की मेमोरी में लिखा जाएगा और वहां से चलाया जाएगा।
## प्रक्रिया होलोइंग
मैलवेयर प्रक्रिया की मेमोरी से विधिमान कोड को अनमैप करेगा और एक खतरनाक बाइनरी लोड करेगा
1. एक नई प्रक्रिया बनाएं: CreateProcess
2. मेमोरी को अनमैप करें: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. प्रक्रिया मेमोरी में खतरनाक बाइनरी लिखें: VirtualAllocEc, WriteProcessMemory
4. एंट्रीपॉइंट सेट करें और चलाएं: SetThreadContext, ResumeThread
# हुकिंग
* **SSDT** (**सिस्टम सेवा विवरण तालिका**) कर्नल फ़ंक्शन (ntoskrnl.exe) या GUI ड्राइवर (win32k.sys) को इंगित करती है, ताकि उपयोगकर्ता प्रक्रियाएँ इन फ़ंक्शन को कॉल कर सकें।
* एक रूटकिट इन पॉइंटर को उसके नियंत्रण में रखने के लिए बदल सकता है
* **IRP** (**I/O अनुरोध पैकेट्स**) एक कंपोनेंट से दूसरे कंपोनेंट तक डेटा के टुकड़े भेजते हैं। कर्नल में लगभग सभी चीजें IRP का उपयोग करती हैं और प्रत्येक डिवाइस ऑब्जेक्ट के पास अपना फ़ंक्शन टेबल होता है जिसे हुक किया जा सकता है: DKOM (डायरेक्ट कर्नल ऑब्जेक्ट मेनिपुलेशन)
* **IAT** (**आयात पता तालिका**) आवश्यक होती है ताकि आपकी आवश्यकताओं को हल कर सकें। इस तालिका को हुक करके बुलाए जाने वाले कोड को हाइजैक किया जा सकता है।
* **EAT** (**निर्यात पता तालिका**) हुक्स। यह हुक्स **यूज़रलैंड** से किए जा सकते हैं। लक्ष्य है कि डीएलएल द्वारा निर्यात किए जाने वाले फ़ंक्शन को हुक किया जाए।
* **इनलाइन हुक्स**: इस प्रकार के हुक्स को प्राप्त करना कठिन होता है। इसमें फ़ंक्शन के कोड को संशोधित करना शामिल होता है। शायद इसकी शुरुआत में एक जंप डालकर।
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
विशेषता को ढ़ूंढ़ें जो सबसे अधिक मायने रखती है ताकि आप उन्हें तेजी से ठीक कर सकें। Intruder आपकी हमला सतह का ट्रैक करता है, प्रोएक्टिव ध्रुवीकरण स्कैन चलाता है, आपकी पूरी टेक स्टैक, एपीआई से वेब ऐप्स और क्लाउड सिस्टम तक, सभी मुद्दों को खोजता है। [**इसे मुफ़्त में प्रयास करें**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) आज।
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
- क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आप **PEASS के नवीनतम संस्करण का उपयोग करना चाहते हैं या HackTricks को पीडीएफ़ में डाउनलोड करना चाहते हैं**? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
- खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष संग्रह [**NFTs**](https://opensea.io/collection/the-peass-family)
- प्राप्त करें [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com)
- **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या मुझे **ट्विटर** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **अपने हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स रेपो और हैकट्रिक्स-क्लाउड रेपो में पीआर जमा करके।**
</details>
Reference in a new issue View git blame Copy permalink