mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-25 06:00:40 +00:00
11 KiB
11 KiB
मैलवेयर में उपयोग किए जाने वाले सामान्य API
जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!
HackTricks का समर्थन करने के अन्य तरीके:
- यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान देखें!
- आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
- हमारा संग्रह The PEASS Family खोजें, हमारा विशेष NFTs संग्रह
- जुड़ें 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह में या हमें ट्विटर 🐦 @carlospolopm** पर फॉलो करें।
- HackTricks और HackTricks Cloud github repos में PRs सबमिट करके अपने हैकिंग ट्रिक्स साझा करें।
Try Hard सुरक्षा समूह
{% embed url="https://discord.gg/tryhardsecurity" %}
सामान्य
नेटवर्किंग
रॉ सॉकेट्स | WinAPI सॉकेट्स |
---|---|
socket() | WSAStratup() |
bind() | bind() |
listen() | listen() |
accept() | accept() |
connect() | connect() |
read()/recv() | recv() |
write() | send() |
shutdown() | WSACleanup() |
स्थिरता
रजिस्ट्री | फ़ाइल | सेवा |
---|---|---|
RegCreateKeyEx() | GetTempPath() | OpenSCManager |
RegOpenKeyEx() | CopyFile() | CreateService() |
RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
RegDeleteKeyEx() | WriteFile() | |
RegGetValue() | ReadFile() |
एन्क्रिप्शन
नाम |
---|
WinCrypt |
CryptAcquireContext() |
CryptGenKey() |
CryptDeriveKey() |
CryptDecrypt() |
CryptReleaseContext() |
एंटी-विश्लेषण/वीएम
फ़ंक्शन नाम | असेम्बली निर्देश |
---|---|
IsDebuggerPresent() | CPUID() |
GetSystemInfo() | IN() |
GlobalMemoryStatusEx() | |
GetVersion() | |
CreateToolhelp32Snapshot [प्रक्रिया चल रही है या नहीं देखें] | |
CreateFileW/A [फ़ाइल मौजूद है या नहीं देखें] |
छिपाव
नाम | |
---|---|
VirtualAlloc | मेमोरी आवंटित करें (पैकर्स) |
VirtualProtect | मेमोरी अनुमति बदलें (पैकर एक खंड को क्रियान्वयन अनुमति देना) |
ReadProcessMemory | बाहरी प्रक्रियाओं में इंजेक्शन |
WriteProcessMemoryA/W | बाहरी प्रक्रियाओं में इंजेक्शन |
NtWriteVirtualMemory | |
CreateRemoteThread | DLL/प्रक्रिया इंजेक्शन... |
NtUnmapViewOfSection | |
QueueUserAPC | |
CreateProcessInternalA/W |
क्रियान्वयन
फ़ंक्शन नाम |
---|
CreateProcessA/W |
ShellExecute |
WinExec |
ResumeThread |
NtResumeThread |
विविध
- GetAsyncKeyState() -- कुंजी लॉगिंग
- SetWindowsHookEx -- कुंजी लॉगिंग
- GetForeGroundWindow -- चल रही विंडो का नाम प्राप्त करें (या ब्राउज़र से वेबसाइट)
- LoadLibrary() -- लाइब्रेरी आयात
- GetProcAddress() -- लाइब्रेरी आयात
- CreateToolhelp32Snapshot() -- चल रही प्रक्रियाएँ सूचीबद्ध करें
- GetDC() -- स्क्रीनशॉट
- BitBlt() -- स्क्रीनशॉट
- InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- इंटरनेट तक पहुंचें
- FindResource(), LoadResource(), LockResource() -- कार्यक्रम के संसाधनों तक पहुंचें
मैलवेयर तकनीकें
DLL इंजेक्शन
किसी अन्य प्रक्रिया में एक विचित्र DLL को निषेधित करें
- दुरुपयोगी DLL डालने के लिए प्रक्रिया का पता लगाएं: CreateToolhelp32Snapshot, Process32First, Process32Next
- प्रक्रिया खोलें: GetModuleHandle, GetProcAddress, OpenProcess
- DLL के पथ को प्रक्रिया के अंदर लिखें: VirtualAllocEx, WriteProcessMemory
- प्रक्रिया में एक धारात्मक DLL लोड करने वाली धारा बनाएं: CreateRemoteThread, LoadLibrary
उपयोग करने के अन्य फ़ंक्शन: NTCreateThreadEx, RtlCreateUserThread
प्रतिबिम्बित DLL इंजेक्शन
सामान्य Windows API कॉल किए बिना एक दुरुपयोगी DLL लोड करें।
DLL प्रक्रिया के अंदर मैप किया जाता है, यह आयात पते हल करेगा, स्थानांतरणों को ठीक करेगा और DllMain फ़ंक्शन को कॉल करेगा।
थ्रेड हाइजैकिंग
प्रक्रिया से एक धारात्मक DLL लोड करने के लिए एक धारात्मक थ्रेड खोजें
- लक्ष्य थ्रेड खोजें: CreateToolhelp32Snapshot, Thread32First, Thread32Next
- थ्रेड खोलें: OpenThread
- थ्रेड को रोकें: SuspendThread
- पीड़ित प्रक्रिया में दुरुपयोगी DLL के पथ को लिखें: VirtualAllocEx, WriteProcessMemory
- लाइब्रेरी लोड करने वाले थ्रेड को फिर से आरंभ करें: ResumeThread
पीई इंजेक्शन
पोर्टेबल एक्जीक्यूशन इंजेक्शन: एक्जीक्यूशन विक्टिम प्रक्रिया की मेमोरी में लिखा जाएगा और वहां से चलाया जाएगा।
प्रक्रिया होलोइंग
मैलवेयर वास्तविक कोड को प्रक्रिया की मेमोरी से अनमैप करेगा और एक दुरुपयोगी बाइनरी लोड करेगा
- एक नई प्रक्रिया बनाएं: CreateProcess
- मेमोरी को अनमैप करें: ZwUnmapViewOfSection, NtUnmapViewOfSection
- प्रक्रिया मेमोरी में दुरुपयोगी बाइनरी लिखें: VirtualAllocEc, WriteProcessMemory
- प्रवेश बिंदु सेट करें और क्रियान्वयन करें: SetThreadContext, ResumeThread
हुकिंग
- SSDT (सिस्टम सेवा विवरण तालिका) कर्नेल फ़ंक्शनों (ntoskrnl.exe) या GUI ड्राइवर (win32k.sys) को इंगित करता है ताकि उपयोगकर्ता प्रक्रियाएँ इन फ़ंक्शनों को कॉल कर सकें।
- एक रूटकिट इन पॉइंटर को उसके नियंत्रण में पते पर संशोधित कर सकता है
- IRP (आई/ओ अनुरोध पैकेट्स) एक घटक से दूसरे घटक तक डेटा ट्रांसमिट करते हैं। कर्नेल में लगभग सभी चीजें IRPs का उपयोग करती हैं और प्रत्येक डिवाइस ऑब्ज
- अपनी हैकिंग ट्रिक्स साझा करें PRs सबमिट करके HackTricks और HackTricks Cloud github repos पर।