mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-13 06:42:54 +00:00
158 lines
7.9 KiB
Markdown
158 lines
7.9 KiB
Markdown
# Powszechne API używane w złośliwym oprogramowaniu
|
|
|
|
<details>
|
|
|
|
<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Inne sposoby wsparcia HackTricks:
|
|
|
|
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
|
|
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
|
|
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
|
|
|
|
</details>
|
|
|
|
**Try Hard Security Group**
|
|
|
|
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
|
|
|
|
{% embed url="https://discord.gg/tryhardsecurity" %}
|
|
|
|
***
|
|
|
|
## Ogólne
|
|
|
|
### Sieciowe
|
|
|
|
| Surowe Gniazdka | WinAPI Gniazdka |
|
|
| --------------- | --------------- |
|
|
| socket() | WSAStratup() |
|
|
| bind() | bind() |
|
|
| listen() | listen() |
|
|
| accept() | accept() |
|
|
| connect() | connect() |
|
|
| read()/recv() | recv() |
|
|
| write() | send() |
|
|
| shutdown() | WSACleanup() |
|
|
|
|
### Trwałość
|
|
|
|
| Rejestr | Plik | Usługa |
|
|
| ------------------ | -------------- | --------------------------- |
|
|
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
|
|
| RegOpenKeyEx() | CopyFile() | CreateService() |
|
|
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher()|
|
|
| RegDeleteKeyEx() | WriteFile() | |
|
|
| RegGetValue() | ReadFile() | |
|
|
|
|
### Szyfrowanie
|
|
|
|
| Nazwa |
|
|
| ---------------------- |
|
|
| WinCrypt |
|
|
| CryptAcquireContext() |
|
|
| CryptGenKey() |
|
|
| CryptDeriveKey() |
|
|
| CryptDecrypt() |
|
|
| CryptReleaseContext() |
|
|
|
|
### Anty-Analiza/VM
|
|
|
|
| Nazwa Funkcji | Instrukcje Assembly |
|
|
| -------------------------------------------------------- | ------------------- |
|
|
| IsDebuggerPresent() | CPUID() |
|
|
| GetSystemInfo() | IN() |
|
|
| GlobalMemoryStatusEx() | |
|
|
| GetVersion() | |
|
|
| CreateToolhelp32Snapshot \[Sprawdź, czy proces jest uruchomiony] | |
|
|
| CreateFileW/A \[Sprawdź, czy plik istnieje] | |
|
|
|
|
### Ukrywanie
|
|
|
|
| Nazwa | |
|
|
| ------------------------ | -------------------------------------------------------------------------- |
|
|
| VirtualAlloc | Alokuje pamięć (pakowacze) |
|
|
| VirtualProtect | Zmienia uprawnienia pamięci (pakowacz nadaje uprawnienia do wykonania sekcji) |
|
|
| ReadProcessMemory | Wstrzyknięcie do zewnętrznych procesów |
|
|
| WriteProcessMemoryA/W | Wstrzyknięcie do zewnętrznych procesów |
|
|
| NtWriteVirtualMemory | |
|
|
| CreateRemoteThread | Wstrzyknięcie DLL/procesu... |
|
|
| NtUnmapViewOfSection | |
|
|
| QueueUserAPC | |
|
|
| CreateProcessInternalA/W | |
|
|
|
|
### Wykonanie
|
|
|
|
| Nazwa Funkcji |
|
|
| ----------------- |
|
|
| CreateProcessA/W |
|
|
| ShellExecute |
|
|
| WinExec |
|
|
| ResumeThread |
|
|
| NtResumeThread |
|
|
|
|
### Różne
|
|
|
|
* GetAsyncKeyState() -- Rejestracja klawiszy
|
|
* SetWindowsHookEx -- Rejestracja klawiszy
|
|
* GetForeGroundWindow -- Pobierz nazwę uruchomionego okna (lub witrynę z przeglądarki)
|
|
* LoadLibrary() -- Importuj bibliotekę
|
|
* GetProcAddress() -- Importuj bibliotekę
|
|
* CreateToolhelp32Snapshot() -- Lista uruchomionych procesów
|
|
* GetDC() -- Zrzut ekranu
|
|
* BitBlt() -- Zrzut ekranu
|
|
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Dostęp do Internetu
|
|
* FindResource(), LoadResource(), LockResource() -- Dostęp do zasobów wykonywalnych
|
|
|
|
## Techniki Malware
|
|
|
|
### Wstrzykiwanie DLL
|
|
|
|
Wykonaj dowolną DLL w innym procesie
|
|
|
|
1. Zlokalizuj proces do wstrzyknięcia złośliwej DLL: CreateToolhelp32Snapshot, Process32First, Process32Next
|
|
2. Otwórz proces: GetModuleHandle, GetProcAddress, OpenProcess
|
|
3. Zapisz ścieżkę do DLL wewnątrz procesu: VirtualAllocEx, WriteProcessMemory
|
|
4. Utwórz wątek w procesie, który załaduje złośliwą DLL: CreateRemoteThread, LoadLibrary
|
|
|
|
Inne funkcje do użycia: NTCreateThreadEx, RtlCreateUserThread
|
|
|
|
### Wstrzykiwanie Refleksyjne DLL
|
|
|
|
Załaduj złośliwą DLL bez wywoływania normalnych wywołań API systemu Windows.\
|
|
DLL jest mapowana wewnątrz procesu, rozwiąże adresy importu, naprawi relokacje i wywoła funkcję DllMain.
|
|
|
|
### Przechwytywanie Wątków
|
|
|
|
Znajdź wątek w procesie i spraw, aby załadował złośliwą DLL
|
|
|
|
1. Znajdź docelowy wątek: CreateToolhelp32Snapshot, Thread32First, Thread32Next
|
|
2. Otwórz wątek: OpenThread
|
|
3. Wstrzymaj wątek: SuspendThread
|
|
4. Zapisz ścieżkę do złośliwej DLL wewnątrz procesu ofiary: VirtualAllocEx, WriteProcessMemory
|
|
5. Wznów wątek ładowania biblioteki: ResumeThread
|
|
|
|
### Wstrzykiwanie PE
|
|
|
|
Wstrzyknięcie Wykonywalne: Wykonywalny plik zostanie zapisany w pamięci procesu ofiary i zostanie wykonany stamtąd.
|
|
|
|
### Wstrzykiwanie Procesów
|
|
|
|
Złośliwe oprogramowanie odmapuje legalny kod z pamięci procesu i załaduje złośliwy plik binarny
|
|
|
|
1. Utwórz nowy proces: CreateProcess
|
|
2. Odmapuj pamięć: ZwUnmapViewOfSection, NtUnmapViewOfSection
|
|
3. Zapisz złośliwy plik binarny w pamięci procesu: VirtualAllocEc, WriteProcessMemory
|
|
4. Ustaw punkt wejścia i wykonaj: SetThreadContext, ResumeThread
|
|
|
|
## Hooking
|
|
|
|
* **SSDT** (**System Service Descriptor Table**) wskazuje na funkcje jądra (ntoskrnl.exe) lub sterownik GUI (win32k.sys), dzięki czemu procesy użytkownika mogą wywoływać te funkcje.
|
|
* Rootkit może zmodyfikować te wskaźniki na adresy, które kontroluje
|
|
* **IRP** (**I/O Request Packets**) przesyłają fragmenty danych z jednego komponentu do drugiego. Prawie wszystko w jądrze używa IRP, a każdy obiekt urządzenia ma własną tabelę funkcji, którą można przechwycić: DKOM (Bezpośrednie Modyfikacje Obiektów Jądra)
|
|
* **IAT** (**Import Address Table**) jest przydatna do rozwiązywania zależności. Można przechwycić tę tabelę, aby przejąć kod, który zostanie wywołany.
|
|
* **EAT** (**Export Address Table**) Hooks. Te haki można wykonać z **userland**. Celem jest przechwycenie funkcji eksportowanych przez biblioteki DLL.
|
|
* **Inline Hooks**: Ten typ jest trudny do osiągnięcia. Polega to na modyfikowaniu kodu funkcji. Być może poprzez umieszczenie skoku na początku tego.
|
|
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) **i** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **na githubie.**
|