hacktricks/reversing/common-api-used-in-malware.md

# Često korišćene API u Malveru

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** Proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**Porodicu PEASS**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>

## Generičko

### Mreža

| Sirovi Sockets | WinAPI Sockets |
| -------------- | -------------- |
| socket()       | WSAStratup()   |
| bind()         | bind()         |
| listen()       | listen()       |
| accept()       | accept()       |
| connect()      | connect()      |
| read()/recv()  | recv()         |
| write()        | send()         |
| shutdown()     | WSACleanup()   |

### Upornost

| Registar          | Fajl          | Servis                      |
| ----------------- | ------------- | ---------------------------- |
| RegCreateKeyEx()  | GetTempPath() | OpenSCManager                |
| RegOpenKeyEx()    | CopyFile()    | CreateService()              |
| RegSetValueEx()   | CreateFile()  | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx()  | WriteFile()   |                              |
| RegGetValue()     | ReadFile()    |                              |

### Enkripcija

| Ime                  |
| -------------------- |
| WinCrypt             |
| CryptAcquireContext() |
| CryptGenKey()        |
| CryptDeriveKey()     |
| CryptDecrypt()       |
| CryptReleaseContext() |

### Anti-Analiza/VM

| Ime Funkcije                                             | Skup Instrukcija |
| -------------------------------------------------------- | ---------------- |
| IsDebuggerPresent()                                      | CPUID()          |
| GetSystemInfo()                                          | IN()             |
| GlobalMemoryStatusEx()                                   |                  |
| GetVersion()                                             |                  |
| CreateToolhelp32Snapshot \[Provera da li je proces pokrenut] |                  |
| CreateFileW/A \[Provera da li fajl postoji]              |                  |

### Skrivanje

| Ime                     |                                                                            |
| ----------------------- | -------------------------------------------------------------------------- |
| VirtualAlloc            | Alocira memoriju (paketi)                                                 |
| VirtualProtect          | Menja dozvole memorije (paket daje dozvolu za izvršenje sekciji)          |
| ReadProcessMemory       | Injekcija u spoljne procese                                              |
| WriteProcessMemoryA/W   | Injekcija u spoljne procese                                              |
| NtWriteVirtualMemory    |                                                                            |
| CreateRemoteThread      | DLL/Injekcija procesa...                                                 |
| NtUnmapViewOfSection    |                                                                            |
| QueueUserAPC            |                                                                            |
| CreateProcessInternalA/W|                                                                            |

### Izvršenje

| Ime Funkcije     |
| ---------------- |
| CreateProcessA/W |
| ShellExecute     |
| WinExec          |
| ResumeThread     |
| NtResumeThread   |

### Razno

* GetAsyncKeyState() -- Snimanje tastera
* SetWindowsHookEx -- Snimanje tastera
* GetForeGroundWindow -- Dobijanje imena pokrenutog prozora (ili sajta iz pretraživača)
* LoadLibrary() -- Uvoz biblioteke
* GetProcAddress() -- Uvoz biblioteke
* CreateToolhelp32Snapshot() -- Lista pokrenutih procesa
* GetDC() -- Snimak ekrana
* BitBlt() -- Snimak ekrana
* InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Pristup internetu
* FindResource(), LoadResource(), LockResource() -- Pristup resursima iz izvršnog fajla

## Tehnike Malvera

### DLL Injekcija

Izvršava proizvoljnu DLL unutar drugog procesa

1. Locirajte proces za injektovanje zlonamerne DLL: CreateToolhelp32Snapshot, Process32First, Process32Next
2. Otvorite proces: GetModuleHandle, GetProcAddress, OpenProcess
3. Napišite putanju do DLL unutar procesa: VirtualAllocEx, WriteProcessMemory
4. Kreirajte nit u procesu koja će učitati zlonamernu DLL: CreateRemoteThread, LoadLibrary

Druge funkcije za korišćenje: NTCreateThreadEx, RtlCreateUserThread

### Reflektivna DLL Injekcija

Učitava zlonamernu DLL bez pozivanja normalnih Windows API poziva.\
DLL je mapiran unutar procesa, rešavaće adrese uvoza, popravljaće premeštanja i pozvaće funkciju DllMain.

### Preuzimanje Niti

Pronađite nit iz procesa i naterajte je da učita zlonamernu DLL

1. Pronađite ciljnu nit: CreateToolhelp32Snapshot, Thread32First, Thread32Next
2. Otvorite nit: OpenThread
3. Pauzirajte nit: SuspendThread
4. Napišite putanju do zlonamerne DLL unutar žrtvenog procesa: VirtualAllocEx, WriteProcessMemory
5. Nastavite nit koja učitava biblioteku: ResumeThread

### PE Injekcija

Injekcija Pokretne Izvršne Datoteke: Izvršna datoteka će biti napisana u memoriji žrtvenog procesa i izvršena odande.

### Procesno Ispraznjenje

Malver će ukloniti legitimni kod iz memorije procesa i učitati zlonamerni binarni fajl

1. Kreirajte novi proces: CreateProcess
2. Ispraznite memoriju: ZwUnmapViewOfSection, NtUnmapViewOfSection
3. Napišite zlonamerni binarni fajl u memoriju procesa: VirtualAllocEc, WriteProcessMemory
4. Postavite tačku ulaska i izvršite: SetThreadContext, ResumeThread

## Hakovanje

* **SSDT** (**Tabela Deskriptora Sistemskih Servisa**) pokazuje na funkcije jezgra (ntoskrnl.exe) ili GUI drajvera (win32k.sys) tako da korisnički procesi mogu pozvati ove funkcije.
* Rootkit može modifikovati ove pokazivače na adrese koje kontroliše
* **IRP** (**Paket zahteva za I/O**) prenose delove podataka iz jedne komponente u drugu. Skoro sve u jezgru koristi IRP-ove i svaki objekat uređaja ima svoju funkcionalnu tabelu koja može biti hakovana: DKOM (Direktno Manipulisanje Objektima Jezgra)
* **IAT** (**Tabela Adresa Uvoza**) je korisna za rešavanje zavisnosti. Moguće je hakovati ovu tabelu kako bi se preusmerio kod koji će biti pozvan.
* **EAT** (**Tabela Adresa Izvoza**) Hakovi. Ovi hakovi mogu biti urađeni iz **userland-a**. Cilj je hakovati izvožene funkcije od strane DLL-ova.
* **Inline Hakovi**: Ovaj tip je teško postići. Uključuje modifikovanje koda samih funkcija. Možda postavljanjem skoka na početku ovoga.