Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 21:24:06 +00:00

Translator bba81b55d4 Translated ['forensics/basic-forensic-methodology/partitions-file-system

2024-03-24 13:22:09 +00:00

9.5 KiB

Raw Blame History

Häufig verwendete APIs in Malware

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Generisch

Netzwerk

Raw Sockets	WinAPI Sockets
socket()	WSAStratup()
bind()	bind()
listen()	listen()
accept()	accept()
connect()	connect()
read()/recv()	recv()
write()	send()
shutdown()	WSACleanup()

Persistenz

Registry	Datei	Dienst
RegCreateKeyEx()	GetTempPath()	OpenSCManager
RegOpenKeyEx()	CopyFile()	CreateService()
RegSetValueEx()	CreateFile()	StartServiceCtrlDispatcher()
RegDeleteKeyEx()	WriteFile()
RegGetValue()	ReadFile()

Verschlüsselung

Name
WinCrypt
CryptAcquireContext()
CryptGenKey()
CryptDeriveKey()
CryptDecrypt()
CryptReleaseContext()

Anti-Analyse/VM

Funktionsname	Assemblerbefehle
IsDebuggerPresent()	CPUID()
GetSystemInfo()	IN()
GlobalMemoryStatusEx()
GetVersion()
CreateToolhelp32Snapshot [Überprüfen, ob ein Prozess läuft]
CreateFileW/A [Überprüfen, ob eine Datei existiert]

Tarnung

Name
VirtualAlloc	Speicher zuweisen (Packer)
VirtualProtect	Ändern der Speicherberechtigung (Packer, der einer Sektion Ausführungsberechtigung gibt)
ReadProcessMemory	Injektion in externe Prozesse
WriteProcessMemoryA/W	Injektion in externe Prozesse
NtWriteVirtualMemory
CreateRemoteThread	DLL-/Prozessinjektion...
NtUnmapViewOfSection
QueueUserAPC
CreateProcessInternalA/W

Ausführung

Funktionsname
CreateProcessA/W
ShellExecute
WinExec
ResumeThread
NtResumeThread

Sonstiges

GetAsyncKeyState() -- Tastenprotokollierung
SetWindowsHookEx -- Tastenprotokollierung
GetForeGroundWindow -- Name des aktiven Fensters abrufen (oder die Website eines Browsers)
LoadLibrary() -- Bibliothek importieren
GetProcAddress() -- Bibliothek importieren
CreateToolhelp32Snapshot() -- Liste der laufenden Prozesse
GetDC() -- Bildschirmfoto
BitBlt() -- Bildschirmfoto
InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- Zugriff auf das Internet
FindResource(), LoadResource(), LockResource() -- Ressourcen der ausführbaren Datei abrufen

Malware-Techniken

DLL-Injektion

Führen Sie eine beliebige DLL in einem anderen Prozess aus

Lokalisieren Sie den Prozess, um die bösartige DLL einzuspritzen: CreateToolhelp32Snapshot, Process32First, Process32Next
Öffnen Sie den Prozess: GetModuleHandle, GetProcAddress, OpenProcess
Schreiben Sie den Pfad zur DLL in den Prozess: VirtualAllocEx, WriteProcessMemory
Erstellen Sie einen Thread im Prozess, der die bösartige DLL laden wird: CreateRemoteThread, LoadLibrary

Andere zu verwendende Funktionen: NTCreateThreadEx, RtlCreateUserThread

Reflektierende DLL-Injektion

Laden Sie eine bösartige DLL, ohne normale Windows-API-Aufrufe zu tätigen.
Die DLL wird innerhalb eines Prozesses abgebildet, sie wird die Importadressen auflösen, die Relokationen beheben und die DllMain-Funktion aufrufen.

Thread-Hijacking

Finden Sie einen Thread eines Prozesses und lassen Sie ihn eine bösartige DLL laden

Finden Sie einen Zielthread: CreateToolhelp32Snapshot, Thread32First, Thread32Next
Öffnen Sie den Thread: OpenThread
Unterbrechen Sie den Thread: SuspendThread
Schreiben Sie den Pfad zur bösartigen DLL in den Opferprozess: VirtualAllocEx, WriteProcessMemory
Setzen Sie den Thread fort, der die Bibliothek lädt: ResumeThread

PE-Injektion

Portable Execution Injection: Die ausführbare Datei wird im Speicher des Opferprozesses geschrieben und von dort ausgeführt.

Prozess-Hollowing

Die Malware wird den legitimen Code aus dem Speicher des Prozesses entfernen und eine bösartige Binärdatei laden

Erstellen Sie einen neuen Prozess: CreateProcess
Entfernen Sie den Speicher: ZwUnmapViewOfSection, NtUnmapViewOfSection
Schreiben Sie die bösartige Binärdatei in den Prozessspeicher: VirtualAllocEc, WriteProcessMemory
Setzen Sie den Einstiegspunkt und führen Sie aus: SetThreadContext, ResumeThread

Hooking

Die SSDT (System Service Descriptor Table) zeigt auf Kernel-Funktionen (ntoskrnl.exe) oder GUI-Treiber (win32k.sys), damit Benutzerprozesse diese Funktionen aufrufen können.
Ein Rootkit kann diese Zeiger auf Adressen ändern, die er kontrolliert
IRP (I/O Request Packets) übertragen Datenstücke von einem Komponenten zum anderen. Fast alles im Kernel verwendet IRPs und jedes Geräteobjekt hat seine eigene Funktionstabelle, die gehookt werden kann: DKOM (Direct Kernel Object Manipulation)
Die IAT (Import Address Table) ist nützlich zur Auflösung von Abhängigkeiten. Es ist möglich, diese Tabelle zu hooken, um den Code zu kapern, der aufgerufen wird.
EAT (Export Address Table) Hooks. Diese Hooks können aus dem Userland heraus gemacht werden. Das Ziel ist es, exportierte Funktionen von DLLs zu hooken.
Inline Hooks: Dieser Typ ist schwer zu erreichen. Dies beinhaltet die Modifizierung des Codes der Funktionen selbst. Möglicherweise durch das Setzen eines Sprungs am Anfang davon.