HackTricks常见的恶意软件使用的API
Reading time: 5 minutes
tip
学习和实践 AWS 黑客技术:
HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:
HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
通用
网络
| 原始套接字 | WinAPI 套接字 |
|---|---|
| socket() | WSAStratup() |
| bind() | bind() |
| listen() | listen() |
| accept() | accept() |
| connect() | connect() |
| read()/recv() | recv() |
| write() | send() |
| shutdown() | WSACleanup() |
持久性
| 注册表 | 文件 | 服务 |
|---|---|---|
| RegCreateKeyEx() | GetTempPath() | OpenSCManager |
| RegOpenKeyEx() | CopyFile() | CreateService() |
| RegSetValueEx() | CreateFile() | StartServiceCtrlDispatcher() |
| RegDeleteKeyEx() | WriteFile() | |
| RegGetValue() | ReadFile() |
加密
| 名称 |
|---|
| WinCrypt |
| CryptAcquireContext() |
| CryptGenKey() |
| CryptDeriveKey() |
| CryptDecrypt() |
| CryptReleaseContext() |
反分析/虚拟机
| 函数名称 | 汇编指令 |
|---|---|
| IsDebuggerPresent() | CPUID() |
| GetSystemInfo() | IN() |
| GlobalMemoryStatusEx() | |
| GetVersion() | |
| CreateToolhelp32Snapshot [检查进程是否在运行] | |
| CreateFileW/A [检查文件是否存在] |
隐匿
| 名称 | |
|---|---|
| VirtualAlloc | 分配内存 (打包器) |
| VirtualProtect | 更改内存权限 (打包器给予某个部分执行权限) |
| ReadProcessMemory | 注入到外部进程 |
| WriteProcessMemoryA/W | 注入到外部进程 |
| NtWriteVirtualMemory | |
| CreateRemoteThread | DLL/进程注入... |
| NtUnmapViewOfSection | |
| QueueUserAPC | |
| CreateProcessInternalA/W |
执行
| 函数名称 |
|---|
| CreateProcessA/W |
| ShellExecute |
| WinExec |
| ResumeThread |
| NtResumeThread |
其他
- GetAsyncKeyState() -- 按键记录
- SetWindowsHookEx -- 按键记录
- GetForeGroundWindow -- 获取运行窗口名称 (或浏览器中的网站)
- LoadLibrary() -- 导入库
- GetProcAddress() -- 导入库
- CreateToolhelp32Snapshot() -- 列出运行中的进程
- GetDC() -- 截图
- BitBlt() -- 截图
- InternetOpen(), InternetOpenUrl(), InternetReadFile(), InternetWriteFile() -- 访问互联网
- FindResource(), LoadResource(), LockResource() -- 访问可执行文件的资源
恶意软件技术
DLL 注入
在另一个进程中执行任意 DLL
- 定位要注入恶意 DLL 的进程:CreateToolhelp32Snapshot, Process32First, Process32Next
- 打开进程:GetModuleHandle, GetProcAddress, OpenProcess
- 在进程中写入 DLL 的路径:VirtualAllocEx, WriteProcessMemory
- 在进程中创建一个线程以加载恶意 DLL:CreateRemoteThread, LoadLibrary
其他可用函数:NTCreateThreadEx, RtlCreateUserThread
反射 DLL 注入
在不调用正常 Windows API 调用的情况下加载恶意 DLL。
DLL 在进程中映射,它将解析导入地址,修复重定位并调用 DllMain 函数。
线程劫持
从进程中找到一个线程并使其加载恶意 DLL
- 找到目标线程:CreateToolhelp32Snapshot, Thread32First, Thread32Next
- 打开线程:OpenThread
- 暂停线程:SuspendThread
- 在受害者进程中写入恶意 DLL 的路径:VirtualAllocEx, WriteProcessMemory
- 恢复加载库的线程:ResumeThread
PE 注入
可移植执行注入:可执行文件将被写入受害者进程的内存中,并从那里执行。
进程空洞化
恶意软件将从进程的内存中取消映射合法代码并加载恶意二进制文件
- 创建一个新进程:CreateProcess
- 取消映射内存:ZwUnmapViewOfSection, NtUnmapViewOfSection
- 在进程内存中写入恶意二进制文件:VirtualAllocEc, WriteProcessMemory
- 设置入口点并执行:SetThreadContext, ResumeThread
钩子
- SSDT (系统服务描述符表) 指向内核函数 (ntoskrnl.exe) 或 GUI 驱动程序 (win32k.sys),以便用户进程可以调用这些函数。
- 根套件可能会修改这些指针以指向他控制的地址
- IRP (I/O 请求包) 将数据片段从一个组件传输到另一个组件。几乎所有内核中的内容都使用 IRP,每个设备对象都有自己的函数表,可以被钩住:DKOM (直接内核对象操作)
- IAT (导入地址表) 对于解析依赖关系非常有用。可以钩住此表以劫持将被调用的代码。
- EAT (导出地址表) 钩子。此钩子可以从 用户空间 完成。目标是钩住 DLL 导出的函数。
- 内联钩子:这种类型很难实现。这涉及到修改函数本身的代码。可能通过在开头放置一个跳转来实现。
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。