🟢 شل معکوس (Reverse Shell)
مفهوم پوسته معکوس ، در واقع نوعی دسترسی به سیستم مورد هدف توسط هکر است که در آن خود سیستم هدف به هکر وصل میشود . به عبارتی سیستم هدف به سیستم هکر که در حال شنود است متصل میشود و یک دسترسی shell از خود در اختیار هکر میگذارد . هکر از طریق این shell میتواند دستورات دلخواه خود را روی سیستم هدف به اجرا در بیاورد .
https://mrpythonblog.ir/reverse-shells
#MalwareDevelopment #ReverseShells
🆔 : @mrpythonblog
مفهوم پوسته معکوس ، در واقع نوعی دسترسی به سیستم مورد هدف توسط هکر است که در آن خود سیستم هدف به هکر وصل میشود . به عبارتی سیستم هدف به سیستم هکر که در حال شنود است متصل میشود و یک دسترسی shell از خود در اختیار هکر میگذارد . هکر از طریق این shell میتواند دستورات دلخواه خود را روی سیستم هدف به اجرا در بیاورد .
https://mrpythonblog.ir/reverse-shells
#MalwareDevelopment #ReverseShells
🆔 : @mrpythonblog
🟢 تزریق کد کلاسیک (Code Injection)
تزریق کد (code injection) به سادگی یعنی وادار کردن یک پروسه دیگر به اجرای کد دلخواه ما . به عبارتی طی این فرایند ، یک پروسه (بد افزار) کد دلخواه خود را به پروسه ای دیگر تزریق کرده و موجب اجرای کد توسط پروسه هدف میشود .
https://mrpythonblog.ir/classic-code-injection
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
تزریق کد (code injection) به سادگی یعنی وادار کردن یک پروسه دیگر به اجرای کد دلخواه ما . به عبارتی طی این فرایند ، یک پروسه (بد افزار) کد دلخواه خود را به پروسه ای دیگر تزریق کرده و موجب اجرای کد توسط پروسه هدف میشود .
https://mrpythonblog.ir/classic-code-injection
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
🟢 تزریق DLL کلاسیک (DLL Injection)
تزریق DLL یکی از تکنیک های مرسوم برای اجرای کد دلخواه هکر ، توسط پروسه های عادی سیستم است . در این تکنیک هکر یک فایل DLL مخرب که حاوی کد های دلخواه او است را ساخته و سپس این فایل را به یک پروسه عادی سیستم تزریق میکند . این باعث میشود تا کد مخرب داخل DLL توسط آن پروسه اجرا شود . برای تزریق DLL ، روش های مختلفی وجود دارد و بوجود خواهد آمد !اما در این قسمت به روش کلاسیک و سنتی آن میپردازیم .
https://mrpythonblog.ir/classic-dll-injection
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
تزریق DLL یکی از تکنیک های مرسوم برای اجرای کد دلخواه هکر ، توسط پروسه های عادی سیستم است . در این تکنیک هکر یک فایل DLL مخرب که حاوی کد های دلخواه او است را ساخته و سپس این فایل را به یک پروسه عادی سیستم تزریق میکند . این باعث میشود تا کد مخرب داخل DLL توسط آن پروسه اجرا شود . برای تزریق DLL ، روش های مختلفی وجود دارد و بوجود خواهد آمد !اما در این قسمت به روش کلاسیک و سنتی آن میپردازیم .
https://mrpythonblog.ir/classic-dll-injection
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
🟢 تکنیک DLL Hijacking
در این قسمت به بررسی تکنیک DLL Hijacking میپردازیم . این تکنیک برای مقاصدی مثل ماندگاری (Persistence) ، افزایش سطح دسترسی (Privilege Escalation) و یا عبور از مکانیزم های امنیتی استفاده میشود .
https://mrpythonblog.ir/dll-hijacking
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
در این قسمت به بررسی تکنیک DLL Hijacking میپردازیم . این تکنیک برای مقاصدی مثل ماندگاری (Persistence) ، افزایش سطح دسترسی (Privilege Escalation) و یا عبور از مکانیزم های امنیتی استفاده میشود .
https://mrpythonblog.ir/dll-hijacking
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
🟢 پیدا کردن PID بر اساس اسم پروسه در C
هر برنامه یا فایل اجرایی ، وقتی در سیستم عامل اجرا شود یک پروسه (Process) به ازای آن ساخته شده است . به عبارتی پروسه ها برنامه های درحال اجرا هستند . سیستم عامل ها برای مدیریت این پروسه ها یک شناسه عددی به نام Process Identification (PID) به آن ها اختصاص میدهند. در اکثر حملات تزریق کد یا DLL ما نیاز به دانستن PID پروسه مقصد داریم . بنابراین حیاتی است که بتوانیم کدی بنویسیم که هوشمندانه PID پروسه های درحال اجرا در سیستم عامل را پیدا کند …
https://mrpythonblog.ir/find-pid-in-c
#MalwareDevelopment
🆔 : @mrpythonblog
هر برنامه یا فایل اجرایی ، وقتی در سیستم عامل اجرا شود یک پروسه (Process) به ازای آن ساخته شده است . به عبارتی پروسه ها برنامه های درحال اجرا هستند . سیستم عامل ها برای مدیریت این پروسه ها یک شناسه عددی به نام Process Identification (PID) به آن ها اختصاص میدهند. در اکثر حملات تزریق کد یا DLL ما نیاز به دانستن PID پروسه مقصد داریم . بنابراین حیاتی است که بتوانیم کدی بنویسیم که هوشمندانه PID پروسه های درحال اجرا در سیستم عامل را پیدا کند …
https://mrpythonblog.ir/find-pid-in-c
#MalwareDevelopment
🆔 : @mrpythonblog
🔴 آموزش تکنیک Disassembly Desynchronization
به کار بردن تکنیک Disassembly Desynchronization در یک بدافزار موجب میشود تا نرم افزار های Disassembler نتوانند به درستی کد باینری آن بدافزار را disassemble کنند . یک روش ضد مهندسی معکوس ایستا (anti static reversing) است که غالبا بدافزار ها برای سخت و پیچیده کردن پروسه مهندسی معکوس ایستا به کار میبرند . دقت کنید همانطور که گفته شد این روش فقط مهندسی معکوس ایستا را مورد هدف قرار میدهد و تاثیری در مهندسی معکوس پویا ندارد .
https://mrpythonblog.ir/disassembly-desynchronization
#MalwareDevelopment #AntiReversing
🆔 : @mrpythonblog
به کار بردن تکنیک Disassembly Desynchronization در یک بدافزار موجب میشود تا نرم افزار های Disassembler نتوانند به درستی کد باینری آن بدافزار را disassemble کنند . یک روش ضد مهندسی معکوس ایستا (anti static reversing) است که غالبا بدافزار ها برای سخت و پیچیده کردن پروسه مهندسی معکوس ایستا به کار میبرند . دقت کنید همانطور که گفته شد این روش فقط مهندسی معکوس ایستا را مورد هدف قرار میدهد و تاثیری در مهندسی معکوس پویا ندارد .
https://mrpythonblog.ir/disassembly-desynchronization
#MalwareDevelopment #AntiReversing
🆔 : @mrpythonblog
🔴 آموزش API Hooking در ویندوز
در اصل API Hooking تکنیکی هست که به وسیله ی اون میتونیم رفتار توابع API در سیستم عامل را برای یک پروسه خاص به دلخواه تغییر بدیم . در این ویدیو میبینیم این کار چطور انجام میشه (هم در ویندوز ۳۲ بیت و هم ۶۴ بیتی) . ابتدا به صورت دستی خودمون این تکنیک رو با استفاده از دیباگر x64dbg و ابزار Cheat Engine پیاده سازی میکنیم ، سپس کدی به زبان C مینویسیم که خودش خودکار اینکارو انجام بده .
Aparat : https://www.aparat.com/v/TN7j1
#MalwareDevelopment
🆔 : @mrpythonblog
در اصل API Hooking تکنیکی هست که به وسیله ی اون میتونیم رفتار توابع API در سیستم عامل را برای یک پروسه خاص به دلخواه تغییر بدیم . در این ویدیو میبینیم این کار چطور انجام میشه (هم در ویندوز ۳۲ بیت و هم ۶۴ بیتی) . ابتدا به صورت دستی خودمون این تکنیک رو با استفاده از دیباگر x64dbg و ابزار Cheat Engine پیاده سازی میکنیم ، سپس کدی به زبان C مینویسیم که خودش خودکار اینکارو انجام بده .
Aparat : https://www.aparat.com/v/TN7j1
#MalwareDevelopment
🆔 : @mrpythonblog
🟣 پیاده سازی APC Injection در C
تکنیک APC Injection یکی دیگر از روش های تزریق و اجرای کد در پروسه های دیگر است . در این پست به بررسی اینکه APC در ویندوز چیست و چگونه بدافزار ها از آن برای تزریق کد استفاده میکنند میپردازیم
https://mrpythonblog.ir/apc-injection
#MalwareDevelopment
🆔 : @mrpythonblog
تکنیک APC Injection یکی دیگر از روش های تزریق و اجرای کد در پروسه های دیگر است . در این پست به بررسی اینکه APC در ویندوز چیست و چگونه بدافزار ها از آن برای تزریق کد استفاده میکنند میپردازیم
https://mrpythonblog.ir/apc-injection
#MalwareDevelopment
🆔 : @mrpythonblog
🟣 تزریق کد بوسیله تکنیک RWX-Memory Hunting
تکنیک RWX-Memory Hunting روشی بسیار ساده برای تزریق کد به پروسه های دیگر است . همانطور که از اسم این تکنیک بر می آید ، به حافظه کل پروسه های سیستم سرک میکشیم ، به محض اینکه یک قسمت از حافظه در پروسه دیگری با حالت RWX ( قابل خواندن ، نوشتن و اجرا کردن) پیدا کردیم ، یک shellcode درون آن مینویسیم و یک thread برای اجرای آن shellcode میسازیم (دقیقا کاری که در “تزریق کد کلاسیک” انجام میدادیم) .
https://mrpythonblog.ir/rwx-memory-hunting/
#MalwareDevelopment
🆔 : @mrpythonblog
تکنیک RWX-Memory Hunting روشی بسیار ساده برای تزریق کد به پروسه های دیگر است . همانطور که از اسم این تکنیک بر می آید ، به حافظه کل پروسه های سیستم سرک میکشیم ، به محض اینکه یک قسمت از حافظه در پروسه دیگری با حالت RWX ( قابل خواندن ، نوشتن و اجرا کردن) پیدا کردیم ، یک shellcode درون آن مینویسیم و یک thread برای اجرای آن shellcode میسازیم (دقیقا کاری که در “تزریق کد کلاسیک” انجام میدادیم) .
https://mrpythonblog.ir/rwx-memory-hunting/
#MalwareDevelopment
🆔 : @mrpythonblog