🟢 شل معکوس (Reverse Shell)
مفهوم پوسته معکوس ، در واقع نوعی دسترسی به سیستم مورد هدف توسط هکر است که در آن خود سیستم هدف به هکر وصل میشود . به عبارتی سیستم هدف به سیستم هکر که در حال شنود است متصل میشود و یک دسترسی shell از خود در اختیار هکر میگذارد . هکر از طریق این shell میتواند دستورات دلخواه خود را روی سیستم هدف به اجرا در بیاورد .
https://mrpythonblog.ir/reverse-shells
#MalwareDevelopment #ReverseShells
🆔 : @mrpythonblog
مفهوم پوسته معکوس ، در واقع نوعی دسترسی به سیستم مورد هدف توسط هکر است که در آن خود سیستم هدف به هکر وصل میشود . به عبارتی سیستم هدف به سیستم هکر که در حال شنود است متصل میشود و یک دسترسی shell از خود در اختیار هکر میگذارد . هکر از طریق این shell میتواند دستورات دلخواه خود را روی سیستم هدف به اجرا در بیاورد .
https://mrpythonblog.ir/reverse-shells
#MalwareDevelopment #ReverseShells
🆔 : @mrpythonblog
👍5🔥4
🟢 تزریق کد کلاسیک (Code Injection)
تزریق کد (code injection) به سادگی یعنی وادار کردن یک پروسه دیگر به اجرای کد دلخواه ما . به عبارتی طی این فرایند ، یک پروسه (بد افزار) کد دلخواه خود را به پروسه ای دیگر تزریق کرده و موجب اجرای کد توسط پروسه هدف میشود .
https://mrpythonblog.ir/classic-code-injection
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
تزریق کد (code injection) به سادگی یعنی وادار کردن یک پروسه دیگر به اجرای کد دلخواه ما . به عبارتی طی این فرایند ، یک پروسه (بد افزار) کد دلخواه خود را به پروسه ای دیگر تزریق کرده و موجب اجرای کد توسط پروسه هدف میشود .
https://mrpythonblog.ir/classic-code-injection
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
👍5👏1
🟢 تزریق DLL کلاسیک (DLL Injection)
تزریق DLL یکی از تکنیک های مرسوم برای اجرای کد دلخواه هکر ، توسط پروسه های عادی سیستم است . در این تکنیک هکر یک فایل DLL مخرب که حاوی کد های دلخواه او است را ساخته و سپس این فایل را به یک پروسه عادی سیستم تزریق میکند . این باعث میشود تا کد مخرب داخل DLL توسط آن پروسه اجرا شود . برای تزریق DLL ، روش های مختلفی وجود دارد و بوجود خواهد آمد !اما در این قسمت به روش کلاسیک و سنتی آن میپردازیم .
https://mrpythonblog.ir/classic-dll-injection
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
تزریق DLL یکی از تکنیک های مرسوم برای اجرای کد دلخواه هکر ، توسط پروسه های عادی سیستم است . در این تکنیک هکر یک فایل DLL مخرب که حاوی کد های دلخواه او است را ساخته و سپس این فایل را به یک پروسه عادی سیستم تزریق میکند . این باعث میشود تا کد مخرب داخل DLL توسط آن پروسه اجرا شود . برای تزریق DLL ، روش های مختلفی وجود دارد و بوجود خواهد آمد !اما در این قسمت به روش کلاسیک و سنتی آن میپردازیم .
https://mrpythonblog.ir/classic-dll-injection
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
👍4🙏1
🟢 تکنیک DLL Hijacking
در این قسمت به بررسی تکنیک DLL Hijacking میپردازیم . این تکنیک برای مقاصدی مثل ماندگاری (Persistence) ، افزایش سطح دسترسی (Privilege Escalation) و یا عبور از مکانیزم های امنیتی استفاده میشود .
https://mrpythonblog.ir/dll-hijacking
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
در این قسمت به بررسی تکنیک DLL Hijacking میپردازیم . این تکنیک برای مقاصدی مثل ماندگاری (Persistence) ، افزایش سطح دسترسی (Privilege Escalation) و یا عبور از مکانیزم های امنیتی استفاده میشود .
https://mrpythonblog.ir/dll-hijacking
#MalwareDevelopment #CodeInjection
🆔 : @mrpythonblog
👍3
🟢 پیدا کردن PID بر اساس اسم پروسه در C
هر برنامه یا فایل اجرایی ، وقتی در سیستم عامل اجرا شود یک پروسه (Process) به ازای آن ساخته شده است . به عبارتی پروسه ها برنامه های درحال اجرا هستند . سیستم عامل ها برای مدیریت این پروسه ها یک شناسه عددی به نام Process Identification (PID) به آن ها اختصاص میدهند. در اکثر حملات تزریق کد یا DLL ما نیاز به دانستن PID پروسه مقصد داریم . بنابراین حیاتی است که بتوانیم کدی بنویسیم که هوشمندانه PID پروسه های درحال اجرا در سیستم عامل را پیدا کند …
https://mrpythonblog.ir/find-pid-in-c
#MalwareDevelopment
🆔 : @mrpythonblog
هر برنامه یا فایل اجرایی ، وقتی در سیستم عامل اجرا شود یک پروسه (Process) به ازای آن ساخته شده است . به عبارتی پروسه ها برنامه های درحال اجرا هستند . سیستم عامل ها برای مدیریت این پروسه ها یک شناسه عددی به نام Process Identification (PID) به آن ها اختصاص میدهند. در اکثر حملات تزریق کد یا DLL ما نیاز به دانستن PID پروسه مقصد داریم . بنابراین حیاتی است که بتوانیم کدی بنویسیم که هوشمندانه PID پروسه های درحال اجرا در سیستم عامل را پیدا کند …
https://mrpythonblog.ir/find-pid-in-c
#MalwareDevelopment
🆔 : @mrpythonblog
👍4
🔴 آموزش تکنیک Disassembly Desynchronization
به کار بردن تکنیک Disassembly Desynchronization در یک بدافزار موجب میشود تا نرم افزار های Disassembler نتوانند به درستی کد باینری آن بدافزار را disassemble کنند . یک روش ضد مهندسی معکوس ایستا (anti static reversing) است که غالبا بدافزار ها برای سخت و پیچیده کردن پروسه مهندسی معکوس ایستا به کار میبرند . دقت کنید همانطور که گفته شد این روش فقط مهندسی معکوس ایستا را مورد هدف قرار میدهد و تاثیری در مهندسی معکوس پویا ندارد .
https://mrpythonblog.ir/disassembly-desynchronization
#MalwareDevelopment #AntiReversing
🆔 : @mrpythonblog
به کار بردن تکنیک Disassembly Desynchronization در یک بدافزار موجب میشود تا نرم افزار های Disassembler نتوانند به درستی کد باینری آن بدافزار را disassemble کنند . یک روش ضد مهندسی معکوس ایستا (anti static reversing) است که غالبا بدافزار ها برای سخت و پیچیده کردن پروسه مهندسی معکوس ایستا به کار میبرند . دقت کنید همانطور که گفته شد این روش فقط مهندسی معکوس ایستا را مورد هدف قرار میدهد و تاثیری در مهندسی معکوس پویا ندارد .
https://mrpythonblog.ir/disassembly-desynchronization
#MalwareDevelopment #AntiReversing
🆔 : @mrpythonblog
👍7👏2
🔴 آموزش API Hooking در ویندوز
در اصل API Hooking تکنیکی هست که به وسیله ی اون میتونیم رفتار توابع API در سیستم عامل را برای یک پروسه خاص به دلخواه تغییر بدیم . در این ویدیو میبینیم این کار چطور انجام میشه (هم در ویندوز ۳۲ بیت و هم ۶۴ بیتی) . ابتدا به صورت دستی خودمون این تکنیک رو با استفاده از دیباگر x64dbg و ابزار Cheat Engine پیاده سازی میکنیم ، سپس کدی به زبان C مینویسیم که خودش خودکار اینکارو انجام بده .
Aparat : https://www.aparat.com/v/TN7j1
#MalwareDevelopment
🆔 : @mrpythonblog
در اصل API Hooking تکنیکی هست که به وسیله ی اون میتونیم رفتار توابع API در سیستم عامل را برای یک پروسه خاص به دلخواه تغییر بدیم . در این ویدیو میبینیم این کار چطور انجام میشه (هم در ویندوز ۳۲ بیت و هم ۶۴ بیتی) . ابتدا به صورت دستی خودمون این تکنیک رو با استفاده از دیباگر x64dbg و ابزار Cheat Engine پیاده سازی میکنیم ، سپس کدی به زبان C مینویسیم که خودش خودکار اینکارو انجام بده .
Aparat : https://www.aparat.com/v/TN7j1
#MalwareDevelopment
🆔 : @mrpythonblog
👍8❤2
🟣 پیاده سازی APC Injection در C
تکنیک APC Injection یکی دیگر از روش های تزریق و اجرای کد در پروسه های دیگر است . در این پست به بررسی اینکه APC در ویندوز چیست و چگونه بدافزار ها از آن برای تزریق کد استفاده میکنند میپردازیم
https://mrpythonblog.ir/apc-injection
#MalwareDevelopment
🆔 : @mrpythonblog
تکنیک APC Injection یکی دیگر از روش های تزریق و اجرای کد در پروسه های دیگر است . در این پست به بررسی اینکه APC در ویندوز چیست و چگونه بدافزار ها از آن برای تزریق کد استفاده میکنند میپردازیم
https://mrpythonblog.ir/apc-injection
#MalwareDevelopment
🆔 : @mrpythonblog
🤩7🔥5❤2😢2
🟣 تزریق کد بوسیله تکنیک RWX-Memory Hunting
تکنیک RWX-Memory Hunting روشی بسیار ساده برای تزریق کد به پروسه های دیگر است . همانطور که از اسم این تکنیک بر می آید ، به حافظه کل پروسه های سیستم سرک میکشیم ، به محض اینکه یک قسمت از حافظه در پروسه دیگری با حالت RWX ( قابل خواندن ، نوشتن و اجرا کردن) پیدا کردیم ، یک shellcode درون آن مینویسیم و یک thread برای اجرای آن shellcode میسازیم (دقیقا کاری که در “تزریق کد کلاسیک” انجام میدادیم) .
https://mrpythonblog.ir/rwx-memory-hunting/
#MalwareDevelopment
🆔 : @mrpythonblog
تکنیک RWX-Memory Hunting روشی بسیار ساده برای تزریق کد به پروسه های دیگر است . همانطور که از اسم این تکنیک بر می آید ، به حافظه کل پروسه های سیستم سرک میکشیم ، به محض اینکه یک قسمت از حافظه در پروسه دیگری با حالت RWX ( قابل خواندن ، نوشتن و اجرا کردن) پیدا کردیم ، یک shellcode درون آن مینویسیم و یک thread برای اجرای آن shellcode میسازیم (دقیقا کاری که در “تزریق کد کلاسیک” انجام میدادیم) .
https://mrpythonblog.ir/rwx-memory-hunting/
#MalwareDevelopment
🆔 : @mrpythonblog
👍2
🔴 ساخت KeyLogger ویندوزی با استفاده از Hooking
در این قسمت به بررسی یکی دیگر از روش های مرسوم ساخت کیلاگر های ویندوزی خواهیم پرداخت . اگر مشاهده کرده باشید در یکی از ویدیو های قبلی بررسی کردیم یکی از روش های ساخت کیلاگر استفاده از تابع GetAsyncKeyState بود . در این روش از مکانیزم Hooking ویندوز برای ساخت کیلاگر استفاده میکنیم .
Aparat : https://www.aparat.com/v/cbuf1lv
#MalwareDevelopment
🆔 : @MrPythonBlog | BOOST
در این قسمت به بررسی یکی دیگر از روش های مرسوم ساخت کیلاگر های ویندوزی خواهیم پرداخت . اگر مشاهده کرده باشید در یکی از ویدیو های قبلی بررسی کردیم یکی از روش های ساخت کیلاگر استفاده از تابع GetAsyncKeyState بود . در این روش از مکانیزم Hooking ویندوز برای ساخت کیلاگر استفاده میکنیم .
Aparat : https://www.aparat.com/v/cbuf1lv
#MalwareDevelopment
🆔 : @MrPythonBlog | BOOST
🙏8❤1👍1👏1
تزریق کد (Code Injection) در مبحث توسعه بدافزار ها ، شامل مجموعه ای از تکنیک ها و روش ها جهت اجرای تکه کدی دلخواه (مخرب) در پروسه های دیگر سیستم است . به اینکار اصطلاحا تزریق کد (به پروسه های دیگر) گفته میشود . این روش ها باعث میشوند تا کد دلخواه هکر توسط پروسه های دیگر اجرا شود و این کار مزیت هایی از جمله ماندگاری ، پنهان ماندن و دور زدن آنتی ویروس ها را خواهد داشت .
پست های آموزشی مربوط به تکنیک های تزریق کد در مسترپایتون :
- تزریق کد کلاسیک (Code Injection)
- تزریق DLL کلاسیک (DLL Injection)
- پیاده سازی APC Injection
- تزریق کد به وسیله تکنیک RWX-Memory Hunting
- تکنیک DLL Hijacking
- تکنیک Thread Hijacking
#MalwareDevelopment #CodeInjection
🆔 : @MrPythonBlog | BOOST
پست های آموزشی مربوط به تکنیک های تزریق کد در مسترپایتون :
- تزریق کد کلاسیک (Code Injection)
- تزریق DLL کلاسیک (DLL Injection)
- پیاده سازی APC Injection
- تزریق کد به وسیله تکنیک RWX-Memory Hunting
- تکنیک DLL Hijacking
- تکنیک Thread Hijacking
#MalwareDevelopment #CodeInjection
🆔 : @MrPythonBlog | BOOST
❤5😁3👍2
🔴 سرشماری اطلاعات با تابع CreateToolhelp32Snapshot
برای پیاده سازی بسیاری از حملات تزریق کد در توسعه بدافزار ها ، نیاز داریم تا Process ها , Thread ها یا ماژول های یک پروسه در سیستم عامل ویندوز را سرشماری کنیم . تابع CreateToolhelp32Snapshot به ما اجازه میدهد تا اینگونه موارد و حافظه های Heap موجود در سیستم ویندوزی را سرشماری کنیم .در این پست چگونگی استفاده از این تابع برای این منظور را یاد خواهیم گرفت و در حملات آینده از آن استفاده خواهیم کرد .
https://mrpythonblog.ir/enumerating-using-createtoolhelp32snapshot/
#MalwareDevelopment
🆔 : @MrPythonBlog | BOOST
برای پیاده سازی بسیاری از حملات تزریق کد در توسعه بدافزار ها ، نیاز داریم تا Process ها , Thread ها یا ماژول های یک پروسه در سیستم عامل ویندوز را سرشماری کنیم . تابع CreateToolhelp32Snapshot به ما اجازه میدهد تا اینگونه موارد و حافظه های Heap موجود در سیستم ویندوزی را سرشماری کنیم .در این پست چگونگی استفاده از این تابع برای این منظور را یاد خواهیم گرفت و در حملات آینده از آن استفاده خواهیم کرد .
https://mrpythonblog.ir/enumerating-using-createtoolhelp32snapshot/
#MalwareDevelopment
🆔 : @MrPythonBlog | BOOST
👍6👏2
🔴 تزریق کد با تکنیک Thread Hijacking
نخ ها واحد های اجرایی در پروسه ها و در هر پروسه در حال اجرا ، حداقل یک نخ (Thread) اجرایی وجود دارد . یکی از روش های مرسوم تزریق کد به نام Thread Hijacking به این روش عمل میکند که بدافزار یکی از نخ های در حال اجرا در پروسه هدف را وادار به اجرای کد دلخواه میکند . این روش با تغییر مقدار ثبات EIP یا RIP در نخ مربوطه انجام میشود . همانطور که میدانید ثبات EIP (در معماری x86) یا RIP (در معماری x86-64) یک ثبات ۳۲ یا ۶۴ بیتی است که حاوی آدرس دستورالعمل بعدی در حافظه است که پردازنده اجرا خواهد کرد حال اگر ما مقدار این ثبات را طوری تغییر دهیم که به کد دلخواه ما اشاره کند در نتیجه دستورالعمل های بعدی که پردازنده اجرا خواهد کرد ، کد ما خواهد بود .
Link : https://mrpythonblog.ir/thread-hijacking/
#MalwareDevelopment
🆔 : @MrPythonBlog | BOOST
نخ ها واحد های اجرایی در پروسه ها و در هر پروسه در حال اجرا ، حداقل یک نخ (Thread) اجرایی وجود دارد . یکی از روش های مرسوم تزریق کد به نام Thread Hijacking به این روش عمل میکند که بدافزار یکی از نخ های در حال اجرا در پروسه هدف را وادار به اجرای کد دلخواه میکند . این روش با تغییر مقدار ثبات EIP یا RIP در نخ مربوطه انجام میشود . همانطور که میدانید ثبات EIP (در معماری x86) یا RIP (در معماری x86-64) یک ثبات ۳۲ یا ۶۴ بیتی است که حاوی آدرس دستورالعمل بعدی در حافظه است که پردازنده اجرا خواهد کرد حال اگر ما مقدار این ثبات را طوری تغییر دهیم که به کد دلخواه ما اشاره کند در نتیجه دستورالعمل های بعدی که پردازنده اجرا خواهد کرد ، کد ما خواهد بود .
Link : https://mrpythonblog.ir/thread-hijacking/
#MalwareDevelopment
🆔 : @MrPythonBlog | BOOST
❤6👍1🥰1
🟣 تزریق DLL با استفاده از کلید رجیستری Appinit_DLLs
در این ویدیو یکی دیگر از روش های تزریق DLL را یاد میگیریم که با استفاده از تغییر رجیستری انجام میشه . مزیت این روش نسبت به روش های دیگر تزریق DLL در این هست که به محض پیاده سازی آن ، DLL دلخواه ما به تمام پروسه های ویندوز که پس از آن ساخته میشوند به طور خودکار تزریق میشود و درنتیجه با استفاده از آن برای مثال میتوانیم تکنیک هایی مثل API Hooking را برای تمامی پروسه های تازه سیستم انجام دهیم ....
در این ویدیو با استفاده از تزریق DLL با این روش ، یک payload از نوع reverse_shell در سیستم قربانی اجرا میکنیم و به خط فرمان آن دسترسی پیدا میکنیم .
Aparat : https://www.aparat.com/v/jemq967
#MalwareDevelopment #CodeInjection
🆔 : @MrPythonBlog | BOOST
در این ویدیو یکی دیگر از روش های تزریق DLL را یاد میگیریم که با استفاده از تغییر رجیستری انجام میشه . مزیت این روش نسبت به روش های دیگر تزریق DLL در این هست که به محض پیاده سازی آن ، DLL دلخواه ما به تمام پروسه های ویندوز که پس از آن ساخته میشوند به طور خودکار تزریق میشود و درنتیجه با استفاده از آن برای مثال میتوانیم تکنیک هایی مثل API Hooking را برای تمامی پروسه های تازه سیستم انجام دهیم ....
در این ویدیو با استفاده از تزریق DLL با این روش ، یک payload از نوع reverse_shell در سیستم قربانی اجرا میکنیم و به خط فرمان آن دسترسی پیدا میکنیم .
Aparat : https://www.aparat.com/v/jemq967
#MalwareDevelopment #CodeInjection
🆔 : @MrPythonBlog | BOOST
👍9🔥2
🟣 بهره گیری از بخش Resource فایل های PE در بدافزارها
همانطور که میدانید ساختار اصلی فایل های اجرایی در سیستم عامل ویندوز ، ساختار PE میباشد . این ساختار شامل بخش های مختلف برای نگهداری انواع مختلف اطلاعات میباشد . مثلا بخشی به نام text. برای نگهداری کد های ماشین فایل اجرایی ، بخشی به نام idata. برای نگهداری اطلاعات مربوط به واردات (Imports) فایل و .... یکی از بخش های بسیار مهم فایل های PE که در توسعه بدافزار ها به شدت استفاده میشود بخش Resource ها میباشد . برنامه نویس یا بدافزار نویس میتواند هرنوع اطلاعات دلخواهی را در این بخش ذخیره کند و حین اجرا آن اطلاعات را به دلخواه استخراج کرده و از آن ها استفاده کند .
در این ویدیو نحوه کار با توابع Windows API جهت استفاده از Resource ها را یاد گرفته و برای مثال بدافزاری مینویسیم که یک پیلود reverse shell را در زمان اجرا از بخش resource های خود استخراج کرده و آن را اجرا میکند .
Aparat : https://www.aparat.com/v/jdj8t55
#MalwareDevelopment
🆔 : @MrPythonBlog | BOOST
همانطور که میدانید ساختار اصلی فایل های اجرایی در سیستم عامل ویندوز ، ساختار PE میباشد . این ساختار شامل بخش های مختلف برای نگهداری انواع مختلف اطلاعات میباشد . مثلا بخشی به نام text. برای نگهداری کد های ماشین فایل اجرایی ، بخشی به نام idata. برای نگهداری اطلاعات مربوط به واردات (Imports) فایل و .... یکی از بخش های بسیار مهم فایل های PE که در توسعه بدافزار ها به شدت استفاده میشود بخش Resource ها میباشد . برنامه نویس یا بدافزار نویس میتواند هرنوع اطلاعات دلخواهی را در این بخش ذخیره کند و حین اجرا آن اطلاعات را به دلخواه استخراج کرده و از آن ها استفاده کند .
در این ویدیو نحوه کار با توابع Windows API جهت استفاده از Resource ها را یاد گرفته و برای مثال بدافزاری مینویسیم که یک پیلود reverse shell را در زمان اجرا از بخش resource های خود استخراج کرده و آن را اجرا میکند .
Aparat : https://www.aparat.com/v/jdj8t55
#MalwareDevelopment
🆔 : @MrPythonBlog | BOOST
❤3