🟢 بررسی پروتکل Diffie Hellman و ریاضیات آن
یکی از مشکلاتی که الگوریتم های رمزنگاری متقارن دارن ، بحث تبادل کلیدشونه . این مشکل وقتی خیلی به چشم میاد که دو طرف ارتباط خیلی از هم دور باشن و مجبور باشن از طریق اینترنت یا ... سر یه کلید توافق کنن . مشکل اینجاست که ممکنه کسی اون وسط بتونه کلیدشون رو شنود کنه . دیفی هلمن اومده که این مشکلو حل کنه . یه الگوریتم ریاضیاتی که دو طرف ارتباط با استفاده از اون سر یک کلید یکسان توافق میکنن بدون اینکه با شنود ارتباط بین اونا بشه فهمید اون کلیده چی بوده !! :)
در این ویدیو ابتدا پیشنیاز های ریاضیاتی دیفی هلمن رو مطرح میکنیم ، یک سری قضیه اثبات میکنیم و سپس با استفاده از اون قضایا خیلی راحت دیفی هلمن رو درک میکنیم ... با ما همراه باشید :)
Aparat : https://www.aparat.com/v/CgS6U
#Cryptography
🆔 : @mrpythonblog
یکی از مشکلاتی که الگوریتم های رمزنگاری متقارن دارن ، بحث تبادل کلیدشونه . این مشکل وقتی خیلی به چشم میاد که دو طرف ارتباط خیلی از هم دور باشن و مجبور باشن از طریق اینترنت یا ... سر یه کلید توافق کنن . مشکل اینجاست که ممکنه کسی اون وسط بتونه کلیدشون رو شنود کنه . دیفی هلمن اومده که این مشکلو حل کنه . یه الگوریتم ریاضیاتی که دو طرف ارتباط با استفاده از اون سر یک کلید یکسان توافق میکنن بدون اینکه با شنود ارتباط بین اونا بشه فهمید اون کلیده چی بوده !! :)
در این ویدیو ابتدا پیشنیاز های ریاضیاتی دیفی هلمن رو مطرح میکنیم ، یک سری قضیه اثبات میکنیم و سپس با استفاده از اون قضایا خیلی راحت دیفی هلمن رو درک میکنیم ... با ما همراه باشید :)
Aparat : https://www.aparat.com/v/CgS6U
#Cryptography
🆔 : @mrpythonblog
👍11
🔴 ساختار فایل PE قسمت ۲ – Section ها
در قسمت قبلی مجموعه ساختار فایل های PE ، به بررسی بخش DOS HEADER & DOS STUB و NT HEADERS در فایل های PE پرداختیم . در این قسمت به بررسی Section های یک فایل PE خواهیم پرداخت .
https://mrpythonblog.ir/pe2
#pe
🆔 : @mrpythonblog
در قسمت قبلی مجموعه ساختار فایل های PE ، به بررسی بخش DOS HEADER & DOS STUB و NT HEADERS در فایل های PE پرداختیم . در این قسمت به بررسی Section های یک فایل PE خواهیم پرداخت .
https://mrpythonblog.ir/pe2
#pe
🆔 : @mrpythonblog
🔥9
🔴 ساختار فایل PE قسمت ۳ – صادرات (Exports)
در سیستم عامل ویندوز ، فایل های PE میتوانند توابعی را صادر (export) کنند تا فایل های PE دیگر از طریق وارد (import) کردن ، از آن ها استفاده کنند . این رفتار را اغلب در فایل های DLL مشاهده میکنیم ولی در واقعیت هر فایل PE حتی فایل های اجرایی میتوانند export هایی داشته باشند .
https://mrpythonblog.ir/pe3
#pe
🆔 : @mrpythonblog
در سیستم عامل ویندوز ، فایل های PE میتوانند توابعی را صادر (export) کنند تا فایل های PE دیگر از طریق وارد (import) کردن ، از آن ها استفاده کنند . این رفتار را اغلب در فایل های DLL مشاهده میکنیم ولی در واقعیت هر فایل PE حتی فایل های اجرایی میتوانند export هایی داشته باشند .
https://mrpythonblog.ir/pe3
#pe
🆔 : @mrpythonblog
❤7👍3🥰1
#معرفی_منبع
The Ghidra Book : The Definitive Guide
این کتاب یکی از کامل ترین و بهترین منابع برای یادگیری Ghidra هستش .
گیدرا یک نرم افزار جامع جهت مهندسی معکوس نرم افزار هستش که برخی از نکات مثبتش که در تجربه شخصی دیدم به شرح زیر هستند :
- پشتیبانی از طیف وسیعی از معماری های پردازنده ها و فرمت فایل ها
- دارای Decompiler کد C
- دارای Disassembler خوب و قابل قبول
- قابلیت اتوماسیون و اسکریپت نویسی به زبان های جاوا و پایتون
- چند سکویی بودن و قابل اجرا در سیستم عامل های Windows , Linux و Mac
و هزاران ابزار و قابلیت خوب دیگر
این کتاب علاوه بر آموزش خود گیدرا ، یکسری از تکنیک های مهندسی معکوس رو هم به شما یاد میده و در بخشای عملی از اونا استفاده میکنه که این خیلی خوبه
🆔 : @mrpythonblog
The Ghidra Book : The Definitive Guide
این کتاب یکی از کامل ترین و بهترین منابع برای یادگیری Ghidra هستش .
گیدرا یک نرم افزار جامع جهت مهندسی معکوس نرم افزار هستش که برخی از نکات مثبتش که در تجربه شخصی دیدم به شرح زیر هستند :
- پشتیبانی از طیف وسیعی از معماری های پردازنده ها و فرمت فایل ها
- دارای Decompiler کد C
- دارای Disassembler خوب و قابل قبول
- قابلیت اتوماسیون و اسکریپت نویسی به زبان های جاوا و پایتون
- چند سکویی بودن و قابل اجرا در سیستم عامل های Windows , Linux و Mac
و هزاران ابزار و قابلیت خوب دیگر
این کتاب علاوه بر آموزش خود گیدرا ، یکسری از تکنیک های مهندسی معکوس رو هم به شما یاد میده و در بخشای عملی از اونا استفاده میکنه که این خیلی خوبه
🆔 : @mrpythonblog
❤9👍3🎉1
#معرفی_منبع
معرفی سه تا سایت باحال :
1⃣ https://malapi.io
یه لیستی از توابعی که داخل بدافزار ها استفاده میشه تفکیک شده بر اساس نوع بدافزار . روی هر تابع کلیک کنید اطلاعات و prototype توابع رو هم داره .
2⃣ https://filesec.io
یه لیستی از پسوند فایل هایی که توسط هکر ها استفاده میشه تفکیک شده بر اساس نوع حمله .
3⃣ https://lots-project.com
لیستی از دامنه هایی که توسط بدافزار ها استفاده میشه تفکیک شده براساس نوع بدافزار .
🆔 : @mrpythonblog
معرفی سه تا سایت باحال :
1⃣ https://malapi.io
یه لیستی از توابعی که داخل بدافزار ها استفاده میشه تفکیک شده بر اساس نوع بدافزار . روی هر تابع کلیک کنید اطلاعات و prototype توابع رو هم داره .
2⃣ https://filesec.io
یه لیستی از پسوند فایل هایی که توسط هکر ها استفاده میشه تفکیک شده بر اساس نوع حمله .
3⃣ https://lots-project.com
لیستی از دامنه هایی که توسط بدافزار ها استفاده میشه تفکیک شده براساس نوع بدافزار .
🆔 : @mrpythonblog
👍9👏3
Mr Python | مستر پایتون
🟢 شل معکوس (Reverse Shell) مفهوم پوسته معکوس ، در واقع نوعی دسترسی به سیستم مورد هدف توسط هکر است که در آن خود سیستم هدف به هکر وصل میشود . به عبارتی سیستم هدف به سیستم هکر که در حال شنود است متصل میشود و یک دسترسی shell از خود در اختیار هکر میگذارد . هکر…
✅ پست "شل معکوس (Reverse Shell)" بروزرسانی شد .
نحوه نوشتن شل معکوس ویندوزی با دو زبان Python و C اضافه شد
نحوه نوشتن شل معکوس ویندوزی با دو زبان Python و C اضافه شد
🔥7👍2
مشکلاتِ ناخواسته بوجود میان و این معمولا اشتباه ما نیست ، اشتباه ما اونجاییه که Backup نگرفته باشیم .
پ.ن : راستی روزتونم مبارک 😄
پ.ن : راستی روزتونم مبارک 😄
😁8❤2👏2
Mr Python | مستر پایتون
🔴 ساختار فایل PE قسمت ۳ – صادرات (Exports) در سیستم عامل ویندوز ، فایل های PE میتوانند توابعی را صادر (export) کنند تا فایل های PE دیگر از طریق وارد (import) کردن ، از آن ها استفاده کنند . این رفتار را اغلب در فایل های DLL مشاهده میکنیم ولی در واقعیت هر فایل…
دوستان در این قسمت از ساختار فایل PE یه اشتباهی کرده بودم و الان اصلاح شد .
قبلا داخل پست گفته شده بود که Export Ordinal Table حاوی ordinal های مربوط به هر اسم داخل Export Name Pointer Table است . حال ما باید این ordinal های داخل Ordinal Table را منهای مقدار شروع ordinal ها کنیم تا اندیس واقعی آن تابع در Export Address Table بدست بیاید که این اشتباه است .
درواقع آرایه ordinal table مقادیرش همیشه از صفر شروع خواهند شد و بنابراین اندیس های واقعی مربوط به توابع در آرایه Export Address Table است .
قبلا داخل پست گفته شده بود که Export Ordinal Table حاوی ordinal های مربوط به هر اسم داخل Export Name Pointer Table است . حال ما باید این ordinal های داخل Ordinal Table را منهای مقدار شروع ordinal ها کنیم تا اندیس واقعی آن تابع در Export Address Table بدست بیاید که این اشتباه است .
درواقع آرایه ordinal table مقادیرش همیشه از صفر شروع خواهند شد و بنابراین اندیس های واقعی مربوط به توابع در آرایه Export Address Table است .
👏8
#معرفی_منبع
Practical Malware Analysis
تجزیه و تحلیل عملی بدافزار
یک کتاب خیلی باحال برای ورود به حوزه مهندسی معکوس و تحلیل بدافزار . این کتاب انواع تکنیک ها و روش هایی که بدافزار نویسان برای اهداف مختلف به کار میگیرن رو براتون شرح داده و در کارگاه هایی که داخلش داره به طور عملی اون تکنیک هارو میبینید .
این کتاب برای هر فصل ۳ تا ۵ تمرین عملی داره . به این شکل که یک نمونه بدافزار رو از شما میخواد که تحلیلش کنید که داخلش تکنیک ها و مباحث همون فصل مربوطه به کار رفته .
دقت کنید کارگاه های کتاب خیلی مهمه اگر میخونیدش حتما انجامش بدید . کتاب خیلی چیزا رو سعی کرده از طریق خود کارگاه ها جا بندازه بنابراین از انجام تمرین های عملی کتاب غافل نشید .
🆔 : @mrpythonblog
Practical Malware Analysis
تجزیه و تحلیل عملی بدافزار
یک کتاب خیلی باحال برای ورود به حوزه مهندسی معکوس و تحلیل بدافزار . این کتاب انواع تکنیک ها و روش هایی که بدافزار نویسان برای اهداف مختلف به کار میگیرن رو براتون شرح داده و در کارگاه هایی که داخلش داره به طور عملی اون تکنیک هارو میبینید .
این کتاب برای هر فصل ۳ تا ۵ تمرین عملی داره . به این شکل که یک نمونه بدافزار رو از شما میخواد که تحلیلش کنید که داخلش تکنیک ها و مباحث همون فصل مربوطه به کار رفته .
دقت کنید کارگاه های کتاب خیلی مهمه اگر میخونیدش حتما انجامش بدید . کتاب خیلی چیزا رو سعی کرده از طریق خود کارگاه ها جا بندازه بنابراین از انجام تمرین های عملی کتاب غافل نشید .
🆔 : @mrpythonblog
👍9👏3
Mr Python | مستر پایتون
#معرفی_منبع Practical Malware Analysis تجزیه و تحلیل عملی بدافزار یک کتاب خیلی باحال برای ورود به حوزه مهندسی معکوس و تحلیل بدافزار . این کتاب انواع تکنیک ها و روش هایی که بدافزار نویسان برای اهداف مختلف به کار میگیرن رو براتون شرح داده و در کارگاه هایی…
سرفصل های این کتاب :
Chapter 00 : Malware Analysis Primer
——————— PART 1 ———————
Chapter 01 : Basic Static Techinques
Chapter 02 : Malware Analysis in Virtual Machines
Chapter 03 : Basic Dynamic Analysis
——————— PART 2 ———————
Chapter 04 : A Crash Course in x86 Disassembly
Chapter 05 : IDA Pro
Chapter 06 : Recognizing C Code Constructs in Assembly
Chapter 07 : Analyzing Malicious Windows Programs
——————— PART 3 ———————
Chapter 08 : Debugging
Chapter 09 : OllyDbg
Chapter 10 : Kernel Debugging with WinDbg
——————— PART 4 ———————
Chapter 11 : Malware Behavior
Chapter 12 : Covert Malware Launching
Chapter 13 : Data Encoding
Chapter 14 : Malware-Focused Network Signatures
——————— PART 5 ———————
Chapter 15 : Anti-Disassembly
Chapter 16 : Anti-Debugging
Chapter 17 : Anti-Virtual Machine Techniques
Chapter 18 : Packers and Unpacking
——————— PART 6 ———————
Chapter 19 : Shellcode Analysis
Chapter 20 : C++ Analysis
Chapter 21 : 64-Bit Malware
Appendix A : Important Windows Funcions
Appendix B : Tools for Malware Analysis
Appendix C : Solutions to Labs
🆔 : @mrpythonblog
Chapter 00 : Malware Analysis Primer
——————— PART 1 ———————
Chapter 01 : Basic Static Techinques
Chapter 02 : Malware Analysis in Virtual Machines
Chapter 03 : Basic Dynamic Analysis
——————— PART 2 ———————
Chapter 04 : A Crash Course in x86 Disassembly
Chapter 05 : IDA Pro
Chapter 06 : Recognizing C Code Constructs in Assembly
Chapter 07 : Analyzing Malicious Windows Programs
——————— PART 3 ———————
Chapter 08 : Debugging
Chapter 09 : OllyDbg
Chapter 10 : Kernel Debugging with WinDbg
——————— PART 4 ———————
Chapter 11 : Malware Behavior
Chapter 12 : Covert Malware Launching
Chapter 13 : Data Encoding
Chapter 14 : Malware-Focused Network Signatures
——————— PART 5 ———————
Chapter 15 : Anti-Disassembly
Chapter 16 : Anti-Debugging
Chapter 17 : Anti-Virtual Machine Techniques
Chapter 18 : Packers and Unpacking
——————— PART 6 ———————
Chapter 19 : Shellcode Analysis
Chapter 20 : C++ Analysis
Chapter 21 : 64-Bit Malware
Appendix A : Important Windows Funcions
Appendix B : Tools for Malware Analysis
Appendix C : Solutions to Labs
🆔 : @mrpythonblog
👍14🥰1👏1
🟣 پیاده سازی APC Injection در C
تکنیک APC Injection یکی دیگر از روش های تزریق و اجرای کد در پروسه های دیگر است . در این پست به بررسی اینکه APC در ویندوز چیست و چگونه بدافزار ها از آن برای تزریق کد استفاده میکنند میپردازیم
https://mrpythonblog.ir/apc-injection
#MalwareDevelopment
🆔 : @mrpythonblog
تکنیک APC Injection یکی دیگر از روش های تزریق و اجرای کد در پروسه های دیگر است . در این پست به بررسی اینکه APC در ویندوز چیست و چگونه بدافزار ها از آن برای تزریق کد استفاده میکنند میپردازیم
https://mrpythonblog.ir/apc-injection
#MalwareDevelopment
🆔 : @mrpythonblog
🤩7🔥5❤2😢2
#معرفی_منبع
داخل یکی از پست هامون ، به طور کامل توضیح دادیم اصلا shellcode چیه و چجوری اجرا میشه . یه سری کد به زبان C هم نوشتیم که میتونست برامون یه shellcode رو launch کنه .
دوتا منبع میخوام امروز بهتون معرفی کنم در باب نوشتن shellcode های ویندوزی . اینکه چجوری خودمون به زبان اسمبلی برای ویندوز shellcode بنویسیم . پیش نیازش هم آشنایی با اسمبلی x86 هستش .
اولین منبع لینک زیر هستش :
https://idafchev.github.io/exploit/2017/09/26/writing_windows_shellcode.html
دومین منبع هم فایل pdf هست که در ادامه میفرستم خدمتتون
دقت کنید هر دو این منابع درمورد shellcode در ویندوز های ۳۲ بیتی صحبت کردند ولی نوشتن shellcode در ویندوز های ۶۴ بیتی ها بسیار شبیه همیناس . یه تفاوت های کوچیکی (مثلا در بخش پیدا کردن آدرس PEB پروسه) داره که با یه جستجو ساده پیداش میکنید .
🆔 : @mrpythonblog
داخل یکی از پست هامون ، به طور کامل توضیح دادیم اصلا shellcode چیه و چجوری اجرا میشه . یه سری کد به زبان C هم نوشتیم که میتونست برامون یه shellcode رو launch کنه .
دوتا منبع میخوام امروز بهتون معرفی کنم در باب نوشتن shellcode های ویندوزی . اینکه چجوری خودمون به زبان اسمبلی برای ویندوز shellcode بنویسیم . پیش نیازش هم آشنایی با اسمبلی x86 هستش .
اولین منبع لینک زیر هستش :
https://idafchev.github.io/exploit/2017/09/26/writing_windows_shellcode.html
دومین منبع هم فایل pdf هست که در ادامه میفرستم خدمتتون
دقت کنید هر دو این منابع درمورد shellcode در ویندوز های ۳۲ بیتی صحبت کردند ولی نوشتن shellcode در ویندوز های ۶۴ بیتی ها بسیار شبیه همیناس . یه تفاوت های کوچیکی (مثلا در بخش پیدا کردن آدرس PEB پروسه) داره که با یه جستجو ساده پیداش میکنید .
🆔 : @mrpythonblog
Telegram
Mr Python | مستر پایتون
🔴 شلکد (Shellcode) چیست و چگونه اجرا میشود ؟
در این مطلب به بررسی اینکه Shellcode چیست و روش اجرای Shellcode با زبان C و در سیستم عامل ویندوز خواهیم پرداخت .
https://mrpythonblog.ir/shellcode
#توسعه_بدافزار
🆔 : @mrpythonblog
در این مطلب به بررسی اینکه Shellcode چیست و روش اجرای Shellcode با زبان C و در سیستم عامل ویندوز خواهیم پرداخت .
https://mrpythonblog.ir/shellcode
#توسعه_بدافزار
🆔 : @mrpythonblog
👍5
🔴 ساختار فایل PE قسمت ۴ - واردات (Imports)
در قسمت قبلی صادرات فایل های PE را بررسی کردیم . قطعا وقتی بحث صادرات را داریم ، از طرفی واردات را هم خواهیم داشت . فایل های PE در ویندوز میتوانند توابع صادراتی فایل های دیگر را وارد (Import) کرده و از آن ها استفاده کنند. این رفتار مستلزم این است که خود فایل های PE دیگر که از صادرات آن ها استفاده میکنیم نیز در حافظه بارگذاری شوند که این کار وظیفه ی Loader ویندوز است .
https://mrpythonblog.ir/pe4
#pe
🆔 : @mrpythonblog
در قسمت قبلی صادرات فایل های PE را بررسی کردیم . قطعا وقتی بحث صادرات را داریم ، از طرفی واردات را هم خواهیم داشت . فایل های PE در ویندوز میتوانند توابع صادراتی فایل های دیگر را وارد (Import) کرده و از آن ها استفاده کنند. این رفتار مستلزم این است که خود فایل های PE دیگر که از صادرات آن ها استفاده میکنیم نیز در حافظه بارگذاری شوند که این کار وظیفه ی Loader ویندوز است .
https://mrpythonblog.ir/pe4
#pe
🆔 : @mrpythonblog
👍1
🟣 تزریق کد بوسیله تکنیک RWX-Memory Hunting
تکنیک RWX-Memory Hunting روشی بسیار ساده برای تزریق کد به پروسه های دیگر است . همانطور که از اسم این تکنیک بر می آید ، به حافظه کل پروسه های سیستم سرک میکشیم ، به محض اینکه یک قسمت از حافظه در پروسه دیگری با حالت RWX ( قابل خواندن ، نوشتن و اجرا کردن) پیدا کردیم ، یک shellcode درون آن مینویسیم و یک thread برای اجرای آن shellcode میسازیم (دقیقا کاری که در “تزریق کد کلاسیک” انجام میدادیم) .
https://mrpythonblog.ir/rwx-memory-hunting/
#MalwareDevelopment
🆔 : @mrpythonblog
تکنیک RWX-Memory Hunting روشی بسیار ساده برای تزریق کد به پروسه های دیگر است . همانطور که از اسم این تکنیک بر می آید ، به حافظه کل پروسه های سیستم سرک میکشیم ، به محض اینکه یک قسمت از حافظه در پروسه دیگری با حالت RWX ( قابل خواندن ، نوشتن و اجرا کردن) پیدا کردیم ، یک shellcode درون آن مینویسیم و یک thread برای اجرای آن shellcode میسازیم (دقیقا کاری که در “تزریق کد کلاسیک” انجام میدادیم) .
https://mrpythonblog.ir/rwx-memory-hunting/
#MalwareDevelopment
🆔 : @mrpythonblog
👍2
🔴 ساختار فایل PE قسمت ۵ – Relocation ها
مشکل از آنجایی شروع میشود که ویندوز ، همیشه فایل های PE را در آن آدرسی از حافظه که انتظار میرود بارگذاری نمیکند و در این صورت خیلی از چیز ها بهم میریزد ! در این بخش از ساختار فایل PE به بررسی Relocation ها در فایل PE میپردازیم . اینکه اصلا Relocation به چه معناست و در فایل PE چگونه پیاده سازی میشود .
https://mrpythonblog.ir/pe5
#pe
🆔 : @mrpythonblog
مشکل از آنجایی شروع میشود که ویندوز ، همیشه فایل های PE را در آن آدرسی از حافظه که انتظار میرود بارگذاری نمیکند و در این صورت خیلی از چیز ها بهم میریزد ! در این بخش از ساختار فایل PE به بررسی Relocation ها در فایل PE میپردازیم . اینکه اصلا Relocation به چه معناست و در فایل PE چگونه پیاده سازی میشود .
https://mrpythonblog.ir/pe5
#pe
🆔 : @mrpythonblog
👍2
دوستان این آخرین قسمت فایل PE بود . این آخر فایل PE نیست . ولی تا اینجا هرچیزی که ما در پست های بعدی مهندسی معکوس و توسعه بدافزار بهش نیاز داریم رو گفتیم .
در پست های بعدی از این چیزایی که گفتیم استفاده میکنیم
و احتمالا برای جمع بندی PE یک لودر فایل PE به زبان C بنویسیم به زودی ...
در پست های بعدی از این چیزایی که گفتیم استفاده میکنیم
و احتمالا برای جمع بندی PE یک لودر فایل PE به زبان C بنویسیم به زودی ...
👍4🙏2