شبی شوما خوش 🖐

✅ پست "شل معکوس (Reverse Shell)" بروزرسانی شد .

نحوه نوشتن شل معکوس ویندوزی با دو زبان Python و C اضافه شد

مشکلاتِ ناخواسته بوجود میان و این معمولا اشتباه ما نیست ، اشتباه ما اونجاییه که Backup نگرفته باشیم .

پ.ن : راستی روزتونم مبارک 😄

دوستان در این قسمت از ساختار فایل PE یه اشتباهی کرده بودم و الان اصلاح شد .
قبلا داخل پست گفته شده بود که Export Ordinal Table حاوی ordinal های مربوط به هر اسم داخل Export Name Pointer Table است . حال ما باید این ordinal های داخل Ordinal Table را منهای مقدار شروع ordinal ها کنیم تا اندیس واقعی آن تابع در Export Address Table بدست بیاید که این اشتباه است .
درواقع آرایه ordinal table مقادیرش همیشه از صفر شروع خواهند شد و بنابراین اندیس های واقعی مربوط به توابع در آرایه Export Address Table است .

متن اصلاحی اضافه شده به پست

#معرفی_منبع

Practical Malware Analysis
تجزیه و تحلیل عملی بدافزار

یک کتاب خیلی باحال برای ورود به حوزه مهندسی معکوس و تحلیل بدافزار . این کتاب انواع تکنیک ها و روش هایی که بدافزار نویسان برای اهداف مختلف به کار میگیرن رو براتون شرح داده و در کارگاه هایی که داخلش داره به طور عملی اون تکنیک هارو میبینید .

این کتاب برای هر فصل ۳ تا ۵ تمرین عملی داره . به این شکل که یک نمونه بدافزار رو از شما میخواد که تحلیلش کنید که داخلش تکنیک ها و مباحث همون فصل مربوطه به کار رفته .
دقت کنید کارگاه های کتاب خیلی مهمه اگر میخونیدش حتما انجامش بدید . کتاب خیلی چیزا رو سعی کرده از طریق خود کارگاه ها جا بندازه بنابراین از انجام تمرین های عملی کتاب غافل نشید .

🆔 : @mrpythonblog

سرفصل های این‌ کتاب :

Chapter 00 : Malware Analysis Primer
——————— PART 1 ———————
Chapter 01 : Basic Static Techinques
Chapter 02 : Malware Analysis in Virtual Machines
Chapter 03 : Basic Dynamic Analysis
——————— PART 2 ———————
Chapter 04 : A Crash Course in x86 Disassembly
Chapter 05 : IDA Pro
Chapter 06 : Recognizing C Code Constructs in Assembly
Chapter 07 : Analyzing Malicious Windows Programs
——————— PART 3 ———————
Chapter 08 : Debugging
Chapter 09 : OllyDbg
Chapter 10 : Kernel Debugging with WinDbg
——————— PART 4 ———————
Chapter 11 : Malware Behavior
Chapter 12 : Covert Malware Launching
Chapter 13 : Data Encoding
Chapter 14 : Malware-Focused Network Signatures
——————— PART 5 ———————
Chapter 15 : Anti-Disassembly
Chapter 16 : Anti-Debugging
Chapter 17 : Anti-Virtual Machine Techniques
Chapter 18 : Packers and Unpacking
——————— PART 6 ———————
Chapter 19 : Shellcode Analysis
Chapter 20 : C++ Analysis
Chapter 21 : 64-Bit Malware


Appendix A : Important Windows Funcions
Appendix B : Tools for Malware Analysis
Appendix C : Solutions to Labs

🆔 : @mrpythonblog

🟣 پیاده سازی APC Injection در C

تکنیک APC Injection یکی دیگر از روش های تزریق و اجرای کد در پروسه های دیگر است . در این پست به بررسی اینکه APC در ویندوز چیست و چگونه بدافزار ها از آن برای تزریق کد استفاده میکنند میپردازیم

https://mrpythonblog.ir/apc-injection


#MalwareDevelopment

🆔 : @mrpythonblog

#معرفی_منبع

داخل یکی از پست هامون ، به طور کامل توضیح دادیم اصلا shellcode چیه و چجوری اجرا میشه . یه سری کد به زبان C هم نوشتیم که میتونست برامون یه shellcode رو launch کنه .

دوتا منبع میخوام امروز بهتون معرفی کنم در باب نوشتن shellcode های ویندوزی . اینکه چجوری خودمون به زبان اسمبلی برای ویندوز shellcode بنویسیم . پیش نیازش هم آشنایی با اسمبلی x86 هستش .

اولین منبع لینک زیر هستش :
https://idafchev.github.io/exploit/2017/09/26/writing_windows_shellcode.html

دومین منبع هم فایل pdf هست که در ادامه میفرستم خدمتتون

دقت کنید هر دو این منابع درمورد shellcode در ویندوز های ۳۲ بیتی صحبت کردند ولی نوشتن shellcode در ویندوز های ۶۴ بیتی ها بسیار شبیه همیناس . یه تفاوت های کوچیکی (مثلا در بخش پیدا کردن آدرس PEB پروسه) داره که با یه جستجو ساده پیداش میکنید .

🆔 : @mrpythonblog

🆔 : @mrpythonblog

🔴 ساختار فایل PE قسمت ۴ - واردات (Imports)

در قسمت قبلی صادرات فایل های PE را بررسی کردیم . قطعا وقتی بحث صادرات را داریم ، از طرفی واردات را هم خواهیم داشت . فایل های PE در ویندوز میتوانند توابع صادراتی فایل های دیگر را وارد (Import) کرده و از آن ها استفاده کنند. این رفتار مستلزم این است که خود فایل های PE دیگر که از صادرات آن ها استفاده میکنیم نیز در حافظه بارگذاری شوند که این کار وظیفه ی Loader ویندوز است .

https://mrpythonblog.ir/pe4

#pe

🆔 : @mrpythonblog

🟣 تزریق کد بوسیله تکنیک RWX-Memory Hunting

تکنیک RWX-Memory Hunting روشی بسیار ساده برای تزریق کد به پروسه های دیگر است . همانطور که از اسم این تکنیک بر می آید ،‌ به حافظه کل پروسه های سیستم سرک میکشیم ، به محض اینکه یک قسمت از حافظه در پروسه دیگری با حالت RWX ( قابل خواندن ، نوشتن و اجرا کردن)‌ پیدا کردیم ، یک shellcode درون آن مینویسیم و یک thread برای اجرای آن shellcode میسازیم (دقیقا کاری که در “تزریق کد کلاسیک” انجام میدادیم) .

https://mrpythonblog.ir/rwx-memory-hunting/

#MalwareDevelopment

🆔 : @mrpythonblog

https://t.me/MrPythonBlog?boost

دوستانی که میتونن اگر کانال مارو هم ببوستید خوشحالمون میکنید 😁🌺🙏

🔴 ساختار فایل PE قسمت ۵ – Relocation ها

مشکل از آنجایی شروع میشود که ویندوز ، همیشه فایل های PE را در آن آدرسی از حافظه که انتظار میرود بارگذاری نمیکند و در این صورت خیلی از چیز ها بهم میریزد ! در این بخش از ساختار فایل PE به بررسی Relocation ها در فایل PE میپردازیم . اینکه اصلا Relocation به چه معناست و در فایل PE چگونه پیاده سازی میشود .

https://mrpythonblog.ir/pe5

#pe

🆔 : @mrpythonblog

دوستان این آخرین قسمت فایل PE بود . این آخر فایل PE نیست . ولی تا اینجا هرچیزی که ما در پست های بعدی مهندسی معکوس و توسعه بدافزار بهش نیاز داریم رو گفتیم .
در پست های بعدی از این چیزایی که گفتیم استفاده میکنیم
و احتمالا برای جمع بندی PE یک لودر فایل PE به زبان C بنویسیم به زودی ...

🟣 دوره ابزار نویسی شبکه با پایتون

هدف اصلی ما در این دوره فهم کارکرد و الگوریتم برخی از ابزار های مرسوم اسکن و نفوذ شبکه است . در این دوره تکنیک های رایج تست نفوذ شبکه را مورد بررسی قرار داده ایم و هرکدام از آن هارا به صورت عملی با استفاده از زبان پایتون پیاده سازی کرده ایم .

لینک صفحه دوره به همراه توضیحات تکمیلی و سرفصل محتوای دوره :
https://mrpythonblog.ir/product/%d8%a7%d8%a8%d8%b2%d8%a7%d8%b1-%d9%86%d9%88%db%8c%d8%b3%db%8c-%d8%b4%d8%a8%da%a9%d9%87-%d8%a8%d8%a7-%d9%be%d8%a7%db%8c%d8%aa%d9%88%d9%86/

🆔 : @mrpythonblog

بخش های دوره ابزارنویسی شبکه با پایتون :

🔸بخش اول : مفاهیم شبکه (ارائه شده به صورت رایگان)

🔸بخش دوم : سوکت نویسی پایتون (ارائه شده به صورت رایگان)

🔸بخش سوم : برنامه نویسی همروندی و موازی در پایتون (ارائه شده به صورت رایگان)

🔸بخش چهارم : Scapy

🔸بخش پنجم : ابزارنویسی

ابزار های نوشته شده در این دوره :‌
Ping
Traceroute
Ping Sweep
ARP Scanner
Connect Scanner
SYN Scanner
UDP Scanner
SYN Flooder
ARP Spoofer
DNS Hijacker
FTP Cracker
Telnet Cracker
HTTP / HTTPS Cracker
ICMP Tunnelling For Shell access

🆔 : @mrpythonblog

🟣 جاسازی Shellcode در فایل اجرایی exe

در اینجا میخواهیم ببینیم چطور میتوان یک Shellcode را در یک فایل اجرایی ویندوزی جاسازی کرد به طوری که با اجرای فایل اجرایی آلوده ، ابتدا Shellcode به صورت مخفیانه اجرا شده و سپس محتوای عادی فایل اجرایی شروع به اجرا شدن میکنند طوری که همه چیز عادی به نظر برسد .

https://mrpythonblog.ir/embedding-shellcode-in-pe/

#توسعه_بدافزار

🆔 : @mrpythonblog

🍉 یلدا مبارک :)

#معرفی_منبع

Wokwi

یک سایت خیلی باحال و خوب برای شبیه سازی برد های Arduino , ESP32 , STM32 , Raspberry pi , ...
شبیه ساز این سایت همچنین انواع مختلفی از المان های ورودی / خروجی که ممکنه در پروژه هاتون نیاز داشته باشید رو میتونه شبیه سازی کنه (LED , MOTOR , LCD , KEYPAD , ...)
دارای کامپایلر زبان های برنامه نویسی مربوط به هر برد انتخابی .

آدرس سایت : https://wokwi.com

🆔 : @mrpythonblog

همچنین این سایت خودش یکسری پروژه از پیش تعریف شده داره که به عنوان نمونه آموزشی میتونید بخونیدشون .
برای مثال این ویدیو که پروژه گاوصندق الکترونیکی با آردوینو هستش

🆔 : @mrpythonblog