#ShortNote

سیستم کال های جایگزین چی هستند ؟

سیستم‌ کال‌ های جایگزین (Alt Syscalls) یک قابلیت مخفی و مستند سازی‌ نشده در کرنل ویندوز هستند که اجازه می‌ دهند پیش از اجرای یک system call، یک تابع در کرنل اطلاعات مربوط به آن را دریافت و پردازش کند. این ویژگی یک مزیت بزرگ برای آنتی‌ ویروس‌ ها و نرم‌ افزارهای شناسایی و پاسخ به تهدید (EDR) به‌ شمار می‌ رود.

کاربرد اصلی:

مدت‌ هاست که امکان hook کردن مستقیم سیستم‌ کال‌ ها به دلیل وجود PatchGuard وجود ندارد چرا که PatchGuard تغییرات در ساختار های حساس کرنل مانند جدول System Service Dispatch (SSDT) یا توابع Nt را شناسایی و مسدود می‌کند.

به همین دلیل Alt Syscalls راهی مخفی‌ تر و ایمن‌ تر برای مانیتور کردن سیستم‌ کال‌ها در سطح کرنل فراهم می‌کنند و به لطف تلاش محققان حوزه امنیت و تحلیل باینری، دیگه این قابلیت کاملاً ناشناخته نیست و با یک جستجوی ساده می‌توان پیاده‌ سازی‌ های مربوط به نسخه‌های ویندوز 10 و 11 را پیدا کنید.

🦅 کانال بایت امن | گروه بایت امن
_

#Article #Tools

چند مقاله و ابزار درباره ساختار PE قبلاً در وبلاگ قرار داده بودم که امروز اون‌ها رو به‌روزرسانی کردم. سورس‌کدها و ویدیوهای دمو هم اضافه شده تا این مفاهیم بهتر قابل درک باشن و راحت‌تر بتونید با موضوع ساختار PE ارتباط برقرار کنید.

⬅️بررسی و تحلیل Checksum در ساختار PE
⬅️بررسی و تشریح DEP و ASLR در ساختار PE
⬅️ابزار تبدیل DLL به EXE
⬅️ابزار حذف DEP و ASLR از ساختار PE
⬅️ابزار تصحیح Checksum در ساختار PE

🦅 کانال بایت امن | گروه بایت امن
_

#DWORD

دوره چالش های مهندسی معکوس سطح 1 در لیست دوره های آکادمی قرار گرفت

این دوره رایگان، فرصتی است برای ورود عملی به دنیای مهندسی معکوس و حل چالش‌های واقعی در حوزه تحلیل باینری. در طول دوره، به سراغ مجموعه‌ای از چالش‌های منتخب از مسابقات بین‌المللی CTF می‌رویم.

این چالش‌ها از رقابت‌هایی مانند Flare-On یکی از معتبرترین و شناخته‌شده‌ترین مسابقات مهندسی معکوس برگرفته شده‌اند.

🦅 کانال بایت امن | گروه بایت امن
_

#DWORD

بازنویسی کد با رویکرد مهندسی معکوس
دوره رایگان و تخصصی آکادمی DWORD

در این دوره تخصصی، با تمرکز بر مهندسی معکوس توابع کلیدی نرم‌افزارها و کتابخانه‌ها، به شما آموزش می‌دهیم چگونه منطق توابع را تحلیل، ایزوله و بازنویسی کنید.

این فرآیند مشابه روش fuzzing است که در آن، با ساختن یک harness، تابع هدف را با ورودی‌های مختلف آزمایش می‌کنیم تا رفتار و مسیرهای منطقی آن را کشف کنیم.

با گذراندن این دوره، مهارت‌های لازم برای:

⬅️درک دقیق ورودی‌ها و خروجی‌های توابع
⬅️تحلیل رفتار و مسیرهای منطقی
⬅️بازنویسی توابع به صورت خوانا و مستند

را کسب خواهید کرد تا بتوانید مثل یک تحلیلگر امنیتی حرفه‌ای یا توسعه‌دهنده ابزارهای امنیتی عمل کنید.

🦅 کانال بایت امن | گروه بایت امن
_

سلام به همه دوستان عزیز بایت امن

در پی گفتگوهایی که با اعضای گروه (چه عمومی چه خصوصی) داشتیم، تصمیم گرفتیم دورهمی‌هایی به صورت هفتگی برگزار کنیم که محور اصلی اون‌ها، گفتگو و تبادل نظر در مورد چالش‌ها، پرسش و پاسخ‌ها و موضوعات مختلف حوزه باینری و برنامه نویسی باشه.

هدف اصلی این جلسات اینه که:

🔗هر جلسه یک موضوع مشخص و کاربردی داشته باشه
🔗محتوای جلسه به صورت منظم و مرجع‌گونه (Reference-Based) آماده بشه
🔗به مرور یک آرشیو مفید برای رجوع سریع ایجاد کنیم
🔗از تکرار سوالات جلوگیری بشه و پاسخ‌ها یک‌بار و دقیق ارائه بشن

در نهایت، ازتون می‌خوایم که در گروه نظر بدید:

⬅️چه موضوعاتی براتون اولویت داره؟
⬅️ با چه فرمت یا ساختاری راحت‌ترید؟
⬅️ترجیح می‌دید جلسات چه روز و ساعتی برگزار بشه؟

ممنون از همراهی همیشگیتون ♥️
تیم بایت امن
_

#DWORD

دوره جذاب و تخصصی بازنویسی کد با رویکرد مهندسی معکوس به صورت رایگان در وب سایت آکادمی DWORD قرار گرفت.

🦅 کانال بایت امن | گروه بایت امن
_

#Article #Programming

بلاخره جایگزین std::cout با امکانات بیشتر در C++23 معرفی شد.

تابع std::println چکار می‌کند؟

تابع std::println چیزی را روی خروجی چاپ می‌کند، دقیقا مثل std::print، با این تفاوت که در پایان خروجی یک n\ هم اضافه می‌کند. یعنی بعد از هر چاپ، به خط بعد می‌رود.

عالی شد چون سخت بود تایپ std::endl یا n\ 😅

std::println(fmt, args...)
std::println(stream, fmt, args...)

#include <print>
int main()
{
    std::println("Hello {}!", "DWORD Academy");
}

اگر دوست داشتید بدونید در استاندارد 23 چه تغییراتی به وجود آمده برید روی لینک کلیک کنید

https://cppreference.com/w/cpp/23.html

🦅 کانال بایت امن | گروه بایت امن
_

#Course #Debugger

دوره آموزشی دیباگر Binary Ninja

این دوره توسط تیم اصلی برنامه نویسی و سر پرست تیم توسعه باینری نینجا برگزار شده و تمرکزش روی یادگیری محیط و کار با دیباگر است.

باید با زبان C و Assembly هم آشنایی داشته باشید

📊لینک دوره آموزش دیباگر Binary Ninja

🦅 کانال بایت امن | گروه بایت امن
_

#notebooklm

🧾موضوع : بررسی، تحلیل و دور زدن Agent برنامه SentinelOne EDR
🔊فایل صوتی ترجمه شده به فارسی توسط notebooklm

📊مرجع : x33fcon 2025

🦅 کانال بایت امن | گروه بایت امن
_

#Article #ReverseEngineering #Hardware

📃هک سخت‌افزاری واحد مرکزی خودرو و کشف یک آسیب‌پذیری

با پیچیده‌تر شدن خودروهای مدرن، سیستم‌های اطلاعات و سرگرمی (IVI) به یکی از حساس‌ترین بخش‌های امنیتی تبدیل شده‌اند. در این پروژه، با استفاده از ابزارهایی مثل Bus Pirate و Logic Analyzer، میان‌افزار یک head unit جدید که به‌صورت عمومی در دسترس نیست، مهندسی معکوس شده است.

موضوعات مورد بحث:

⬅️ کشف یک RTOS اختصاصی
⬅️ مهندسی معکوس اسمبلی ARMv7
⬅️تحلیل ساختار بوت، رفتار اجرایی، پردازش ورودی‌ها و سناریو های حمله
⬅️ شناسایی آسیب‌پذیری‌های احتمالی در زیرساخت ارتباطی خودرو

این تحقیق مرزهای جدیدی در هک سخت‌افزار، مهندسی معکوس میان‌افزار و امنیت خودرو باز می‌کند. منتظر اطلاعات بیشتر باشید...

منبع : hardwear.io | usa-2025

🦅 کانال بایت امن | گروه بایت امن
_

#Misc #Security

⚜️ معرفی «لومو»؛ دستیار هوش مصنوعی جدید و امن از پروتون

شرکت پروتون که پیش‌تر با خدماتی چون ایمیل و تقویم امن شناخته می‌شد، این‌بار از یک هوش مصنوعی جدید به نام Lumo رونمایی کرده است؛ محصولی که اولویت اصلی آن، حفظ حریم خصوصی کاربران است.

⚜️ نکته کلیدی:
با بهره‌گیری از فناوری رمزنگاری Zero-Access، حتی خود پروتون نیز قادر به مشاهده مکالمات شما نیست. همان استانداردی که در سایر سرویس‌های این شرکت نیز رعایت می‌شود.

⚜️ بدون نیاز به ثبت‌نام
برای استفاده از این دستیار هوشمند نیازی به ساخت حساب کاربری نیست. کافی‌ست وارد lumo.proton.me شوید و بلافاصله از امکانات آن بهره ببرید.

⚜️ بر پایه مدل متن‌باز
لومو از مدل قدرتمند و متن‌باز Nemo (توسعه‌یافته توسط Mistral) استفاده می‌کند، که علاوه بر سرعت بالا، امکان بارگذاری چندین فایل به‌صورت همزمان را نیز فراهم می‌کند.

🦅 کانال بایت امن | گروه بایت امن
_

💠معرفی دوره های آموزشی آکادمی DWORD - ( دوره های آفلاین )

📊دوره آموزشی برنامه نویسی تهاجمی تیم قرمز
⬅️ متوسط - پیشرفته
⬅️لینک توضیحات و خرید دوره | دیدن ویدیو های دوره

🖥دوره آموزش برنامه نویسی سیستمی ویندوز
⬅️متوسط - پیشرفته
⬅️لینک توضیحات و خرید دوره | دیدن ویدیو های دوره

📊دوره آموزش مهندسی معکوس نرم افزار
⬅️مقدماتی - متوسط
⬅️لینک توضیحات و خرید دوره | دیدن ویدیو های دوره

🖥دوره آموزش زبان برنامه نویسی C و ++C ویندوز و لینوکس
⬅️مقدماتی - متوسط
⬅️لینک توضیحات و خرید دوره | دیدن ویدیو های دوره

📊دوره آموزش زبان برنامه نویسی اسمبلی ویندوز و لینوکس
⬅️مقدماتی - متوسط
⬅️لینک توضیحات و خرید دوره | دیدن ویدیو های دوره

——

🖥 امکان ثبت نام در دوره ها به صورت اقساط و همچنین تخفیف 10% برای دانشجویان سابق آکادمی فراهم هست.

🌐 ارتباط با مدرس دوره ها | @YMahmoudnia

——

🦅 کانال بایت امن | گروه بایت امن
_

#Article

Hells Hollow: A new SSDT Hooking technique

در پست قبلی درباره‌ی تکنیک‌های AltSyscall صحبت کردم. امروز در ادامه‌ی همون موضوع، قصد دارم یک تکنیک جدید با نام غیررسمی Hell's Hollow رو معرفی کنم.

این تکنیک با تکیه بر قابلیت‌های AltSys و انجام تغییراتی روی ساختار حساس KTRAP_FRAME، امکان Hook کردن SSDT رو به شکلی متفاوت فراهم می‌کنه. یعنی به جای دست‌کاری کپی‌هایی از Trap Frame، این بار مستقیماً سراغ نسخه‌ی واقعی اون می‌ریم. نتیجه‌ی این کار، توانایی در کنترل و تغییر مسیر تمام System Callها در سطح بسیار پایین و حساس سیستم‌عامله.

POC Link : Hell's Hollow is a Windows 11 compatible rootkit technique that is equivalent to a modern (PatchGuard and HyperGuard) resistant technique to effectively perform SSDT Hooking (System Service Dispatch Table) - bypassing all previous defence mechanisms put in the kernel.

🦅 کانال بایت امن | گروه بایت امن
_

#Article

جاسوس افزار ایرانی در قالب فیلتر شکن و ارتباط آن با حسین آقا

اگر قصد نوشتن بدافزار از هر نوع و قالبی هستید مخصوصا APT, حداقل کاری که می تونید انجام بدین حذف متاتگ ها به خصوص بعد از لینک و کامپایل شدن هست. حتی اگر از سورس OpenVPN میخواید استفاده کنید.

C:/Users/hossein/AndroidStudioProjects/Comodo/VPN_vector/
C:\Users\HOSSEIN\AndroidStudioProjects\MyApplication5\build.gradle

🦅 کانال بایت امن | گروه بایت امن
_

#Article #Security

نصب Kali Linux در macOS, اما با محدودیت

در رویداد WWDC 2025، اپل از فریم‌ورک جدیدی برای کانتینرسازی رونمایی کرد که به دستگاه‌های مجهز به Apple Silicon (مثل مک‌های M1، M2، M3 و ...) اجازه می‌دهد سیستم‌عامل‌های لینوکسی ایزوله‌شده را در یک محیط مجازی اجرا کنند. این قابلیت مشابه WSL2 در ویندوز است و تجربه‌ای سریع‌تر و سبک‌تر نسبت به ماشین‌های مجازی سنتی ارائه می‌دهد.

با این حال، اجرای Kali Linux از طریق این روش همچنان با محدودیت‌هایی همراه است. به‌ویژه در نسخه‌ی macOS Sequoia 15، مشکلاتی مانند عدم دریافت آدرس IP یا نبود دسترسی به شبکه گزارش شده است. همچنین، برخی از قابلیت‌های پیشرفته‌ی Kali که نیاز به دسترسی مستقیم به سخت‌افزار (hardware passthrough) دارند، به دلیل ایزوله بودن کانتینر قابل استفاده نیستند.

🦅 کانال بایت امن | گروه بایت امن
_

#Note #GameHacking

تجربه شخصی از تحلیل چندین Anti-Cheat

چند وقت پیش یک تسک داشتم که مربوط می‌شد به بررسی یه سری آنتی‌چیت کرنل‌مد. می‌دونستم با چی قراره روبرو بشم، ولی این یکی بیش از حد سخت‌گیرانه بود و بیشتر شبیه یه agent امنیتی بود تا یه سیستم ضدتقلب ساده!

واقعیت اینه که سیستم‌های DRM و Anti-Cheat که قبلاً فقط برای جلوگیری از کپی یا تقلب طراحی شده بودن، حالا به ابزارهای مانیتورینگ سطح پایین سیستم تبدیل شدن. یعنی خیلی جدی‌تر از چیزی که شاید انتظار داشته باشید.

روی پردازنده‌های AMD، این نوع دسترسی از طریق تکنولوژی SVM یا همون AMD-V انجام میشه. سمت اینتل هم با VT-x برای مجازی‌سازی و VT-d برای کنترل امن ورودی/خروجی، راه برای آنتی‌چیت‌ها باز شده تا بتونن به جاهایی از سیستم دسترسی داشته باشن که نرم‌افزارهای عادی حتی بهش فکر هم نمی‌کنن.

یعنی از لایه های پایینتر میتونن :

حافظه بازی رو لحظه‌به‌لحظه زیر نظر بگیرن
پردازش‌هایی که مشکوک به نظر میان رو شناسایی کنن
امضاهای رفتاری بسازن

و حتی با روش هایی مثل Kernel Hooking یا Syscall Hooking تقلب ها رو شناسایی کنند اما این روش ها حتی یک لایه ساده تر از تکنولوژی هایی هست که بالاتر گفتم.

از طرفی این‌جور دسترسی‌ها یه روی خطرناک هم داره. کافیه یه باگ کوچیک یا تداخل با یه درایور دیگه اتفاق بیفته، به‌راحتی ممکنه سیستم کرش کنه، BSOD بده یا حتی اطلاعات کاربر از بین بره.

یا تشخیص بین کاربر حرفه‌ای و متقلب واقعی خیلی سخت بشه. ممکنه یه برنامه‌نویس یا دیباگر دقیقاً همون کارهایی رو بکنه که یه چیتر می‌کنه. پس اگر این الگوریتم‌ها درست طراحی نشن، پر از False Positive می‌شن و کاربر رو مثل متقلب بلاک می‌کنن.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools #ReverseEngineering #Android

dalvikus : Android reverse-engineering tool / smali editor

یک ابزار جدید، مدرن و همه‌کاره برای مهندسی معکوس و ویرایش اپلیکیشن‌های اندروید برای توسعه‌دهندگان و پژوهشگرانی که می‌خواهند به‌سادگی اپلیکیشن‌های اندروید را بررسی، ویرایش و بازسازی کنند

با Dalvikus می‌تونید به‌سادگی فایل‌های APK و DEX رو باز کنید، کدهای smali رو ویرایش کنید

امکانات کلیدی Dalvikus:

ویرایش مستقیم فایل‌های APK و DEX بدون نیاز به اکسترکت کردن
ادیتور قدرتمند Smali با هایلایت و تکمیل خودکار هنگام تایپ
پشتیبانی از چندین دیکامپایلر برای تحلیل دقیق کد های Dalvik
ابزار داخلی برای امضای مجدد (apksig و zipalign)
اجرای مستقیم اپلیکیشن روی دیوایس از طریق ADB
جستجوی پیشرفته برای رشته‌ها، متدها، فیلدها و ارجاع‌ها
مرور منابع، فایل‌های XML و resource IDs با apktool داخلی
پشتیبانی از تم‌های روشن و تیره برای تجربه کاربری بهتر

🦅 کانال بایت امن | گروه بایت امن
_