#Note #PE #MalwareAnalysis
گاهی وقتها برای تحلیل یک باینری، اولین قدم پیدا کردن رشتههاست چه با Static Analysis، چه با Dynamic Analysis.
اگر با ساختار PE آشنا باشیم، این رشتهها معمولا کجا پیدا میشوند ؟در سکشن ها و دایرکتوری ها.
سکشن rdata.
شامل رشتههای ثابت و Read-Only مثل پیامهای خطا، متنهای ثابت، اسم توابع و… .
سکشن data.
محل ذخیرهی رشتههایی که برنامه میتواند در طول اجرا تغییرشان بدهد. (Writable)
دایرکتوری Import Table
اسامی DLLها و توابعی که باینری به آنها وابسته است همینجا ذخیره میشود.
دایرکتوری Export Table
در مورد DLLها، نام توابع یا نمادهایی که Export شدهاند از این قسمت قابل استخراج است.
سکشن Resource (.rsrc)
شامل متادیتا، دیالوگها، اطلاعات نسخه، آیکونها و سایر منابعی که معمولا رشتههای قابل مشاهده در آنها قرار دارد.
سکشن Debug.
اگر Strip نشده باشند، ممکن است مسیر فایلهای سورس، کامنتها یا اطلاعات Build را در خود داشته باشند. برای همین هست که پروتکتوری مثل VMProtect یک گزینه جدا برای این مورد دارد.
و اما سکشن BSS., شامل متغیرهای مقداردهینشده (Uninitialized Data) است یعنی متغیرهایی که فقط تعریف شدهاند ولی هنگام کامپایل مقدار اولیه ندارند. فقط به اندازهی طول متغیر حافظه رزرو میکند و محتوایش در فایل PE وجود ندارد.
حالا خودتون در مورد idata. و edata. جستجو کنید چون این بخش های غیر مستقیم به موضوع رشته ها مربوط هستند.
🦅 کانال بایت امن | گروه بایت امن
_
گاهی وقتها برای تحلیل یک باینری، اولین قدم پیدا کردن رشتههاست چه با Static Analysis، چه با Dynamic Analysis.
اگر با ساختار PE آشنا باشیم، این رشتهها معمولا کجا پیدا میشوند ؟
سکشن rdata.
شامل رشتههای ثابت و Read-Only مثل پیامهای خطا، متنهای ثابت، اسم توابع و… .
سکشن data.
محل ذخیرهی رشتههایی که برنامه میتواند در طول اجرا تغییرشان بدهد. (Writable)
دایرکتوری Import Table
اسامی DLLها و توابعی که باینری به آنها وابسته است همینجا ذخیره میشود.
دایرکتوری Export Table
در مورد DLLها، نام توابع یا نمادهایی که Export شدهاند از این قسمت قابل استخراج است.
سکشن Resource (.rsrc)
شامل متادیتا، دیالوگها، اطلاعات نسخه، آیکونها و سایر منابعی که معمولا رشتههای قابل مشاهده در آنها قرار دارد.
سکشن Debug.
اگر Strip نشده باشند، ممکن است مسیر فایلهای سورس، کامنتها یا اطلاعات Build را در خود داشته باشند. برای همین هست که پروتکتوری مثل VMProtect یک گزینه جدا برای این مورد دارد.
و اما سکشن BSS., شامل متغیرهای مقداردهینشده (Uninitialized Data) است یعنی متغیرهایی که فقط تعریف شدهاند ولی هنگام کامپایل مقدار اولیه ندارند. فقط به اندازهی طول متغیر حافظه رزرو میکند و محتوایش در فایل PE وجود ندارد.
حالا خودتون در مورد idata. و edata. جستجو کنید چون این بخش های غیر مستقیم به موضوع رشته ها مربوط هستند.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17🔥6👎3👍1
#CTF #ReverseEngineering #Exploiting
💠iOS Application Exploitation Challenges
اگر به دنیای آسیبپذیریهای iOS علاقه دارید، یه مجموعه عالی وجود داره که مخصوص تمرین و چالش در زمینه اکسپلویت و مهندسی معکوس iOS ساخته شده.
این مجموعه مناسب کساییه که توی یکی از این حوزهها فعالیت دارن:
متخصصهای امنیت iOS
بچههای باگبانتی
متخصصین امنیت
توسعه دهندگان iOS
چالشها در سطحهای مختلف طراحی شدن و در مجموع ۱۳ چالش جذاب رو شامل میشن. کاملا رایگانه و میتونید هر زمان بخواید وارد چالشها بشین و مهارتهاتونو تقویت کنید.
🦅 کانال بایت امن | گروه بایت امن
_
💠iOS Application Exploitation Challenges
اگر به دنیای آسیبپذیریهای iOS علاقه دارید، یه مجموعه عالی وجود داره که مخصوص تمرین و چالش در زمینه اکسپلویت و مهندسی معکوس iOS ساخته شده.
این مجموعه مناسب کساییه که توی یکی از این حوزهها فعالیت دارن:
متخصصهای امنیت iOS
بچههای باگبانتی
متخصصین امنیت
توسعه دهندگان iOS
چالشها در سطحهای مختلف طراحی شدن و در مجموع ۱۳ چالش جذاب رو شامل میشن. کاملا رایگانه و میتونید هر زمان بخواید وارد چالشها بشین و مهارتهاتونو تقویت کنید.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16🔥4👍3👎1
This media is not supported in your browser
VIEW IN TELEGRAM
#Tools #SecureByte
همهچیز از یک ایده شروع شد | ۲۰۱۶
از علاقهام به ویژوال افکت و داینامیک، زمانی که با Maya کار میکردم، ایدهای به ذهنم رسید که مسیر جدیدی برام ساخت:
طراحی یک سیستم محافظت از اسکریپتها و پلاگینهای Autodesk.
✅ اولین تستها روی این موارد انجام شد:
سازگاری با تمامی نسخه های Maya & 3ds Max
با پشتیبانی کامل از MEL و Python
چیزی که اون روز فقط یک تست ساده بود، سال هاست با یک نام تجاری جدید، به عنوان یکی از محصولات زیرمجموعه بایت امن، در کنار سایر نرمافزارهای امنیتی این مجموعه قرار گرفته.
🦅 کانال بایت امن | گروه بایت امن
_
همهچیز از یک ایده شروع شد | ۲۰۱۶
از علاقهام به ویژوال افکت و داینامیک، زمانی که با Maya کار میکردم، ایدهای به ذهنم رسید که مسیر جدیدی برام ساخت:
طراحی یک سیستم محافظت از اسکریپتها و پلاگینهای Autodesk.
سازگاری با تمامی نسخه های Maya & 3ds Max
با پشتیبانی کامل از MEL و Python
چیزی که اون روز فقط یک تست ساده بود، سال هاست با یک نام تجاری جدید، به عنوان یکی از محصولات زیرمجموعه بایت امن، در کنار سایر نرمافزارهای امنیتی این مجموعه قرار گرفته.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤6👍2
#Podcast #EDR
قسمت ۲۰ مجموعه پادکست پشت صحنه باینری با حضور Pavel Yoaovich به عنوان مهمان
موضوع این پادکست :
به زبان ساده: درباره جزئیات فنی هسته ویندوز و پیشرفتهای امنیتی مثل VBS و EDR است.
طراحی و معماری هسته (Kernel) ویندوز
نحوه عملکرد و طراحی EDR ها (Endpoint Detection and Response)
تغییرات امنیتی در ویندوز در جهت استفاده از Virtualization-Based Security (VBS)
اینکه چرا و چگونه مایکروسافت دارد به سمت استفاده بیشتر از VBS میرود تا امنیت سیستم بهتر شود
🦅 کانال بایت امن | گروه بایت امن
_
قسمت ۲۰ مجموعه پادکست پشت صحنه باینری با حضور Pavel Yoaovich به عنوان مهمان
موضوع این پادکست :
به زبان ساده: درباره جزئیات فنی هسته ویندوز و پیشرفتهای امنیتی مثل VBS و EDR است.
طراحی و معماری هسته (Kernel) ویندوز
نحوه عملکرد و طراحی EDR ها (Endpoint Detection and Response)
تغییرات امنیتی در ویندوز در جهت استفاده از Virtualization-Based Security (VBS)
اینکه چرا و چگونه مایکروسافت دارد به سمت استفاده بیشتر از VBS میرود تا امنیت سیستم بهتر شود
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤19🔥5👍3😁1
Forwarded from OS Internals (Abolfazl Kazemi)
📢 انتشار فصل هفتم دوره Linux Exploit Development
ℹ️ جزئیات ساختار فایلهای ELF. مشاهدهی این فصل به علاقهمندان به Internal لینوکس نیز توصیه میشود.
📚 در این فصل بهصورت عمیق با ساختار فایلهای ELF آشنا میشویم؛ فرمت استانداردی که تمام باینریها، کتابخانهها و ابزارهای لینوکسی بر پایه آن ساخته شدهاند.
درک صحیح ELF نه تنها برای تحلیل آسیبپذیریها و نوشتن اکسپلویتها ضروری است، بلکه برای علاقهمندان Linux Internals و متخصصان امنیت نیز یک مهارت کلیدی محسوب میشود.
📚در این فصل بخشهای مختلف ELF شامل سرآیندها، جدولهای رشته، Program Headerها و Section Headerها را بررسی میکنیم و سپس وارد دنیای لینکدهی پویا میشویم. در نهایت نحوهی عملکرد GOT/PLT و اینکه سیستمعامل چگونه توابع کتابخانهای را هنگام اجرا resolve میکند را یاد میگیرید — دانشی که پایهی بسیاری از تکنیکهای تحلیل و اکسپلویتنویسی پیشرفته است، مثل ret2plt و ret2got.
✍️ لینک ویدئوهای فصل ۷ در یوتیوب:
P07-01) ELF Introduction
P07-02) ELF Header
P07-03) ELF Entrypoint
P07-04) Program Headers
P07-05) Playing with Program Headers
P07-06) String Table
P07-07) Section Headers
P07-08) Dynamic Linking
P07-09) GOT and PLT
P07-10) Resolving library functions using PLT GOT
✍️ لینک ویدئوهای فصل ۷ در آپارات:
https://aparat.com/v/ajsd66x
https://aparat.com/v/wzj6d2e
https://aparat.com/v/lyi132n
https://aparat.com/v/oxp9p38
https://aparat.com/v/mql32hk
https://aparat.com/v/uidj0gv
https://aparat.com/v/axwxxgp
https://aparat.com/v/rjwj757
https://aparat.com/v/flg5k5l
https://aparat.com/v/awd2k2c
#linux #exploitdev #gdb #ELF #binary_analysis #internals #got #plt #linking
ℹ️ جزئیات ساختار فایلهای ELF. مشاهدهی این فصل به علاقهمندان به Internal لینوکس نیز توصیه میشود.
📚 در این فصل بهصورت عمیق با ساختار فایلهای ELF آشنا میشویم؛ فرمت استانداردی که تمام باینریها، کتابخانهها و ابزارهای لینوکسی بر پایه آن ساخته شدهاند.
درک صحیح ELF نه تنها برای تحلیل آسیبپذیریها و نوشتن اکسپلویتها ضروری است، بلکه برای علاقهمندان Linux Internals و متخصصان امنیت نیز یک مهارت کلیدی محسوب میشود.
📚در این فصل بخشهای مختلف ELF شامل سرآیندها، جدولهای رشته، Program Headerها و Section Headerها را بررسی میکنیم و سپس وارد دنیای لینکدهی پویا میشویم. در نهایت نحوهی عملکرد GOT/PLT و اینکه سیستمعامل چگونه توابع کتابخانهای را هنگام اجرا resolve میکند را یاد میگیرید — دانشی که پایهی بسیاری از تکنیکهای تحلیل و اکسپلویتنویسی پیشرفته است، مثل ret2plt و ret2got.
✍️ لینک ویدئوهای فصل ۷ در یوتیوب:
P07-01) ELF Introduction
P07-02) ELF Header
P07-03) ELF Entrypoint
P07-04) Program Headers
P07-05) Playing with Program Headers
P07-06) String Table
P07-07) Section Headers
P07-08) Dynamic Linking
P07-09) GOT and PLT
P07-10) Resolving library functions using PLT GOT
✍️ لینک ویدئوهای فصل ۷ در آپارات:
https://aparat.com/v/ajsd66x
https://aparat.com/v/wzj6d2e
https://aparat.com/v/lyi132n
https://aparat.com/v/oxp9p38
https://aparat.com/v/mql32hk
https://aparat.com/v/uidj0gv
https://aparat.com/v/axwxxgp
https://aparat.com/v/rjwj757
https://aparat.com/v/flg5k5l
https://aparat.com/v/awd2k2c
#linux #exploitdev #gdb #ELF #binary_analysis #internals #got #plt #linking
YouTube
P07-03) ELF Entrypoint [PER]
بررسی نقطه ورودی برنامه و چگونگی شروع اجرای یک باینری.
❤18👍4🔥3
#Tools
پروژهای که توسط یکی از دانشجوهای دوره برنامهنویسی تهاجمی توسعه داده شده
پلاگین PEB-Manipulator یک پلاگین برای x64dbg است که امکان بررسی (Inspect) و دستکاری (Manipulate) ساختار Process Environment Block (PEB) در پروسس را فراهم میکند.
قابلیتهای PEB-Manipulator
خواندن فیلدهای کلیدی PEB:
BeingDebugged
NtGlobalFlag
ProcessParameters
CommandLine
پچ کردن چکهای رایج Anti-Debug مبتنی بر PEB
نمایش آرگومانهای خط فرمان پروسس بهصورت argv-style
پشتیبانی از پروسس های هدف x86 (32-bit) و x64 (64-bit)
پیادهسازی تمیز و مینیمال مبتنی بر Win32 API
تشخیص خودکار معماری پروسس داخل x64dbg
🦅 کانال بایت امن | گروه بایت امن
_
پروژهای که توسط یکی از دانشجوهای دوره برنامهنویسی تهاجمی توسعه داده شده
پلاگین PEB-Manipulator یک پلاگین برای x64dbg است که امکان بررسی (Inspect) و دستکاری (Manipulate) ساختار Process Environment Block (PEB) در پروسس را فراهم میکند.
قابلیتهای PEB-Manipulator
خواندن فیلدهای کلیدی PEB:
BeingDebugged
NtGlobalFlag
ProcessParameters
CommandLine
پچ کردن چکهای رایج Anti-Debug مبتنی بر PEB
نمایش آرگومانهای خط فرمان پروسس بهصورت argv-style
پشتیبانی از پروسس های هدف x86 (32-bit) و x64 (64-bit)
پیادهسازی تمیز و مینیمال مبتنی بر Win32 API
تشخیص خودکار معماری پروسس داخل x64dbg
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24❤10👍4😱1
#Tools
تو دوره برنامهنویسی تهاجمی، هر فصل چند تا پروژه فاینال داره و برنامههایی که تو پستهای قبل دیدین، دقیقاً همون پروژههای عملی بچههای دوره هستن.
تو این پروژهها از ایده تا اجرا و تکمیل نهایی با بچهها پیش میریم تا بتونن ابزارهایی که میخوان بسازن چه تو زمینه آفنسیو و چه دفنسیو.
تجربهای واقعی و عملی که دانشجوها رو آماده میکنه ابزارهاشون رو خودشون بسازن و همه جزئیاتش رو یاد بگیرن.
معرفی یکی دیگه از پروژههای دانشجویان دوره برنامهنویسی تهاجمی.
قابلیتهای ProcSec
نمایش پروسسهای در حال اجرا به همراه PID و PPID
مشاهده سطح حفاظت پروسسها
نمایش سیاستهای میتیگیشن مثل CFG، ASLR و DEP
امکان Dump حافظه پروسس ( استاندارد )
نمایش ساده اطلاعات PE فایلها
نمایش ساده اطلاعات استراکچر PEB
رابط گرافیکی ساده و سبک
🦅 کانال بایت امن | گروه بایت امن
_
تو دوره برنامهنویسی تهاجمی، هر فصل چند تا پروژه فاینال داره و برنامههایی که تو پستهای قبل دیدین، دقیقاً همون پروژههای عملی بچههای دوره هستن.
تو این پروژهها از ایده تا اجرا و تکمیل نهایی با بچهها پیش میریم تا بتونن ابزارهایی که میخوان بسازن چه تو زمینه آفنسیو و چه دفنسیو.
تجربهای واقعی و عملی که دانشجوها رو آماده میکنه ابزارهاشون رو خودشون بسازن و همه جزئیاتش رو یاد بگیرن.
معرفی یکی دیگه از پروژههای دانشجویان دوره برنامهنویسی تهاجمی.
قابلیتهای ProcSec
نمایش پروسسهای در حال اجرا به همراه PID و PPID
مشاهده سطح حفاظت پروسسها
نمایش سیاستهای میتیگیشن مثل CFG، ASLR و DEP
امکان Dump حافظه پروسس ( استاندارد )
نمایش ساده اطلاعات PE فایلها
نمایش ساده اطلاعات استراکچر PEB
رابط گرافیکی ساده و سبک
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🔥7👍3🎉1🤩1
——
——
_
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🔥3👍2
کانال بایت امن
#DWORD #Demo بیش از ۲ ساعت دموی رایگان از دوره «برنامهنویسی تهاجمی مختص به تیمهای قرمز» منتشر شده، تا قبل از تهیه دوره بتوانید با مشاهده دموی عملی، از کیفیت آموزش و سطح فنی محتوا اطمینان حاصل کنید. لینک ویدیوها در ادامه آمده است: معرفی دوره نحوه تعریف…
بیش از ۲ ساعت دموی رایگان از دوره «برنامهنویسی تهاجمی مختص به تیمهای قرمز» منتشر شده، تا قبل از تهیه دوره بتوانید با مشاهده دموی عملی، از کیفیت آموزش و سطح فنی محتوا اطمینان حاصل کنید.
_
_
❤14🔥3👍1
خیلیا وقتی اسم مهندسی معکوس نرمافزار میاد، اولین چیزی که به ذهنشون میرسه اینه
که آخرش قراره بریم سراغ کرک کردن! چه بازی باشه چه هر نرمافزار دیگهای
ولی واقعیت اینه که مهندسی معکوس خیلی فراتر از این حرفاست.
تقریباً اکثر دانشجوهام که وارد این حوزه میشن، اولش همین دید رو دارن. اما وقتی جلوتر میرن، تمرینها رو انجام میدن و دوره رو تموم میکنن، تازه متوجه میشن ماجرا خیلی عمیقتره و با گرایشها و کاربردهای واقعی مهندسی معکوس نرمافزار آشنا میشن.
قبلاً یه مینیدوره کاملاً عملی با عنوان «از تحلیل تا کدنویسی با مهندسی معکوس نرمافزار» منتشر کردم.
توی این پلیلیست میتونید به آموزشها دسترسی داشته باشید و از طریق لینکی که گذاشتم هم فایلهای دوره در دسترسه.
اگر واقعاً میخواید بدونید مهندسی معکوس تو عمل یعنی چی، این مینیدوره میتونه دیدتون رو عوض کنه و اگر علاقه داشتید تو دوره مهندسی معکوس نرم افزار نگارش پنجم با تخفیف ویژه شرکت کنید، این دوره از همین الان قابل دسترس هست و به اتمام رسیده.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16❤6👎4👍2
شروع مجدد فعالیت کانال بایت امن
با توجه به محدودیت دسترسی به اینترنت تصمیم گرفتیم که علاوه بر فعالیت مجدد در کانال تلگرام، در پیام رسان بله نیز فعالیت داشته باشیم.
آیدی کانال بایت امن در پیام رسان بله:
@securebyteir
همچنین دانشجویانی که لینک های گروه پشتیبانی در پیام رسانه بله را دربافت نکرده اند به این آیدی @YMahmoudnia در پیام رسان بله پیغام دهند.
🦅 کانال بایت امن | گروه بایت امن
_
با توجه به محدودیت دسترسی به اینترنت تصمیم گرفتیم که علاوه بر فعالیت مجدد در کانال تلگرام، در پیام رسان بله نیز فعالیت داشته باشیم.
آیدی کانال بایت امن در پیام رسان بله:
@securebyteir
همچنین دانشجویانی که لینک های گروه پشتیبانی در پیام رسانه بله را دربافت نکرده اند به این آیدی @YMahmoudnia در پیام رسان بله پیغام دهند.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
👎11❤9👍3🔥1