#Article #Programming

▪️Writing a Debugger From Scratch by Tim Misiak

در مجموعه جدید آموزشی آقای Tim Misiak به نام "نوشتن دیباگر از ابتدا" هدف اینه که تا جای ممکن با نحوه کار دیباگر ها آشنا بشید.

در ضمن نویسنده با زبان برنامه نویسی Rust این دیباگر رو جلو میبره.

DbgRs Part 1 - Attaching to a Process
DbgRs Part 2 - Register State and Stepping
DbgRs Part 3 - Reading Memory
DbgRs Part 4 - Exports and Private Symbols
DbgRs Part 5 - Breakpoints

🦅 کانال بایت امن | گروه بایت امن
_

#Video #MalwareAnalysis

▪️Reversing in action: Golang malware used in the SolarWinds attack. Part 1 and Part 2

در این دو ویدیو به تحلیل بدافزاری که در زبان برنامه نویسی Go نوشته شده بود و در حمله به SolarWinds استفاده شد، پرداخته میشود.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

▪️Windows System Control Center

اگر تمایل دارید مجموعه کامل Sysinternlas و NirSoft به همراه چندین تولز دیگه در کنار هم داشته باشید توصیه میکنم WSCC رو نصب کنید.

این تولز به صورت خودکار با توجه به تغییرات در نرم افزار ها، بروز رسانی خواهد شد.

🦅 کانال بایت امن | گروه بایت امن
_

#MyNote

چند روز پیش به یک پروژه در گیتهاب برخوردم، کتابخانه ای برای ایجاد BSOD در Rust با استفاده از توابع Undocumented.
حالا صرف نظر از اینکه چرا نویسنده همچین کتابخانه ای نوشته بریم یکم تحلیل کنیم.

ابتدا با استفاده از تابع بومی RtlAdjustPrivilige سطح دسترسی های لازم را برای پروسس فراهم میکنه، این تابع بخش از NTDLL.DLL هست.

در مرحله دوم با استفاده از تابع بومی NtRaiseHardError اقدام به ایجاد BSOD میکنه. این تابع هم بخشی از NTDLL.DLL هست.

توضیحات بیشتر :
به پارامتر های ورودی دقت کنید.
اینکار رو میشه با تابع بومی ZwRaiseHardError هم انجام داد.
الان میدونید که یکی از دلایل رخ دادن BSOD در یوزر مد چی میتونه باشه.

🦅 کانال بایت امن | گروه بایت امن
_

#Article #ReverseEngineering

▪️R2R stomping Technique : Hides code from decompilation and debugging with dnSpy/dnSpyEx.

معرفی تکنیک R2R stomping جهت مخفی کردن کد ها و جلوگیری از دیکامپایل شدن برنامه های Net. و کد های IL در دیباگر dnSpy/dnSpyEx.

🦅 کانال بایت امن | گروه بایت امن
_

#Article #ReverseEngineering

▪️What really is the Entry Point of a .NET Module?

آیا کد های Net Main. واقعا اولین Entry Point مربوط به برنامه های Net. هست ؟ در مقاله جدید Washi به همین موضوع می پردازه و موارد زیر رو مورد بررسی قرار میده.

➖Program::Main()
➖Static Class Constructors (Program::.cctor)
➖Static Module Constructors (<Module>::.cctor)
➖External Module Constructors
➖COR20 Native Entry Point

🦅 کانال بایت امن | گروه بایت امن
_

#Tools #Exploiting

▪️A New Exploitation Technique for Visual Studio Projects

Tested version: 17.7.5 (VS2022 update at 2023.10)

این اولین بار نیست که از فایل پروژه های Visual Studio میشه بهره برداری کرد و کد های مخرب رو اجرا کرد. قبلا هم در سال 2021 گروه Lazarus APT از آسیب پذیری مشابه استفاده کرده بود و کد های مخرب رو در ساختار فایل پروژه اجرا میکرد.

این باگ نه تنها در ویژوال Visual Studio بلکه در JetBrains, VSCode و چند Text Editor وجود داره که باعث اجرای کد های مخرب در ساختار فایل پروژه میشه.

🦅 کانال بایت امن | گروه بایت امن
_

سلام به همه عزیزان، وقت همگی بخیر.

در راستای برگزاری لایو مرتبط با موضوع نقشه راه و مسیر حوزه باینری، این تاپیک دقایقی دیگر باز خواهد شد تا سوالات، درخواست ها و ابهاماتی که در این حوزه دارید را بتوانید مطرح کنید.

🔴برای دسترسی به تاپیک، ابتدا باید در گروه عضو باشید.

جهت رسیدگی بهتر به موضوعات ذکر شده توسط شما :
▪️سوالات خود را در یک پیغام ارسال کنید
▪️سوالات و در خواست هاتون با موضوع مطرح شده مرتبط باشه.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

Reko 0.11.5 Released

Reko (Swedish: "decent, obliging") is a decompiler for machine code binaries. This project is freely available under the GNU General Public License.

نسخه 0.11.5 دیکامپایلر باینری Reko با تغییرات زیادی در بخش معماری Risc-V در گیتهاب قرار گرفت.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

HyperDbg v0.8.2 is now released! 🔥

This update brings support for functions in the script engine.

Read more:
https://docs.hyperdbg.org/commands/scripting-language/constants-and-functions

## [0.8.2.0] - 2024-03-19
New release of the HyperDbg Debugger.

### Added
- Add user-defined functions and variable types in script engine

### Changed
- Fix debuggee crash after running the '.debug close' command on the debugger
- The problem with adding edge MTRR pages is fixed
- All compiler/linker warnings of kernel-mode modules are fixed
- User/Kernel modules of HyperDbg now compiled with "treat warning as error"
- After downloading new symbols it is automatically loaded
- Fix error messages/comments spelling typos

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

fdbg for AMD64 is assembler level debugger for user-mode (ring3) binary applications, running in long mode (64-bit) - Windows and Linux versions. Version for UEFI x64 is also available.

Supported platforms:

▪️Windows XP x64, Windows 2003 server x64, Vista x64, Windows 2008 server x64, Windows 7 x64
▪️Linux x64
▪️UEFI x64

پروژه دیباگر fdbg و نسخه هایپروایزر اون یعنی hdbg در سال 2013 بازنشسته شد که بیشتر بخش های اون با FASM نوشته شده. اگر علاقه داشتید میتونید UEFI x64 را بررسی کنید.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

HexRaysCodeXplorer

HexRaysCodeXplorer for easier code navigation. Right-click context menu in the Pseudocode window.

با پلاگین CodeExplorer تجربه کاری بهتری در پنجره Pseudocode در برنامه IDA خواهید داشت . با قابلیت هایی همچون نمایش و ذخیره Ctree گراف ها، نمایش و ذخیره تایپ ها، بازسازی اتوماتیک تایپ ها و جداول Virtual Function و ...

توجه داشته باشید که این پلاگین با نسخه های DEMO/FREE برنامه IDA به دلیل عدم پشتیبانی از پلاگین های دیکامپایلر رسمی کار نخواهد کرد و همینطور نسخه گیتهاب مربوط به IDA 7.7 است.

🦅 کانال بایت امن | گروه بایت امن
_

_
🦅 تیم امنیت نرم افزار بایت امن | مرجع تخصصی در حوزه باینری

🏳️ برنامه نویسی | تحلیل بدافزار | توسعه آسیب پذیری | مهندسی معکوس | امنیت نرم افزار

🐞 به همراه گروه پرسش و پاسخ و منابع آموزشی

🌐 @SecureByte | Group
_