کانال بایت امن
4.51K subscribers
415 photos
49 videos
34 files
586 links
برگزاری دوره های آموزش برنامه نویسی و امنیت نرم افزار.

https://dword.ir
@YMahmoudnia
Download Telegram
#Article #MalwareAnalysis

Understanding RedLine Stealer: The Trojan Targeting Your Data

در این پست به‌صورت مرحله‌به‌مرحله به آنالیز تروجان RedLine Stealer پرداخته شده است.

این تروجان پس از نصب در سیستم قربانی، شروع به جمع‌آوری اطلاعاتی نظیر Login Credentials، تمامی اطلاعاتی که در فرم‌های مرورگر به‌صورت AutoFill ذخیره شده‌اند، کلیدهای کیف پول‌های ارزهای دیجیتال، اطلاعات مربوط به سیستم‌عامل و سخت‌افزار، و همچنین فایل‌ها و اسناد موجود می‌کند.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
17👍2🔥2
#Article #LOTL #ReverseEngineering

Living Off the Land: Reverse Engineering Methodology + Tips & Tricks (Cmdl32 Case Study)

در این مقاله، نویسنده با استفاده از تکنیک LOTL به بررسی یک باینری خاص به نام Cmdl32.exe پرداخته است که به‌عنوان یکی از دشوارترین اهداف برای مهندسی معکوس شناخته شده (در واقع، به گفته نویسنده، سخت‌ترین موردی که تا به حال تحلیل کرده است).

کلمه LOTL مخفف Living Off The Land است و به تکنیکی اشاره دارد که در آن مهاجم به جای استفاده از ابزارها و بدافزارهای خارجی، از برنامه‌ها و قابلیت‌های از پیش نصب شده در سیستم قربانی برای انجام حملات خود استفاده می‌کند.

این تکنیک به دلیل استفاده از ابزارها و باینری‌های قابل اعتماد سیستم، تشخیص و شناسایی حمله را برای راهکارهای امنیتی مانند آنتی‌ویروس‌ها و EDRها دشوارتر می‌کند.

اگر به این نوع حملات علاقه دارید، چندین پروژه مرتبط وجود دارد که می‌توانید از طریق لینک‌های زیر آن‌ها را بررسی کنید:


➡️ GTFOBins
➡️ LOLBAS
➡️ LOLAPPS
➡️ LOLDRIVERS
➡️ LOLAD
➡️ LOLESXi
➡️ LOOBins

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
16🔥4👍2
#Article #GameHacking

A Roadmap to Security Game Testing: Finding Exploits in Video Games Introduction

در این مقاله نویسنده شما را قدم به قدم با فرآیندی که برای ساخت ابزارهای پیدا کردن آسیب‌پذیری در بازی‌های ویدیویی استفاده می‌کند، آشنا خواهد کرد.

تمرکز این مقاله بر روی بازی Sword of Convallaria است که هم برای PC و هم برای Mobile قابل دریافت هست و با انجین Unity کد نویسی شده.

هدف نویسنده آشنایی با روش‌های شناسایی آسیب‌پذیری در چارچوب برنامه‌های باگ بانتی است.

🔗سورس کد های مقاله از این ریپو قابل دریافت است.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
21👍1🔥1
#Article #Debugger

Writing a Linux Debugger

چند روز پیش در گروه بایت‌امن، کتابی با عنوان نوشتن یک دیباگر لینوکس به زبان ++C معرفی کردیم. فصل سوم این کتاب را می‌توانید از لینک زیر دانلود کنید.

همچنین تا زمان انتشار نهایی کتاب Building a Debugger، نویسنده خانم Sy Brand در بلاگ خود مجموعه مقالاتی درباره ساخت دیباگر لینوکسی منتشر کرده است که می‌توانید از آن‌ها استفاده کنید.

کدهای مرتبط در GitHub قرار داده شده‌اند، با این تفاوت که کتاب درباره نوشتن دیباگر ۶۴ بیتی است، در حالی که مقالات بلاگ مربوط به دیباگر ۳۲ بیتی هستند.

1. Setup
2. Breakpoints
3. Registers and memory
4. Elves and dwarves
5. Source and signals
6. Source-level stepping
7. Source-level breakpoints
8. Stack unwinding
9. Handling variables
10. Advanced topics

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
22👍1🎉1
#Article #ProcessInjection

The Definitive Guide to Linux Process Injection

تکنیک‌های تزریق به فرآیند بخش مهمی از ابزارهای مهاجمان محسوب می‌شوند. این تکنیک‌ها به مهاجمان امکان می‌دهند که کد مخرب را در داخل یک فرآیند معتبر اجرا کنند تا از شناسایی توسط ابزارهای امنیتی جلوگیری کنند یا هوک‌هایی را در فرآیندهای راه دور قرار دهند تا رفتار آنها را تغییر دهند.

در این مقاله ابتدا تفاوت‌های میان تزریق کد در سیستم‌عامل ویندوز و لینوکس بررسی می‌شود و سپس تکنیک‌های رایج در سیستم‌عامل لینوکس مورد بحث قرار می‌گیرند.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
21👍3🎉1
#Article #Unpacking

Dotnet String Decryptor

در دومین سری از مقالات آنپکینگ، این‌بار به سراغ تکنیک String Decryptor در برنامه‌ها و بدافزارهای .NET رفته‌ایم.

در این مقاله، سمپل DCRat یا همان DarkCrystal RAT تحلیل می‌شود و با استفاده از کتابخانه dnlib، یک اسکریپت پایتون برای دیکریپت کردن رشته‌ها نوشته خواهد شد.

Step 1 : Importing libs and loading the .NET filePermalink
Step 2 : Finding suspected decryption methods
Step 3 : Finding references to suspected methods
Step 4 : Patching
Step 5 : Saving
Step 6 : Testing and final notes

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
20👍4🔥3
#Article #Unpacking

String Deobfuscation with Invoke

1. Installing Python libraries (and including dnlib.dll)
2. Defining string decryption method as name and MethodInfo
3. Determining string encrypted places and getting decrypted value by using Invoke
4. Placing the received decrypted value
5. Saving

در این مقاله، نویسنده با استفاده از dnlib و Reflection در زبان پایتون اقدام به رمزگشایی یا بازگردانی رشته‌های مبهم‌سازی‌شده کرده است. فایل های استفاده شده در مقاله هم در گیتهاب قرار داده شده.

از رفلکشن برای باز کردن و تحلیل فایل‌های اسمبلی که توسط پروتکتور ها محافظت شده‌اند، استفاده می‌شود.

این فرایند معمولاً شامل کارهای زیر است:
1. شناسایی متدها، کلاس‌ها و اعضای اسمبلی.
2. پیدا کردن متد یا فیلدی که وظیفه رمزگشایی رشته‌های مبهم‌سازی‌شده است.
3. اجرای این متد به‌صورت داینامیک (با استفاده از reflection) در زمان اجرا.


🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
18👍2🔥2
#Article #GameHacking

⚜️Reverse Engineering Call Of Duty Anti-Cheat

در این مقاله، با دیدی تخصصی به بررسی سیستم ضد تقلب Treyarch (TAC) در بازی Black Ops Cold War پرداخته شده است. برخلاف نسخه‌های جدیدتری مثل Modern Warfare (2019)، این بازی فاقد بخش kernel-mode از Ricochet است و عمده عملیات ضد تقلب آن در سطح کاربری (User-Mode) انجام می‌شود. نویسنده در کنار تحلیل TAC، به ارائه توضیحاتی از نحوه محافظت بازی و کد آن نیز می‌پردازد.

یکی از ابزارهای کلیدی مورد بررسی در این مقاله، Arxan که یک ابزار قدرتمند مبهم‌سازی و محافظت از کد که از نسخه‌های بعد از Black Ops 3 در سری Call of Duty استفاده شده است. این ابزار با ارائه قابلیت‌هایی پیچیده، فرآیند مهندسی معکوس و دور زدن سیستم را به شدت دشوار می‌سازد.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
20👍4🔥1
#Article #Programming

⚜️Everything About Memory Allocators: Write A Simple Memory Allocator

اختصاص حافظه یکی از مفاهیم اساسی در برنامه‌نویسی سیستم است که هر توسعه‌ دهنده‌ای باید با آن آشنا باشد. این مقاله به بررسی دقیق پیاده‌سازی یک تخصیص‌ دهنده حافظه ساده در زبان C و در سیستم عامل لینوکس می‌پردازد و توابعی مانند malloc()، free()، calloc() و realloc() را توضیح می‌دهد.

اگر چه این پیاده‌سازی به پیچیدگی تخصیص‌ دهنده‌های حرفه‌ای مانند ptmalloc یا jemalloc نخواهد بود، اما مفاهیم اصلی را به شما آموزش خواهد داد.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
22👍3🎉1
#Article #Hardware #ReverseEngineering

⚜️Mouse Adventures Series

اگر به هک سخت‌افزار علاقه دارید، این مجموعه مقالات که در 8 بخش ارائه شده، دید بسیار خوبی به شما می‌دهد.

در این مقالات، نویسنده با مهندسی معکوس موس گیمینگ Tecknet Hypertrak، تلاش می‌کند ابزار اختصاصی ویندوزی آن را کنار بگذارد و یک ابزار کراس‌ پلتفرم برای تنظیمات ماوس ایجاد کند.

در این مسیر، نکاتی درباره نحوه‌ی ارتباط نرم‌افزار با سخت‌افزار و حتی اطلاعات کمیابی درباره ایجاد ماژول پردازشگر در IDA آموزش داده می‌شود.

Introduction
Extracting the Firmware
Writing a Disassembler
Writing a custom tool
Dumping and Parsing the USB Descriptors
Enabling the Bootloader
Writing an IDA Processor Module
Dissecting the USB Code and Unbricking the Mouse


🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥183👍1
#Article #Security

⚜️Process Hollowing on Windows 11 24H2

بررسی مشکلات تکنیک Process Hollowing در ویندوز 11 (نسخه 24H2)

تکنیک Process Hollowing که با نام RunPE نیز شناخته می‌شود، یکی از قدیمی‌ترین و پر کاربردترین روش‌های جعل پروسس است. این تکنیک به شما این امکان را می‌دهد که یک فایل اجرایی مخرب را در پوشش یک پروسس سالم اجرا کنید.

مشکلی که باعث اختلال در اجرای تکنیک Process Hollowing (RunPE) روی ویندوز 11 (نسخه 24H2) شده است، از تغییراتی ناشی می‌شود که در Windows Loader اعمال شده است.

با این حال، برخلاف تصورات برخی از افراد، این مشکل به دلیل فعال شدن Control Flow Guard (CFG) نیست. در واقع، دلیل این مسئله بسیار ساده‌تر از آن چیزی است که تصور می‌شود.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
17👍3🔥2
#Article #ReverseEngineering

⚜️Introducing TSforge: The Ultimate Activation Exploit

بررسی تکنیکال اکسپلویت TSforge

حدود 20 سال از معرفی سیستم حفاظت از کپی ویندوز (Software Protection Platform - SPP) می‌گذرد. این سیستم از زمان ویندوز ویستا به‌عنوان مکانیزم اصلی فعال‌سازی استفاده شده است.

در طی این مدت روش های متعددی برای دور زدن SSP معرفی شد مثل :
▪️ریست تایمر دوره آزمایشی
▪️شبیه‌سازی سرورهای KMS
▪️هک کردن Bootloader

بیشتر این روش ها به صورت مستقیم SPP را تحت تاثیر قرار نمیداد اما برای اولین بار، اکسپلویتی به نام TSforge معرفی شده که مستقیماً به SPP حمله می‌کند.

از مهمترین ویژگی های TSforge می توان به موارد زیر اشاره کرد :

▪️ فعال‌سازی تمام نسخه‌های ویندوز از ویندوز 7 به بعد
▪️ فعال‌سازی تمام افزونه‌های ویندوز و نسخه‌های آفیس از 2013 به بعد
▪️ پیچیده‌ترین و گسترده‌ترین اکسپلویت ساخته‌شده توسط تیم MAS

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
21👍7🤩1
#Article #Exploiting #Kernel

⚜️Introduction to Windows Kernel Exploitation

مجموعه مقالات آموزشی Windows Kernel Exploitation تا این لحظه در ۹ قسمت آماده شده است. در این پست‌ها، نویسنده ابتدا روی Windows 7 (x86) و Windows 10 (x64) تمرکز خواهد داشت و در نهایت به Windows 11 (x64) خواهد رسید.

0x00 - Introduction to Windows Kernel Exploitation
0x01 - Killing Windows Kernel Mitigations
0x02 - Introduction to Windows Kernel Use After Frees (UaFs)
0x03 - Approaching the Modern Windows Kernel Heap
0x04 - Introduction to Windows Kernel Write What Where Vulnerabilities
0x05 - Introduction to Windows Kernel Type Confusion Vulnerabilities
0x06 - Approaching Modern Windows Kernel Type Confusions
0x07 - Introduction to Windows Kernel Race Conditions
0x08 - Race Conditions Moderno Del Windows Kernel
0x09 - Return of the Windows Kernel Stack Overflow

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥215👍4🤩1
SANS_Cheat-Sheet_windbg-pe-parsing.pdf
632.2 KB
#Article #PE #Debugger #Reference

⚜️PE Parsing with WinDbg

This reference provides essential WinDbg commands to manually parse PE (Portable Executable) images and explore key system structures.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥223👍3🤩1
IDA Pro Shortcuts.pdf
70.4 KB
#Article #IDA #Reference

⚜️Interactive Disassembler (IDA) Pro Quick Reference Sheet

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
17🔥4👍1
#Article #Rootkits

⚜️The Art of Linux Kernel Rootkits

An advanced and deep introduction about Linux kernel mode rookits, how to detect, what are hooks and how it works.

مقدمه ای پیشرفته و عمیق در مورد روکیت های هسته لینوکس، نحوه شناسایی، هوک ها و نحوه عملکرد آن ها

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
22🔥4👍1
#Article #Tools

چند مقاله و ابزار درباره ساختار PE قبلاً در وبلاگ قرار داده بودم که امروز اون‌ها رو به‌روزرسانی کردم. سورس‌کدها و ویدیوهای دمو هم اضافه شده تا این مفاهیم بهتر قابل درک باشن و راحت‌تر بتونید با موضوع ساختار PE ارتباط برقرار کنید.

⬅️بررسی و تحلیل Checksum در ساختار PE
⬅️بررسی و تشریح DEP و ASLR در ساختار PE
⬅️ابزار تبدیل DLL به EXE
⬅️ابزار حذف DEP و ASLR از ساختار PE
⬅️ابزار تصحیح Checksum در ساختار PE

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
18👍4🔥3