کانال بایت امن
4.52K subscribers
415 photos
49 videos
34 files
586 links
برگزاری دوره های آموزش برنامه نویسی و امنیت نرم افزار.

https://dword.ir
@YMahmoudnia
Download Telegram
Please open Telegram to view this post
VIEW IN TELEGRAM
#Article #ReverseEngineering #Kernel

در ادامه آموزش های مربوط به دیباگ کردن کرنل، یک آموزش جدید اینبار از نویسنده دیباگر معروف x64dbg تحت عنوان آنپک کردن درایور کرنل .

ابزارهای استفاده شده :
x64dbg
CFF Explorer
Visual Studio (optional)

🌐 Website

Telegram Channel : @securebyte

Our Public Group : https://t.me/joinchat/8IAKs9HaoGU2NmE0
_
#Article #Exploiting #Linux #Kernel

📗 Linux Kernel Exploitation 0x1 - Smashing Stack Overflows in the Kernel

Hi folks this blog post is part of a series in which I'm running through some of the basics when it comes to kernel exploit development for Linux. I've started off the series with a walk through of how to setup your kernel for debugging and included a simple debug driver to target. The post here carries on from this point and explores some stack security paradigms in the kernel.

🌐 Article Link

Telegram
Channel : @securebyte

Our Public Group : https://t.me/joinchat/8IAKs9HaoGU2NmE0
_
#Article #Kernel

Cracking Windows Kernel with HEVD

Chapter 0: Where do I start?
Chapter 1: Will this driver ever crash?
Chapter 2: Is there a way to bypass kASLR, SMEP and KVA Shadow?
Chapter 3: Can we rop our way into triggering our shellcode?
Chapter 4: How do we write a shellcode to elevate privileges and gracefully return to userland?

این درایور ویندوز به‌طور عمدی با انواع مختلف آسیب‌پذیری‌های مربوط به حافظه (مانند stack overflow, int overflow, use after free, type confusion و چندین مورد دیگر) طراحی شده است.

در این مجموعه به بررسی بعضی از آسیب پذیری ها پرداخته شده است.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
👍183🔥1
#Article #PE #Kernel

Verifying Embedded PE Signature

➡️PE files whose digital signatures are not embedded (reside in catalog files)
➡️Validating timestamp of the signatures
➡️Validating the key usage
➡️Validating the chain of the certificates
➡️Using Windows APIs like WinTrust to verify signatures
➡️A full tutorial on ASN.1

مقاله ای در رابطه با Verify کردن Signature فایل PE در کرنل. با یک مثال به همراه چند کد پایتون در سطح باینری مباحث فوق رو بررسی می‌کنیم.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥41
#Article #Kernel

Finding Bugs in Windows Drivers

Part 1 – WDM

پیدا کردن آسیب‌پذیری‌ها در درایورهای ویندوز همیشه هدفی بسیار مطلوب برای بازیگران تهدید، نویسندگان Cheat در بازی ها و تیم‌های قرمز بوده است. در این سری از مقالات نویسنده به آسیب پذیری های درایور های WDM خواهد پرداخت.

مدل درایور ویندوز (WDM) قدیمی‌ترین و همچنان پرکاربردترین چارچوب برای توسعه درایورها است و با ساده‌سازی فرآیند توسعه و رفع برخی از مشکلات فنی متعدد WDM، توسعه درایورها را آسان‌تر می‌کند.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥135👍5
Forwarded from OS Internals (Abolfazl Kazemi)
سرقت توکن پروسه‌ها در ویندوز به کمک WinDbg

توکن یا به صورت کامل‌تر Access Token در ویندوز، یک شی است که شرایط امنیتی که یک پروسه یا نخ تحت آن می‌توانند کار کنند را مشخص می‌کند. توکن با احراز هویت موفق یک کاربر ایجاد شده و هر پروسه‌ای که توسط کاربر ایجاد شود، یک نسخه از آنرا خواهد داشت.

ویندوز از توکن در زمانیکه یک نخ تلاشی برای دسترسی به یک شی می‌کند استفاده می‌کند که کاربر را تشخیص داده و بررسی کند که آیا کاربر مجوز دسترسی به شی مورد نظر را دارد یا خیر. به عنوان مثال فرض کنید که با notepad قصد باز کردن یک فایل را داشته باشید. در این مثال پروسه‌ی notepad‌ توسط کاربر شما ایجاد شده و در نتیجه توکن آنرا خواهد داشت. شی مورد دسترسی نیز فایلی است که برای آن دسترسی خاصی تعریف شده و باید بررسی شود که آیا توکن مورد نظر مجوز دسترسی به فایل را دارد یا باید جلوی این دسترسی توسط ویندوز گرفته شود.

برخی از اطلاعاتی که توسط توکن مشخص می‌شوند عبارتند از: شناسه یا SID‌ کاربر. شناسه‌ی گروه‌هایی که کاربر عضوی از آن‌هاست. شناسه‌ی نشست جاری. لیستی از مجوزهایی که کاربر یا گروه‌های آن دارند.

یکی از کارهایی که با توکن‌ها قابل انجام بوده و در سرویس‌ها کاربرد زیادی دارد impersonation است. در این مدل، یک نخ با توکن متفاوتی از توکن اصلی خود اجرا شده و در نتیجه مجوزهای متفاوتی خواهد داشت. به عنوان مثال فرض کنید یک File Server دارید که فایل‌های آن محدودیت‌های دسترسی متفاوتی دارند. در این مثال، سرور با انجام impersonation درخواست هر کلاینت را با توکن همان کلاینت پاسخ داده و در نتیجه هر کاربر تنها به فایل‌های خود دسترسی خواهد داشت.

یکی از کارهایی که بدافزارها از آن بهره می‌برند همین بحث impersonation و دسترسی به منابع مختلف، مثل dump اطلاعات کاربران، است. در این حالت بدافزار توکن یک پروسه با دسترسی بالا را دزدیده و از آن برای مقاصد خود استفاده می‌کند.

در این ویدئو به کمک WinDbg مفهوم توکن و شیوه‌ی دزدیدن و قرار دادن آن بر روی پروسه‌ی دلخواهی شرح داده می‌شود که هم با موضوع توکن آشنا شده و هم به صورت عملی ببینیم که بدافزارها چطور می‌توانند از impersonation سواستفاده کنند.


لینک ویدئو در یوتیوب:
https://youtu.be/NTPVeauBDe4
لینک ویدئو در آپارات:
https://www.aparat.com/v/cvyprh5

#ShortWinInternals #windows #internals #token #WinDbg #impersonation #kernel
13👍1🔥1
Forwarded from OS Internals (Abolfazl Kazemi)
مروری بر پروسه‌های کرنلی لینوکس

در لینوکس برخی از پروسه‌ها بخش user space‌ نداشته و کامل در دل کرنل اجرا می‌شوند. این پروسه‌ها در اجرای کارهای مختلف به سیستم‌عامل کمک کرده و به صورت background کارهایی که نیاز است انجام شوند که لینوکس بتواند سرویس‌دهی موارد مختلف را انجام دهد مدیریت می‌کنند. در این پست و ویدئو برخی از این پروسه‌ها معرفی شده و کاربردهای مختلف آن‌ها شرح داده می‌شود.

اولین پروسه (نخ) کرنلی لینوکس kthreadd است که وظیفه‌ی ایجاد یک interface برای ایجاد و مدیریت پروسه‌های کرنلی در لینوکس را داشته و همیشه با PID‌ برابر ۲ اجرا می‌شود. در کد این نخ یک حلقه‌ی بی‌نهایت وجود دارد که از لیستی به اسم kthread_create_list اطلاعات پروسه‌ی کرنلی که قرار است ایجاد شود را برداشته و آنرا ایجاد می‌کند. تمامی پروسه‌های کرنلی لینوکس از اینجا به بعد فرزندان kthreadd خواهند بود.

پروسه‌ی بعدی که معرفی می‌کنیم migration است. از پروسه‌ی کرنلی migration به تعداد coreهای cpu خواهیم داشت و وظیفه‌ی آن مدیریت پروسه‌هایی است که بر روی یک core اجرا می‌شوند و در صورت زیاد بودن بار بر روی یک core یک پروسه را از روی run_queue یک core بر داشته و بر روی run_queue یک core دیگر قرار می‌دهد.

پروسه‌ی دیگری که در ویدئو در مورد آن صحبت شده است kcompactd است که وظیفه‌ی آن جلوگیری از ایجاد fragmentation‌ در حافظه و کمک به کنارهم قرار گرفتن pageهای مرتبط در حافظه است.

یک پروسه‌ی جالب دیگر oom_reaper است که در صورتیکه سیستم‌عامل با کمبود حافظه مواجه شود دست به کار شده و با kill کردن یک پروسه فضای لازم را برای کار مابقی پروسه‌ها فراهم می‌کند.

در ویدئو در مورد پروسه‌های بیشتری صحبت شده است که می‌توانید با مشاهده‌ی آن از این پروسه‌ها اطلاع پیدا کنید.

لینک ویدئو در یوتیوب:
https://youtu.be/PsZ5GZhzvqE
لینک ویدئو در آپارات:
https://aparat.com/v/obt29c7

پ.ن ۱:‌ برای اطلاع از جزئیات پروسه‌های ابتدایی لینوکس پست زیر را مشاهده کنید:
https://t.me/OxAA55/133

پ.ن ۲: برای اطلاع از جزئیات پروسه و نخ در لینوکس پست زیر را مشاهده کنید:
https://t.me/OxAA55/124

#ShortLinuxInternals #linux #internals #programming #kernel #memory #threads #processes #kernel_threads
🔥162
#Article #Exploiting #Kernel

⚜️Introduction to Windows Kernel Exploitation

مجموعه مقالات آموزشی Windows Kernel Exploitation تا این لحظه در ۹ قسمت آماده شده است. در این پست‌ها، نویسنده ابتدا روی Windows 7 (x86) و Windows 10 (x64) تمرکز خواهد داشت و در نهایت به Windows 11 (x64) خواهد رسید.

0x00 - Introduction to Windows Kernel Exploitation
0x01 - Killing Windows Kernel Mitigations
0x02 - Introduction to Windows Kernel Use After Frees (UaFs)
0x03 - Approaching the Modern Windows Kernel Heap
0x04 - Introduction to Windows Kernel Write What Where Vulnerabilities
0x05 - Introduction to Windows Kernel Type Confusion Vulnerabilities
0x06 - Approaching Modern Windows Kernel Type Confusions
0x07 - Introduction to Windows Kernel Race Conditions
0x08 - Race Conditions Moderno Del Windows Kernel
0x09 - Return of the Windows Kernel Stack Overflow

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥215👍4🤩1