10 ابزار کاربردی و هوش مصنوعی بسیار مفید و بی نهایت کاربردی برای دانشجویان دکتری و پژوهشگران
تاکید میکنم برخی از سایت های زیر با تغییر ای پی ایران قابل دسترسی است.
𝟏 𝐒𝐜𝐡𝐨𝐥𝐚𝐫𝐜𝐲
اطلاعات کلیدی را از یک مقاله تحقیقاتی استخراج و خلاصه می کند.
لینک: https://www.scholarcy.com/
𝟐. 𝐎𝐭𝐭𝐞𝐫
شما فقط می توانید صحبت کنید و ایده تحقیق خود را ثبت کنید. Otter آن را برای شما ذخیره و رونویسی می
کند.
Otter صدا را ضبط می کند و به طور خودکار در زمان واقعی یادداشت می کند تا بتوانید روی بحث تمرکز کنید. هر زمان که خواستید، یادداشت ها را برای مرجع برجسته کنید. در جلسات مجازی، Otter به طور خودکار اسلایدهای سخنرانی را می گیرد و آنها را به یادداشت ها اضافه می کند و به دانشجویان کمک می کند تا جزئیات را با زمینه کامل به خاطر بیاورند.
لینک: https://otter.ai/
𝟑. 𝐂𝐡𝐚𝐭𝟐𝐒𝐭𝐚𝐭𝐬
داده های خود را در قالب csv آپلود کنید، به chatgpt دستور تجزیه و تحلیل و تجسم را بدهید.
لینک: https://2stats.chat/
𝟒. 𝐅𝐨𝐫𝐦𝐮𝐥𝐚 𝐁𝐨𝐭
شما می توانید تولید فرمول و تجزیه و تحلیل داده ها را در MS Excel با Formula Bot به صورت خودکار انجام دهید.
لینک: https://formulabot.com/
𝟓. 𝐆𝐚𝐦𝐦𝐚
می توانید از آن برای ارائه تحقیقات استفاده کنید.
لینک: https://gamma.app/
𝟔 𝐓𝐞𝐱𝐭 𝐁𝐥𝐚𝐳𝐞
در نوشتن، حذف کارهای تکراری و اشتباهات به شما کمک می کند.
لینک: https://blaze.today/?ref=U5J9HFNL
𝟕. 𝐌𝐢𝐫𝐨
Miro به شما در طوفان فکری، سازماندهی ایده های تحقیقاتی و ایجاد ارائه های تعاملی کمک می کند.
لینک: https://miro.com/
🖌 𝐃𝐞𝐜𝐤𝐭𝐨𝐩𝐮𝐬
این الگوها، عناصر بصری و گزینههای سفارشیسازی را ارائه میدهد تا به محققان کمک کند تا ارائههای تاثیرگذار را بدون زحمت ایجاد کنند.
𝟗. 𝐍𝐮𝐦𝐞𝐫𝐨𝐮𝐬 𝐀𝐈
می تواند به شما در نوشتن فرمول ها در اکسل و پاک کردن داده ها کمک کند.
لینک: https://numerous.ai/
𝟏𝟎. 𝐑𝐞𝐯𝐢𝐞𝐰-𝐢𝐭
این ابزاری است که مقاله شما را مانند یک انسان بررسی می کند و نقاط قوت و ضعف مقاله شما را به اشتراک می گذارد.
لینک: www.review-it.me
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تاکید میکنم برخی از سایت های زیر با تغییر ای پی ایران قابل دسترسی است.
𝟏 𝐒𝐜𝐡𝐨𝐥𝐚𝐫𝐜𝐲
اطلاعات کلیدی را از یک مقاله تحقیقاتی استخراج و خلاصه می کند.
لینک: https://www.scholarcy.com/
𝟐. 𝐎𝐭𝐭𝐞𝐫
شما فقط می توانید صحبت کنید و ایده تحقیق خود را ثبت کنید. Otter آن را برای شما ذخیره و رونویسی می
کند.
Otter صدا را ضبط می کند و به طور خودکار در زمان واقعی یادداشت می کند تا بتوانید روی بحث تمرکز کنید. هر زمان که خواستید، یادداشت ها را برای مرجع برجسته کنید. در جلسات مجازی، Otter به طور خودکار اسلایدهای سخنرانی را می گیرد و آنها را به یادداشت ها اضافه می کند و به دانشجویان کمک می کند تا جزئیات را با زمینه کامل به خاطر بیاورند.
لینک: https://otter.ai/
𝟑. 𝐂𝐡𝐚𝐭𝟐𝐒𝐭𝐚𝐭𝐬
داده های خود را در قالب csv آپلود کنید، به chatgpt دستور تجزیه و تحلیل و تجسم را بدهید.
لینک: https://2stats.chat/
𝟒. 𝐅𝐨𝐫𝐦𝐮𝐥𝐚 𝐁𝐨𝐭
شما می توانید تولید فرمول و تجزیه و تحلیل داده ها را در MS Excel با Formula Bot به صورت خودکار انجام دهید.
لینک: https://formulabot.com/
𝟓. 𝐆𝐚𝐦𝐦𝐚
می توانید از آن برای ارائه تحقیقات استفاده کنید.
لینک: https://gamma.app/
𝟔 𝐓𝐞𝐱𝐭 𝐁𝐥𝐚𝐳𝐞
در نوشتن، حذف کارهای تکراری و اشتباهات به شما کمک می کند.
لینک: https://blaze.today/?ref=U5J9HFNL
𝟕. 𝐌𝐢𝐫𝐨
Miro به شما در طوفان فکری، سازماندهی ایده های تحقیقاتی و ایجاد ارائه های تعاملی کمک می کند.
لینک: https://miro.com/
🖌 𝐃𝐞𝐜𝐤𝐭𝐨𝐩𝐮𝐬
این الگوها، عناصر بصری و گزینههای سفارشیسازی را ارائه میدهد تا به محققان کمک کند تا ارائههای تاثیرگذار را بدون زحمت ایجاد کنند.
𝟗. 𝐍𝐮𝐦𝐞𝐫𝐨𝐮𝐬 𝐀𝐈
می تواند به شما در نوشتن فرمول ها در اکسل و پاک کردن داده ها کمک کند.
لینک: https://numerous.ai/
𝟏𝟎. 𝐑𝐞𝐯𝐢𝐞𝐰-𝐢𝐭
این ابزاری است که مقاله شما را مانند یک انسان بررسی می کند و نقاط قوت و ضعف مقاله شما را به اشتراک می گذارد.
لینک: www.review-it.me
Please open Telegram to view this post
VIEW IN TELEGRAM
Scholarcy
Scholarcy - Knowledge made simple
Summarize anything, understand complex research, and organise your knowledge with Scholarcy.
❤3👍1🔥1🎉1🤩1🕊1👨💻1🗿1
❓چرا تحلیل استاتیک بد افزار ممکن است موفقیت آمیز نباشد ؟
برای توضیح یک مثال واقعی و متداول در دنیای تحلیل بدافزارها را بررسی میکنیم که نشان میدهد چرا تحلیل استاتیک ممکن است در تشخیص یک بدافزار ناکام باشد و چگونه تحلیل دینامیک میتواند موفقیتآمیز باشد.
مثال: بدافزار با تکنیکهای مبهمسازی و ضد تحلیل
یک بدافزار خاص، فرضاً یک تروجان بانکی به نام BankStealer، به شکلی طراحی شده که تحلیل استاتیک آن را گمراه کند.
❇️تحلیل استاتیک:
در تحلیل استاتیک، کد بدافزار بدون اجرای آن بررسی میشود (مانند بررسی فایلهای اجرایی با ابزارهایی مثل IDA Pro یا Ghidra).
ویژگیهای بدافزار:
🔶مبهمسازی کد (Obfuscation):
کد بدافزار با استفاده از ابزارهای مبهمسازی رمزگذاری شده یا تغییر یافته است. بنابراین، در ابزارهای تحلیل، تنها یکسری کدهای غیرقابلخوانش و توابع بیمعنی مشاهده میشود.
به عنوان مثال، توابع مهمی که اطلاعات بانکی را سرقت میکنند در فایل اجرایی رمزگذاری شدهاند و تنها هنگام اجرا در حافظه رمزگشایی میشوند.
🔶 استفاده از تکنیکهای ضد تحلیل:
بدافزار ممکن است از بستهبندی (Packing) یا رمزگذاری لایههای مختلف استفاده کند. این باعث میشود که حتی دیکامپایلرها (Decompiler) نتوانند کد واقعی را استخراج کنند.
بخشهای مهم بدافزار ممکن است به صورت پویا (Dynamic) تولید شوند و در فایل اجرایی اصلی وجود نداشته باشند.
🟢نتیجه تحلیل استاتیک:
تحلیلگر نمیتواند عملکرد دقیق بدافزار را بدون اجرا شناسایی کند، زیرا بخشهای کلیدی یا رمزگذاری شدهاند یا مخفی هستند.
❇️تحلیل دینامیک:
در تحلیل دینامیک، بدافزار در محیط ایزوله (مانند ماشین مجازی یا سندباکس) اجرا میشود و رفتار آن در زمان اجرا بررسی میگردد.
ویژگیهای کشف در تحلیل دینامیک:
🔷 رمزگشایی کد در زمان اجرا:
هنگام اجرای بدافزار، بخشهای رمزگذاریشده در حافظه رمزگشایی میشوند و کد واقعی بدافزار آشکار میشود.
ابزارهایی مثل Process Hacker یا x64dbg میتوانند حافظه را بررسی کرده و کد واقعی را استخراج کنند.
🔷 شناسایی رفتار بدافزار:
بدافزار هنگام اجرا به سرور فرماندهی (C2 Server) متصل میشود. این رفتار مشکوک توسط ابزارهایی مثل Wireshark یا Fiddler شناسایی میشود.
بدافزار تلاش میکند اطلاعات بانکی را از مرورگرها استخراج کرده و به سرور ارسال کند. ابزارهایی مثل ProcMon این رفتار را نشان میدهند.
🔷 کشف تکنیکهای پنهانکاری:
تکنیکهایی مانند تزریق کد به فرآیندهای دیگر (Code Injection) هنگام اجرا کشف میشوند. برای مثال، تزریق به مرورگر قربانی جهت سرقت اطلاعات ورود.
🟢نتیجه تحلیل دینامیک:
با اجرای بدافزار و نظارت بر رفتار آن، تحلیلگر به اطلاعات واضحی از اهداف بدافزار، مکانهای ارتباطی، و اطلاعات سرقتشده دست پیدا میکند.
🏮دلایل ناکامی تحلیل استاتیک:
رمزگذاری و مبهمسازی کد که کد واقعی را از دید تحلیلگر مخفی میکند.
استفاده از تکنیکهای ضد تحلیل مانند بستهبندی، فشردهسازی، و تولید پویا.
وابستگی عملکرد بدافزار به شرایط اجرای خاص (مانند بارگذاری در حافظه).
💠ابزارها و تکنیکها:
تحلیل استاتیک: IDA Pro، Ghidra، PEiD
تحلیل دینامیک: Cuckoo Sandbox، Wireshark، ProcMon، Process Hacker، x64dbg
🌀این مثال نشان میدهد که چرا تحلیل دینامیک برای شناسایی بدافزارهای پیشرفته ضروری است و چگونه تکنیکهای ضد تحلیل، تحلیل استاتیک را ناکارآمد میکنند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
برای توضیح یک مثال واقعی و متداول در دنیای تحلیل بدافزارها را بررسی میکنیم که نشان میدهد چرا تحلیل استاتیک ممکن است در تشخیص یک بدافزار ناکام باشد و چگونه تحلیل دینامیک میتواند موفقیتآمیز باشد.
مثال: بدافزار با تکنیکهای مبهمسازی و ضد تحلیل
یک بدافزار خاص، فرضاً یک تروجان بانکی به نام BankStealer، به شکلی طراحی شده که تحلیل استاتیک آن را گمراه کند.
❇️تحلیل استاتیک:
در تحلیل استاتیک، کد بدافزار بدون اجرای آن بررسی میشود (مانند بررسی فایلهای اجرایی با ابزارهایی مثل IDA Pro یا Ghidra).
ویژگیهای بدافزار:
🔶مبهمسازی کد (Obfuscation):
کد بدافزار با استفاده از ابزارهای مبهمسازی رمزگذاری شده یا تغییر یافته است. بنابراین، در ابزارهای تحلیل، تنها یکسری کدهای غیرقابلخوانش و توابع بیمعنی مشاهده میشود.
به عنوان مثال، توابع مهمی که اطلاعات بانکی را سرقت میکنند در فایل اجرایی رمزگذاری شدهاند و تنها هنگام اجرا در حافظه رمزگشایی میشوند.
🔶 استفاده از تکنیکهای ضد تحلیل:
بدافزار ممکن است از بستهبندی (Packing) یا رمزگذاری لایههای مختلف استفاده کند. این باعث میشود که حتی دیکامپایلرها (Decompiler) نتوانند کد واقعی را استخراج کنند.
بخشهای مهم بدافزار ممکن است به صورت پویا (Dynamic) تولید شوند و در فایل اجرایی اصلی وجود نداشته باشند.
🟢نتیجه تحلیل استاتیک:
تحلیلگر نمیتواند عملکرد دقیق بدافزار را بدون اجرا شناسایی کند، زیرا بخشهای کلیدی یا رمزگذاری شدهاند یا مخفی هستند.
❇️تحلیل دینامیک:
در تحلیل دینامیک، بدافزار در محیط ایزوله (مانند ماشین مجازی یا سندباکس) اجرا میشود و رفتار آن در زمان اجرا بررسی میگردد.
ویژگیهای کشف در تحلیل دینامیک:
🔷 رمزگشایی کد در زمان اجرا:
هنگام اجرای بدافزار، بخشهای رمزگذاریشده در حافظه رمزگشایی میشوند و کد واقعی بدافزار آشکار میشود.
ابزارهایی مثل Process Hacker یا x64dbg میتوانند حافظه را بررسی کرده و کد واقعی را استخراج کنند.
🔷 شناسایی رفتار بدافزار:
بدافزار هنگام اجرا به سرور فرماندهی (C2 Server) متصل میشود. این رفتار مشکوک توسط ابزارهایی مثل Wireshark یا Fiddler شناسایی میشود.
بدافزار تلاش میکند اطلاعات بانکی را از مرورگرها استخراج کرده و به سرور ارسال کند. ابزارهایی مثل ProcMon این رفتار را نشان میدهند.
🔷 کشف تکنیکهای پنهانکاری:
تکنیکهایی مانند تزریق کد به فرآیندهای دیگر (Code Injection) هنگام اجرا کشف میشوند. برای مثال، تزریق به مرورگر قربانی جهت سرقت اطلاعات ورود.
🟢نتیجه تحلیل دینامیک:
با اجرای بدافزار و نظارت بر رفتار آن، تحلیلگر به اطلاعات واضحی از اهداف بدافزار، مکانهای ارتباطی، و اطلاعات سرقتشده دست پیدا میکند.
🏮دلایل ناکامی تحلیل استاتیک:
رمزگذاری و مبهمسازی کد که کد واقعی را از دید تحلیلگر مخفی میکند.
استفاده از تکنیکهای ضد تحلیل مانند بستهبندی، فشردهسازی، و تولید پویا.
وابستگی عملکرد بدافزار به شرایط اجرای خاص (مانند بارگذاری در حافظه).
💠ابزارها و تکنیکها:
تحلیل استاتیک: IDA Pro، Ghidra، PEiD
تحلیل دینامیک: Cuckoo Sandbox، Wireshark، ProcMon، Process Hacker، x64dbg
🌀این مثال نشان میدهد که چرا تحلیل دینامیک برای شناسایی بدافزارهای پیشرفته ضروری است و چگونه تکنیکهای ضد تحلیل، تحلیل استاتیک را ناکارآمد میکنند.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1👍1👏1🤩1🕊1👨💻1🗿1
شناسایی حملات و نفوذ از طریق بررسی فرآیندهای والد و فرزند
یکی از روشهای مهم در تحلیل نفوذ ، بررسی ارتباط بین فرآیندهای والد و فرزند است. این روش به ما کمک میکند تا بفهمیم چگونه یک بدافزار اجرا شده و از چه روشهایی برای نفوذ به سیستم استفاده کرده است.
فرآیند ( پراسس) والد چیست؟
فرآیند والد، فرآیندی است که یک فرآیند جدید (فرزند) را اجرا میکند. برای مثال، اگر یک برنامهی مخرب توسط Explorer.exe اجرا شود، این بدان معناست که احتمالاً از طریق یک فایل میانبر مخرب (.lnk) اجرا شده است. شناسایی فرآیند والد میتواند به تحلیلگر کمک کند تا روش نفوذ بدافزار را تشخیص دهد.
🔶نقش تجربه و ابزارها
تشخیص این موارد نیازمند تجربه و استفاده از ابزارهای مناسب است. ابزارهایی مانند Process Explorer از Sysinternals و یا EDR مانند ترند میکرو و سیمنتک ، به تحلیلگران کمک میکنند تا ارتباط بین فرآیندها را به سرعت مشاهده کنند.
🔷مثالهایی از پراسس های والد
Explorer.exe
اجرای بدافزار از طریق فایلهای میانبر
RunOnce.exe
اجرای بدافزار با استفاده از کلیدهای رجیستری
cmd.exe
اجرای اسکریپتها یا فایلهای batch مخرب
svchost.exe
استفاده از سرویسهای ویندوز برای مخفی کردن اجرای بدافزار.
🏮۶ مورد از تاریخچه حملات واقعی قابل کشف با این روش:
〽️-حمله Stuxnet
تکنیک: استفاده از فرآیند Explorer.exe برای اجرای فایلهای میانبر آلوده از طریق USB.
روش شناسایی: شناسایی فرآیند والد Explorer.exe که فایلهای .lnk مخرب را اجرا میکرد.
〽️ -حمله WannaCry
تکنیک: استفاده از svchost.exe برای گسترش بدافزار در شبکه.
روش شناسایی: بررسی فرآیندهای svchost.exe که ارتباطات غیرعادی برقرار میکردند.
〽️ -حمله Emotet
تکنیک: استفاده از winword.exe برای اجرای ماکروهای مخرب در فایلهای Word.
روش شناسایی: ارتباط بین winword.exe و PowerShell که کد مخرب را اجرا میکرد.
〽️-حمله گروه APT29 (Cozy Bear)
تکنیک: استفاده از mshta.exe برای اجرای کد مخرب از طریق فایلهای HTML.
روش شناسایی: مشاهده ارتباط بین mshta.exe و فرآیندهای دیگر مانند cmd.exe.
〽️-حمله TrickBot
تکنیک: استفاده از powershell.exe برای دانلود و اجرای payload.
روش شناسایی: بررسی فرآیند powershell.exe که از فرآیند والد مخربی ایجاد شده بود.
〽️ -حمله Dridex
تکنیک: اجرای بدافزار از طریق explorer.exe با استفاده از پیوستهای ایمیل آلوده.
روش شناسایی: تحلیل فرآیندهای مرتبط با فایلهای اجراشده از طریق Explorer.exe.
بررسی ارتباط فرآیندهای والد و فرزند یکی از موثرترین روشها در تحلیل و شناسایی بدافزارها است. با استفاده از ابزارهای مناسب و دانش کافی، میتوان الگوهای رفتاری بدافزارها را شناسایی و از نفوذ آنها جلوگیری کرد.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یکی از روشهای مهم در تحلیل نفوذ ، بررسی ارتباط بین فرآیندهای والد و فرزند است. این روش به ما کمک میکند تا بفهمیم چگونه یک بدافزار اجرا شده و از چه روشهایی برای نفوذ به سیستم استفاده کرده است.
فرآیند ( پراسس) والد چیست؟
فرآیند والد، فرآیندی است که یک فرآیند جدید (فرزند) را اجرا میکند. برای مثال، اگر یک برنامهی مخرب توسط Explorer.exe اجرا شود، این بدان معناست که احتمالاً از طریق یک فایل میانبر مخرب (.lnk) اجرا شده است. شناسایی فرآیند والد میتواند به تحلیلگر کمک کند تا روش نفوذ بدافزار را تشخیص دهد.
🔶نقش تجربه و ابزارها
تشخیص این موارد نیازمند تجربه و استفاده از ابزارهای مناسب است. ابزارهایی مانند Process Explorer از Sysinternals و یا EDR مانند ترند میکرو و سیمنتک ، به تحلیلگران کمک میکنند تا ارتباط بین فرآیندها را به سرعت مشاهده کنند.
🔷مثالهایی از پراسس های والد
Explorer.exe
اجرای بدافزار از طریق فایلهای میانبر
RunOnce.exe
اجرای بدافزار با استفاده از کلیدهای رجیستری
cmd.exe
اجرای اسکریپتها یا فایلهای batch مخرب
svchost.exe
استفاده از سرویسهای ویندوز برای مخفی کردن اجرای بدافزار.
🏮۶ مورد از تاریخچه حملات واقعی قابل کشف با این روش:
〽️-حمله Stuxnet
تکنیک: استفاده از فرآیند Explorer.exe برای اجرای فایلهای میانبر آلوده از طریق USB.
روش شناسایی: شناسایی فرآیند والد Explorer.exe که فایلهای .lnk مخرب را اجرا میکرد.
〽️ -حمله WannaCry
تکنیک: استفاده از svchost.exe برای گسترش بدافزار در شبکه.
روش شناسایی: بررسی فرآیندهای svchost.exe که ارتباطات غیرعادی برقرار میکردند.
〽️ -حمله Emotet
تکنیک: استفاده از winword.exe برای اجرای ماکروهای مخرب در فایلهای Word.
روش شناسایی: ارتباط بین winword.exe و PowerShell که کد مخرب را اجرا میکرد.
〽️-حمله گروه APT29 (Cozy Bear)
تکنیک: استفاده از mshta.exe برای اجرای کد مخرب از طریق فایلهای HTML.
روش شناسایی: مشاهده ارتباط بین mshta.exe و فرآیندهای دیگر مانند cmd.exe.
〽️-حمله TrickBot
تکنیک: استفاده از powershell.exe برای دانلود و اجرای payload.
روش شناسایی: بررسی فرآیند powershell.exe که از فرآیند والد مخربی ایجاد شده بود.
〽️ -حمله Dridex
تکنیک: اجرای بدافزار از طریق explorer.exe با استفاده از پیوستهای ایمیل آلوده.
روش شناسایی: تحلیل فرآیندهای مرتبط با فایلهای اجراشده از طریق Explorer.exe.
بررسی ارتباط فرآیندهای والد و فرزند یکی از موثرترین روشها در تحلیل و شناسایی بدافزارها است. با استفاده از ابزارهای مناسب و دانش کافی، میتوان الگوهای رفتاری بدافزارها را شناسایی و از نفوذ آنها جلوگیری کرد.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1🤩1🕊1👨💻1🗿1
چرا هرکسی نمیتونه ابزار امنیتی تولید کنه ؟
🔅این روزها که در بسیاری از محل ها اجبار به استفاده از محصولات بومی وجود داره تب تولید محصول امنیتی بالاگرفته و خیلی ها به این سمت رفتن.
🔅از سوی دیگه هم نرخ مهاجرت بالا در بین متخصصان امنیت زیاد بوده لذا از تعداد منتقدان و ناظران پروژه های امنیتی بشدت کاسته شده که این هم دلیلی مزید بر علت شده تا تعداد بیشتری به سرشون بزنه تا ایده ای دارند؛ اونو به شکل محصول دربیارن.
✳️اینجاست که باید گفت توجه به استاندارد هایی چون CC به ما میآموزه که ساخت تجهیز و نرم افزار امنیتی تابع شرایطی هست و نمیشه با هر طریق و مسلکی ابزار امنیتی ساخت .
⚠️استفاده از ابزار امنیتی که در ساخت اون توجهات لازم صورت نگرفته هم ما رو امن نکرده بلکه میتونه خودش ابزاری علیه ما باشه .
چطور ؟ لینک زیر
⭕️در این لینک میبینیم چطور ابزارهای امنیتی مطرح جهان دور میخورند و خودشون علیه صاحبشون اقدام میکنند.
🔴پس هر کسی و هر شرکتی نمیتواند دست به تولید نرم افزار و تجهیزات امنیتی بزند.
https://neodyme.io/en/blog/com_hijacking_1/#security-risks-in-back-end-communication
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
🔅این روزها که در بسیاری از محل ها اجبار به استفاده از محصولات بومی وجود داره تب تولید محصول امنیتی بالاگرفته و خیلی ها به این سمت رفتن.
🔅از سوی دیگه هم نرخ مهاجرت بالا در بین متخصصان امنیت زیاد بوده لذا از تعداد منتقدان و ناظران پروژه های امنیتی بشدت کاسته شده که این هم دلیلی مزید بر علت شده تا تعداد بیشتری به سرشون بزنه تا ایده ای دارند؛ اونو به شکل محصول دربیارن.
✳️اینجاست که باید گفت توجه به استاندارد هایی چون CC به ما میآموزه که ساخت تجهیز و نرم افزار امنیتی تابع شرایطی هست و نمیشه با هر طریق و مسلکی ابزار امنیتی ساخت .
⚠️استفاده از ابزار امنیتی که در ساخت اون توجهات لازم صورت نگرفته هم ما رو امن نکرده بلکه میتونه خودش ابزاری علیه ما باشه .
چطور ؟ لینک زیر
⭕️در این لینک میبینیم چطور ابزارهای امنیتی مطرح جهان دور میخورند و خودشون علیه صاحبشون اقدام میکنند.
🔴پس هر کسی و هر شرکتی نمیتواند دست به تولید نرم افزار و تجهیزات امنیتی بزند.
https://neodyme.io/en/blog/com_hijacking_1/#security-risks-in-back-end-communication
Please open Telegram to view this post
VIEW IN TELEGRAM
neodyme.io
The Key to COMpromise - Pwning AVs and EDRs by Hijacking COM Interfaces, Part 1
In this series of blog posts, we cover how we could exploit five reputable security products to gain SYSTEM privileges with COM hijacking. If you've never heard of this, no worries. We introduce all relevant background information, describe our approach to…
❤2🔥2👍1😁1🕊1👨💻1🗿1
چرا پاورشل باید دستورات Encode شده را بپذیرد؟
همونطور که میدونیم برخی حملات سایبری با دستورات انکد شده انجام میشوند. که برای بررسی اون دستور باید دیکد بشن چون در ظاهر خوانایی ندارند.
⁉️حالا اصولا چرا باید امکان اجرای دستور بصورت انکد شده در سیستم عامل وجود داشته باشه ؟ چه ضرورتی هست ؟
✅دلایل طراحی و ضرورت پذیرش دستورات انکد شده در پاورشل
🟣انتقال امن و سازگار دستورات در شبکه
این Base64 Encoding اطمینان میدهد که دستورات شامل کاراکترهای خاصی که ممکن است در مسیر انتقال (مانند شبکه یا فایلهای متنی) باعث خطا شوند، به فرمت قابل انتقال و ایمن تبدیل شوند.
این موضوع در سناریوهایی مانند مدیریت از راه دور (Remote Administration) بسیار اهمیت دارد.
🟣اجرا در محیطهایی با محدودیت کاراکتر
در برخی موارد، ابزارها یا سیستمهای واسط اجازه استفاده از کاراکترهای خاص (مانند نقلقولها، نقطهویرگول یا دیگر نمادهای رزرو شده) را نمیدهند. انکد کردن دستورات پاورشل به Base64، این محدودیت را دور میزند.
🟣یکپارچگی و جلوگیری از تغییر دستورات
هنگامی که دستورات به صورت انکد شده ارسال میشوند، احتمال تغییر یا خراب شدن آنها به دلیل محدودیتهای پروتکل یا ابزار کمتر است. این ویژگی به خصوص در زمان مدیریت راه دور (مانند WinRM) و اسکریپتهای پیچیده مفید است.
🟣امنیت موقتی و پنهانسازی در انتقال
هرچند Base64 یک روش رمزگذاری نیست، اما نمایش مستقیم دستورات یا اطلاعات حساس را از کاربران غیرمجاز یا ابزارهای نظارتی عمومی پنهان میکند.
🟣خودکارسازی و ارسال دستورات طولانی
پاورشل برای اجرای اسکریپتهای طولانی یا پیچیده از طریق یک خط فرمان یا یک ابزار واسط (مانند Task Scheduler) طراحی شده است. در چنین شرایطی، انکد کردن دستور به Base64 ارسال و اجرا را سادهتر و مطمئنتر میکند.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
همونطور که میدونیم برخی حملات سایبری با دستورات انکد شده انجام میشوند. که برای بررسی اون دستور باید دیکد بشن چون در ظاهر خوانایی ندارند.
⁉️حالا اصولا چرا باید امکان اجرای دستور بصورت انکد شده در سیستم عامل وجود داشته باشه ؟ چه ضرورتی هست ؟
✅دلایل طراحی و ضرورت پذیرش دستورات انکد شده در پاورشل
🟣انتقال امن و سازگار دستورات در شبکه
این Base64 Encoding اطمینان میدهد که دستورات شامل کاراکترهای خاصی که ممکن است در مسیر انتقال (مانند شبکه یا فایلهای متنی) باعث خطا شوند، به فرمت قابل انتقال و ایمن تبدیل شوند.
این موضوع در سناریوهایی مانند مدیریت از راه دور (Remote Administration) بسیار اهمیت دارد.
🟣اجرا در محیطهایی با محدودیت کاراکتر
در برخی موارد، ابزارها یا سیستمهای واسط اجازه استفاده از کاراکترهای خاص (مانند نقلقولها، نقطهویرگول یا دیگر نمادهای رزرو شده) را نمیدهند. انکد کردن دستورات پاورشل به Base64، این محدودیت را دور میزند.
🟣یکپارچگی و جلوگیری از تغییر دستورات
هنگامی که دستورات به صورت انکد شده ارسال میشوند، احتمال تغییر یا خراب شدن آنها به دلیل محدودیتهای پروتکل یا ابزار کمتر است. این ویژگی به خصوص در زمان مدیریت راه دور (مانند WinRM) و اسکریپتهای پیچیده مفید است.
🟣امنیت موقتی و پنهانسازی در انتقال
هرچند Base64 یک روش رمزگذاری نیست، اما نمایش مستقیم دستورات یا اطلاعات حساس را از کاربران غیرمجاز یا ابزارهای نظارتی عمومی پنهان میکند.
🟣خودکارسازی و ارسال دستورات طولانی
پاورشل برای اجرای اسکریپتهای طولانی یا پیچیده از طریق یک خط فرمان یا یک ابزار واسط (مانند Task Scheduler) طراحی شده است. در چنین شرایطی، انکد کردن دستور به Base64 ارسال و اجرا را سادهتر و مطمئنتر میکند.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1👏1🤯1🎉1🕊1👨💻1
بررسی تحرکات گروه لازاروس
https://www.validin.com/blog/inoculating_contagious_interview_with_validin
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://www.validin.com/blog/inoculating_contagious_interview_with_validin
Please open Telegram to view this post
VIEW IN TELEGRAM
Validin
Lazarus APT: Techniques for Hunting Contagious Interview | Validin
This blog post details how the Lazarus APT uses social engineering to trick job seekers into installing malware during fake video job interviews, and how Validin can be used to identify and track the infrastructure used in these attacks.
🔥2❤1👏1🤩1🕊1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤1👍1👏1🤩1
دوستان در SOC ؛ یک نگاه به این لینک بندازین
مپ هست بین اتمیک تست و رولهای سیگما و اسپلانک
https://attackrulemap.netlify.app/?v=2
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
مپ هست بین اتمیک تست و رولهای سیگما و اسپلانک
https://attackrulemap.netlify.app/?v=2
Please open Telegram to view this post
VIEW IN TELEGRAM
attackrulemap.netlify.com
ARM - AttackRuleMap
Mapping of open-source detection rules and atomic tests.
🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
زیر ساخت ESXi را تست کنید
https://github.com/AlbinoGazelle/esxi-testing-toolkit
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://github.com/AlbinoGazelle/esxi-testing-toolkit
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - AlbinoGazelle/esxi-testing-toolkit: 🧰 ESXi Testing Tookit is a command-line utility designed to help security teams test…
🧰 ESXi Testing Tookit is a command-line utility designed to help security teams test ESXi detections. - AlbinoGazelle/esxi-testing-toolkit
🔥1
گزارشی از فعالیت های جهانی علیه حملات باج افزاری
https://blog.bushidotoken.net/2025/01/analysis-of-counter-ransomware.html
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://blog.bushidotoken.net/2025/01/analysis-of-counter-ransomware.html
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
اپیزودی در حوزه DFIR
https://open.spotify.com/show/4ifGmei1Z8eJJ5q08ayUfS?si=fFBTgI4RTFuayN_517FxpA
بحث در رابطه با این مقاله است
https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
https://open.spotify.com/show/4ifGmei1Z8eJJ5q08ayUfS?si=fFBTgI4RTFuayN_517FxpA
بحث در رابطه با این مقاله است
https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume/
Please open Telegram to view this post
VIEW IN TELEGRAM
The DFIR Report
The Curious Case of an Egg-Cellent Resume
Key Takeaways Initial access was via a resume lure as part of a TA4557/FIN6 campaign. The threat actor abused LOLbins like ie4uinit.exe and msxsl.exe to run the more_eggs malware. Cobalt Strike and…
❤1🔥1
🦊 Leaked 15k+ #FortiGate VPN accounts including configuration files and #VPN passwords via CVE-2022-40684.
Origin: belsenacdodoy3nsmmyjfmtgjen6ipaqkti7dm2q57vabjx2vzq6tnad.onion/files/FortiGate.zip
Download: https://mega.nz/file/wDhQEC5Y#OctAHTwgv57eRbEc3nvPRb53aX5vxXFIW1HopceZXUI
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
Origin: belsenacdodoy3nsmmyjfmtgjen6ipaqkti7dm2q57vabjx2vzq6tnad.onion/files/FortiGate.zip
Download: https://mega.nz/file/wDhQEC5Y#OctAHTwgv57eRbEc3nvPRb53aX5vxXFIW1HopceZXUI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
تحلیل svchost.exe با استفاده از Volatility: بررسی تزریق کد و رفتار مشکوک
تمرین عملی
مقدمه
پروسس svchost.exe در سیستمعامل ویندوز بهعنوان میزبان سرویسهای مختلف سیستم عمل میکند. با این حال، به دلیل ماهیت چندمنظوره و اجرای سرویسهای قانونی، این پروسس هدف محبوبی برای مهاجمان است تا کدهای مخرب را در آن تزریق کنند و از شناسایی توسط ابزارهای امنیتی فرار کنند.
ابزار Volatility بهعنوان یکی از بهترین ابزارهای تحلیل حافظه، میتواند برای شناسایی تزریق کد به svchost.exe و تحلیل رفتار آن استفاده شود.
مراحل تحلیل svchost.exe با Volatility
مرحله 1: جمعآوری حافظه سیستم (Memory Dump)
برای شروع تحلیل، نیاز به یک Memory Dump از سیستم آلوده دارید. این فایل میتواند با استفاده از ابزارهایی مانند DumpIt، FTK Imager، یا LiME ایجاد شود.
مرحله 2: شناسایی پروفایل حافظه
Volatility برای کار با فایل حافظه نیاز به شناسایی پروفایل سیستم دارد. از دستور زیر برای شناسایی پروفایل استفاده کنید:
volatility -f memory.dmp imageinfo
خروجی:
این دستور پروفایلهای پیشنهادی سیستم (مانند Win7SP1x64) را ارائه میدهد.
مرحله 3: شناسایی پروسسهای فعال
با استفاده از دستور pslist یا psscan، فهرست پروسسهای فعال در حافظه را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 pslist
خروجی نمونه:
PID PPID Name Offset(V) 1000 4 System 0x00000000 1500 1000 svchost.exe 0x12345678
این خروجی نشان میدهد که svchost.exe در سیستم اجرا شده است.
مرحله 4: بررسی DLLهای بارگذاریشده توسط svchost.exe
حملات تزریق کد معمولاً شامل بارگذاری DLLهای مخرب در پراسس های قانونی هستند. برای شناسایی DLLهای بارگذاریشده توسط svchost.exe، از دستور dlllist استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 dlllist -p 1500
خروجی نمونه:
Base Size Path 0x7ffd9000 0x12000 C:\Windows\System32\kernel32.dll 0x6d9c0000 0x1f000 C:\Windows\Temp\malicious.dll
در اینجا، DLL مشکوکی به نام malicious.dll شناسایی شده که در مسیر غیرمعمولی (Temp) قرار دارد.
مرحله 5: جستجوی تزریق کد در حافظه
تزریق کد معمولاً شامل تخصیص حافظه جدید در پروسس هدف است. با استفاده از دستور malfind، تزریق کد را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500
خروجی نمونه:
Process: svchost.exe PID: 1500 Address: 0x7a45000 Injected Code: 0x7a45000 - 0x7a46000 Dumped to malfind.1500.0x7a45000.dmp
این خروجی نشان میدهد که کد تزریقی در آدرس حافظه 0x7a45000 قرار دارد.
مرحله 6: استخراج کد تزریقشده
برای تحلیل بیشتر، کد تزریقشده را استخراج کنید. Volatility این امکان را فراهم میکند که محتویات حافظه را برای تحلیل دستی ذخیره کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500 --dump-dir=./dumps
فایلهای تولیدشده را میتوان با ابزارهایی مانند IDA Pro، Ghidra، یا PEStudio بررسی کرد.
مرحله 7: بررسی اتصالات شبکهای svchost.exe
برای شناسایی ارتباطات شبکهای مرتبط با svchost.exe، از دستور netscan استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 netscan
خروجی نمونه:
Proto Local Address Foreign Address PID TCP 192.168.1.10:5040 198.51.100.23:443 1500
در اینجا، svchost.exe با آدرس خارجی مشکوک 198.51.100.23 در حال ارتباط است.
یافتههای تحلیل
تزریق کد در آدرس حافظه 0x7a45000 شناسایی شد.
اینجا DLL مشکوک malicious.dll بارگذاری شده است.
ارتباط شبکهای به آدرس خارجی ناشناخته نشاندهنده احتمال ارتباط با سرور Command and Control است.
جمعبندی
تحلیل پروسس svchost.exe با Volatility میتواند به شناسایی تزریق کد، بارگذاری DLLهای مخرب، و رفتارهای شبکهای غیرعادی کمک کند. این روش برای پاسخ به حوادث امنیتی (Incident Response) و تحلیل بدافزارها ضروری است. با استفاده از ابزارهایی مانند Volatility و بررسی دقیق خروجیها، امکان شناسایی و مقابله با تهدیدات سایبری فراهم میشود.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
تمرین عملی
مقدمه
پروسس svchost.exe در سیستمعامل ویندوز بهعنوان میزبان سرویسهای مختلف سیستم عمل میکند. با این حال، به دلیل ماهیت چندمنظوره و اجرای سرویسهای قانونی، این پروسس هدف محبوبی برای مهاجمان است تا کدهای مخرب را در آن تزریق کنند و از شناسایی توسط ابزارهای امنیتی فرار کنند.
ابزار Volatility بهعنوان یکی از بهترین ابزارهای تحلیل حافظه، میتواند برای شناسایی تزریق کد به svchost.exe و تحلیل رفتار آن استفاده شود.
مراحل تحلیل svchost.exe با Volatility
مرحله 1: جمعآوری حافظه سیستم (Memory Dump)
برای شروع تحلیل، نیاز به یک Memory Dump از سیستم آلوده دارید. این فایل میتواند با استفاده از ابزارهایی مانند DumpIt، FTK Imager، یا LiME ایجاد شود.
مرحله 2: شناسایی پروفایل حافظه
Volatility برای کار با فایل حافظه نیاز به شناسایی پروفایل سیستم دارد. از دستور زیر برای شناسایی پروفایل استفاده کنید:
volatility -f memory.dmp imageinfo
خروجی:
این دستور پروفایلهای پیشنهادی سیستم (مانند Win7SP1x64) را ارائه میدهد.
مرحله 3: شناسایی پروسسهای فعال
با استفاده از دستور pslist یا psscan، فهرست پروسسهای فعال در حافظه را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 pslist
خروجی نمونه:
PID PPID Name Offset(V) 1000 4 System 0x00000000 1500 1000 svchost.exe 0x12345678
این خروجی نشان میدهد که svchost.exe در سیستم اجرا شده است.
مرحله 4: بررسی DLLهای بارگذاریشده توسط svchost.exe
حملات تزریق کد معمولاً شامل بارگذاری DLLهای مخرب در پراسس های قانونی هستند. برای شناسایی DLLهای بارگذاریشده توسط svchost.exe، از دستور dlllist استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 dlllist -p 1500
خروجی نمونه:
Base Size Path 0x7ffd9000 0x12000 C:\Windows\System32\kernel32.dll 0x6d9c0000 0x1f000 C:\Windows\Temp\malicious.dll
در اینجا، DLL مشکوکی به نام malicious.dll شناسایی شده که در مسیر غیرمعمولی (Temp) قرار دارد.
مرحله 5: جستجوی تزریق کد در حافظه
تزریق کد معمولاً شامل تخصیص حافظه جدید در پروسس هدف است. با استفاده از دستور malfind، تزریق کد را بررسی کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500
خروجی نمونه:
Process: svchost.exe PID: 1500 Address: 0x7a45000 Injected Code: 0x7a45000 - 0x7a46000 Dumped to malfind.1500.0x7a45000.dmp
این خروجی نشان میدهد که کد تزریقی در آدرس حافظه 0x7a45000 قرار دارد.
مرحله 6: استخراج کد تزریقشده
برای تحلیل بیشتر، کد تزریقشده را استخراج کنید. Volatility این امکان را فراهم میکند که محتویات حافظه را برای تحلیل دستی ذخیره کنید:
volatility -f memory.dmp --profile=Win7SP1x64 malfind -p 1500 --dump-dir=./dumps
فایلهای تولیدشده را میتوان با ابزارهایی مانند IDA Pro، Ghidra، یا PEStudio بررسی کرد.
مرحله 7: بررسی اتصالات شبکهای svchost.exe
برای شناسایی ارتباطات شبکهای مرتبط با svchost.exe، از دستور netscan استفاده کنید:
volatility -f memory.dmp --profile=Win7SP1x64 netscan
خروجی نمونه:
Proto Local Address Foreign Address PID TCP 192.168.1.10:5040 198.51.100.23:443 1500
در اینجا، svchost.exe با آدرس خارجی مشکوک 198.51.100.23 در حال ارتباط است.
یافتههای تحلیل
تزریق کد در آدرس حافظه 0x7a45000 شناسایی شد.
اینجا DLL مشکوک malicious.dll بارگذاری شده است.
ارتباط شبکهای به آدرس خارجی ناشناخته نشاندهنده احتمال ارتباط با سرور Command and Control است.
جمعبندی
تحلیل پروسس svchost.exe با Volatility میتواند به شناسایی تزریق کد، بارگذاری DLLهای مخرب، و رفتارهای شبکهای غیرعادی کمک کند. این روش برای پاسخ به حوادث امنیتی (Incident Response) و تحلیل بدافزارها ضروری است. با استفاده از ابزارهایی مانند Volatility و بررسی دقیق خروجیها، امکان شناسایی و مقابله با تهدیدات سایبری فراهم میشود.
Please open Telegram to view this post
VIEW IN TELEGRAM
استاکس نت تحولی در عصر نفوذ رو رقم زد مستند zero days رو برای مطلع شدن از ابعاد قضیه پیشنهاد میکنم
اما چند مقاله مهم و فنی در این خصوص رو در زیر میگذارم.
من در کلاسهایم در هر سطحی بالاخره یک مروری بر استاکس نت دارم حالا اگر کلاس فنی باشد جزئیات فنی را پیش میکشم و اگر مدیریتی باشد مسائل غیر آن .
چون درس آموخته های استاکس نت خودش آموزش بزرگیست.
مقاله سیمنتک
https://docs.broadcom.com/doc/security-response-w32-stuxnet-dossier-11-en
مقاله کسپرسکی
https://www.kaspersky.com/resource-center/definitions/what-is-stuxnet
https://www.langner.com/stuxnet/
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
اما چند مقاله مهم و فنی در این خصوص رو در زیر میگذارم.
من در کلاسهایم در هر سطحی بالاخره یک مروری بر استاکس نت دارم حالا اگر کلاس فنی باشد جزئیات فنی را پیش میکشم و اگر مدیریتی باشد مسائل غیر آن .
چون درس آموخته های استاکس نت خودش آموزش بزرگیست.
مقاله سیمنتک
https://docs.broadcom.com/doc/security-response-w32-stuxnet-dossier-11-en
مقاله کسپرسکی
https://www.kaspersky.com/resource-center/definitions/what-is-stuxnet
https://www.langner.com/stuxnet/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1👏1🕊1
🏮جایی که ابزار کم میاورد اما دانش میتواند جلو برود
◀️بسیاری از ما از volatility برای تحلیل حافظه در فارنزیک و کشف حملات پیچیده استفاده میکنیم. اما آیا به این فکر کرده اید این دستوراتی که درvolatility اینقدر سر راست برای ما اطلاعات را بیرون میکشند زمانی ممکن است دور بخورند ؟
🔴خیلی سوال مهمی است چون در برخی کلاسها تاکید بسیاری بر این ابزار است اما آیا در عمل کاملا میتواند موفق باشد ؟
✴️نمونه بدافزارهایی که Volatility را میتوانند دور بزنند:
Turla Rootkit (Snake):
این بدافزار از تکنیکهای پنهانسازی پیشرفته برای پنهان کردن فعالیتهای خود در حافظه و شبکه استفاده میکند.
Stuxnet:
با تزریق کدهای پیشرفته به فرآیندهای سیستم و استفاده از مبهمسازی.
ShadowHammer:
این بدافزار با دستکاری ماژولها و استفاده از گواهینامههای معتبر سعی در گمراه کردن تحلیلگران داشت.
GrayFish (Equation Group):
این بدافزار در BIOS و حافظه مخفی میشود و تشخیص آن بسیار دشوار است.
🔵تکلیف : کمی درباره علت توضیح دادم ولی بیشتر دقیق شوید و بررسی کنید چرا این اتفاقات میافتد.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
◀️بسیاری از ما از volatility برای تحلیل حافظه در فارنزیک و کشف حملات پیچیده استفاده میکنیم. اما آیا به این فکر کرده اید این دستوراتی که درvolatility اینقدر سر راست برای ما اطلاعات را بیرون میکشند زمانی ممکن است دور بخورند ؟
🔴خیلی سوال مهمی است چون در برخی کلاسها تاکید بسیاری بر این ابزار است اما آیا در عمل کاملا میتواند موفق باشد ؟
✴️نمونه بدافزارهایی که Volatility را میتوانند دور بزنند:
Turla Rootkit (Snake):
این بدافزار از تکنیکهای پنهانسازی پیشرفته برای پنهان کردن فعالیتهای خود در حافظه و شبکه استفاده میکند.
Stuxnet:
با تزریق کدهای پیشرفته به فرآیندهای سیستم و استفاده از مبهمسازی.
ShadowHammer:
این بدافزار با دستکاری ماژولها و استفاده از گواهینامههای معتبر سعی در گمراه کردن تحلیلگران داشت.
GrayFish (Equation Group):
این بدافزار در BIOS و حافظه مخفی میشود و تشخیص آن بسیار دشوار است.
🔵تکلیف : کمی درباره علت توضیح دادم ولی بیشتر دقیق شوید و بررسی کنید چرا این اتفاقات میافتد.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1👏1
خب این جمعه تمرکز رو بگذاریم رو تحلیل بدافزار
شروع رو از یک تمرین ساده با Ghidra داریم
خیلی سختش نکنید
ویدئو رو ببینید
این لینک هم بخونین
https://medium.com/@cy1337/reversing-a-simple-crackme-with-ghidra-decompiler-5dd1b1c3c0ba
https://m.youtube.com/watch?v=fTGTnrgjuGA
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
شروع رو از یک تمرین ساده با Ghidra داریم
خیلی سختش نکنید
ویدئو رو ببینید
این لینک هم بخونین
https://medium.com/@cy1337/reversing-a-simple-crackme-with-ghidra-decompiler-5dd1b1c3c0ba
https://m.youtube.com/watch?v=fTGTnrgjuGA
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Reversing a Simple CrackMe with Ghidra Decompiler
In this article, I will walk through a simple crackme challenge from the collection of sample files for A Guide to Reversing with Ghidra…
❤1🔥1👏1
یک تحلیل واقعی
برای مبتدیان
برای انجام یک تحلیل واقعی با استفاده از Ghidra، میتوانیم یک نمونه ساده از برنامههای CrackMe را بررسی کنیم. این برنامهها برای تمرین مهارتهای مهندسی معکوس طراحی شدهاند و محیطی امن برای یادگیری فراهم میکنند.
مرحله 1: دانلود یک نمونه CrackMe
دریافت فایل:
به وبسایت Crackmes.one مراجعه کنید.
یک CrackMe با سطح دشواری "آسان" را انتخاب و دانلود کنید.
مرحله 2: راهاندازی Ghidra
ایجاد پروژه جدید:
Ghidra را باز کنید و یک پروژه جدید ایجاد کنید.
نام پروژه را متناسب با نمونه انتخابی قرار دهید.
وارد کردن فایل اجرایی:
فایل CrackMe دانلودشده را به پروژه وارد کنید.
Ghidra بهطور خودکار نوع فایل را شناسایی میکند.
مرحله 3: تحلیل اولیه فایل
اجرای تحلیل خودکار:
پس از وارد کردن فایل، Ghidra پیشنهاد میدهد که تحلیل خودکار را انجام دهد؛ این فرآیند را تأیید کنید.
این تحلیل شامل شناسایی توابع، رشتهها و ساختارهای دادهای است.
مرحله 4: جستجوی رشتهها (Strings)
نمایش رشتهها:
از منوی Window > Defined Strings استفاده کنید تا تمامی رشتههای موجود در برنامه را مشاهده کنید.
به دنبال رشتههایی مانند "Password incorrect" یا "Access granted" باشید که ممکن است به فرآیند تأیید رمز عبور مرتبط باشند.
مرحله 5: تحلیل توابع مرتبط با رمز عبور
شناسایی توابع مهم:
در پنجره Symbol Tree، به بخش Functions بروید و توابعی که ممکن است با تأیید رمز عبور مرتبط باشند را شناسایی کنید.
توابعی با نامهایی مانند check_password یا validate میتوانند مورد توجه باشند.
دیکامپایل توابع:
روی تابع مورد نظر دوبار کلیک کنید تا کد اسمبلی آن نمایش داده شود.
در پنجره Decompile، کد شبهC نمایش داده میشود که درک آن سادهتر است.
مرحله 6: شناسایی رمز عبور
بررسی منطق تأیید:
در کد دیکامپایلشده، به دنبال مقایسههایی باشید که ورودی کاربر را با یک مقدار ثابت مقایسه میکنند.
اگر مقدار ثابت (رمز عبور) در کد مشخص باشد، میتوانید آن را استخراج کنید.
شناسایی الگوریتمهای مبهمسازی:
در صورتی که رمز عبور بهصورت مستقیم در کد نباشد، ممکن است از الگوریتمهای رمزنگاری یا مبهمسازی استفاده شده باشد که نیاز به تحلیل دقیقتر دارد.
مرحله 7: آزمایش رمز عبور
اجرای برنامه:
برنامه CrackMe را اجرا کنید و رمز عبور استخراجشده را وارد کنید.
در صورت صحیح بودن تحلیل، باید پیام موفقیت را مشاهده کنید.
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
برای مبتدیان
برای انجام یک تحلیل واقعی با استفاده از Ghidra، میتوانیم یک نمونه ساده از برنامههای CrackMe را بررسی کنیم. این برنامهها برای تمرین مهارتهای مهندسی معکوس طراحی شدهاند و محیطی امن برای یادگیری فراهم میکنند.
مرحله 1: دانلود یک نمونه CrackMe
دریافت فایل:
به وبسایت Crackmes.one مراجعه کنید.
یک CrackMe با سطح دشواری "آسان" را انتخاب و دانلود کنید.
مرحله 2: راهاندازی Ghidra
ایجاد پروژه جدید:
Ghidra را باز کنید و یک پروژه جدید ایجاد کنید.
نام پروژه را متناسب با نمونه انتخابی قرار دهید.
وارد کردن فایل اجرایی:
فایل CrackMe دانلودشده را به پروژه وارد کنید.
Ghidra بهطور خودکار نوع فایل را شناسایی میکند.
مرحله 3: تحلیل اولیه فایل
اجرای تحلیل خودکار:
پس از وارد کردن فایل، Ghidra پیشنهاد میدهد که تحلیل خودکار را انجام دهد؛ این فرآیند را تأیید کنید.
این تحلیل شامل شناسایی توابع، رشتهها و ساختارهای دادهای است.
مرحله 4: جستجوی رشتهها (Strings)
نمایش رشتهها:
از منوی Window > Defined Strings استفاده کنید تا تمامی رشتههای موجود در برنامه را مشاهده کنید.
به دنبال رشتههایی مانند "Password incorrect" یا "Access granted" باشید که ممکن است به فرآیند تأیید رمز عبور مرتبط باشند.
مرحله 5: تحلیل توابع مرتبط با رمز عبور
شناسایی توابع مهم:
در پنجره Symbol Tree، به بخش Functions بروید و توابعی که ممکن است با تأیید رمز عبور مرتبط باشند را شناسایی کنید.
توابعی با نامهایی مانند check_password یا validate میتوانند مورد توجه باشند.
دیکامپایل توابع:
روی تابع مورد نظر دوبار کلیک کنید تا کد اسمبلی آن نمایش داده شود.
در پنجره Decompile، کد شبهC نمایش داده میشود که درک آن سادهتر است.
مرحله 6: شناسایی رمز عبور
بررسی منطق تأیید:
در کد دیکامپایلشده، به دنبال مقایسههایی باشید که ورودی کاربر را با یک مقدار ثابت مقایسه میکنند.
اگر مقدار ثابت (رمز عبور) در کد مشخص باشد، میتوانید آن را استخراج کنید.
شناسایی الگوریتمهای مبهمسازی:
در صورتی که رمز عبور بهصورت مستقیم در کد نباشد، ممکن است از الگوریتمهای رمزنگاری یا مبهمسازی استفاده شده باشد که نیاز به تحلیل دقیقتر دارد.
مرحله 7: آزمایش رمز عبور
اجرای برنامه:
برنامه CrackMe را اجرا کنید و رمز عبور استخراجشده را وارد کنید.
در صورت صحیح بودن تحلیل، باید پیام موفقیت را مشاهده کنید.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1👏1🤩1
کشف دامپ با taskmanager
در حمله ای مشاهده شده که هکر با دسترسی ادمینی که داشته بجای استفاده از Mimikatz از taskmanager اومده و دامپ lsass.exe رو گرفته تا بتونه کردنشیال رو دربیاره .
چرا از این روش که استفاده از LOLBins - ابزارهای ویندوز-نام داره استفاده کرده ؟
تا ابزارهای حساس به Mimikatz که ابزاری هکری هست فعال نشن.
واسه گرفتن این رفتار من از سیسمون استفاده میکنم. به شرح کانفیگ فایل زیر .
شما هم اگر نظری دارید بفرمایید .
<EventFiltering>
<ProcessAccess onmatch="include">
<TargetImage condition="contains">lsass.exe</TargetImage>
<SourceImage condition="contains">taskmgr.exe</SourceImage>
<GrantedAccess condition="contains">0x1410</GrantedAccess> <!-- Specific LSASS memory access -->
</ProcessAccess>
<ProcessCreate onmatch="include">
<Image condition="contains">taskmgr.exe</Image>
<CommandLine condition="contains">lsass</CommandLine> <!-- Task Manager dump triggers -->
</ProcessCreate>
<FileCreate onmatch="include">
<TargetFilename condition="ends with">.dmp</TargetFilename>
<TargetFilename condition="contains">\Windows\Temp\</TargetFilename>
<TargetFilename condition="contains">\CrashDumps\</TargetFilename>
</FileCreate>
</EventFiltering>
تایپ دسترسی (0x1410) تلاش برای خواندن رو لاگ میکنه اگر شما اینو که فیلتر GrantedAccess است در کانفیگ سیسمون نداشته باشید دچار FP میشین.
حتما باید ایجاد پراسس پایش بشه
خروجی دامپ با پسوند .dmp
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
در حمله ای مشاهده شده که هکر با دسترسی ادمینی که داشته بجای استفاده از Mimikatz از taskmanager اومده و دامپ lsass.exe رو گرفته تا بتونه کردنشیال رو دربیاره .
چرا از این روش که استفاده از LOLBins - ابزارهای ویندوز-نام داره استفاده کرده ؟
تا ابزارهای حساس به Mimikatz که ابزاری هکری هست فعال نشن.
واسه گرفتن این رفتار من از سیسمون استفاده میکنم. به شرح کانفیگ فایل زیر .
شما هم اگر نظری دارید بفرمایید .
<EventFiltering>
<ProcessAccess onmatch="include">
<TargetImage condition="contains">lsass.exe</TargetImage>
<SourceImage condition="contains">taskmgr.exe</SourceImage>
<GrantedAccess condition="contains">0x1410</GrantedAccess> <!-- Specific LSASS memory access -->
</ProcessAccess>
<ProcessCreate onmatch="include">
<Image condition="contains">taskmgr.exe</Image>
<CommandLine condition="contains">lsass</CommandLine> <!-- Task Manager dump triggers -->
</ProcessCreate>
<FileCreate onmatch="include">
<TargetFilename condition="ends with">.dmp</TargetFilename>
<TargetFilename condition="contains">\Windows\Temp\</TargetFilename>
<TargetFilename condition="contains">\CrashDumps\</TargetFilename>
</FileCreate>
</EventFiltering>
تایپ دسترسی (0x1410) تلاش برای خواندن رو لاگ میکنه اگر شما اینو که فیلتر GrantedAccess است در کانفیگ سیسمون نداشته باشید دچار FP میشین.
حتما باید ایجاد پراسس پایش بشه
خروجی دامپ با پسوند .dmp
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1👍1