📌 1. ابزارهای تحلیل استاتیک

🔍 تحلیل استاتیک یعنی بررسی کد باینری بدون اجرای برنامه. این ابزارها بهتون کمک می‌کنن که ساختار برنامه رو بفهمید و بفهمید چه توابع و کلاس‌هایی داره.

🔹 IDA Pro → قوی‌ترین دیس‌اسمبلر برای آنالیز فایل‌های اجرایی (پولی، ولی کرک شدش هست!)

🔹 Ghidra → یه ابزار رایگان و متن‌باز که توسط NSA ساخته شده، مثل IDA ولی رایگان

🔹 Binary Ninja → یه دیس‌اسمبلر سبک برای تحلیل سریع باینری‌ها

🔹 Radare2 → یه ابزار خط فرمانی و قدرتمند برای تحلیل باینری‌ها

💡 کی ازشون استفاده کنیم؟

وقتی می‌خوای ببینی یه فایل اجرایی چه توابعی داره رشته‌های متنیش چیه و چه کارهایی انجام میده

رمزنگاری (Encryption)

فرآیند تبدیل داده‌های قابل‌خوندن به یک قالب غیرقابل خوندن اما با داشتن کلید صحیح می‌تونیم اونو دوباره به حالت اولیه برگردونیم هدف اصلی رمزنگاری حفظ محرمانگی اطلاعاته دو نوع اصلی رمزنگاری داریم:

1 رمزنگاری متقارن (Symmetric Encryption):

در این روش از یک کلید واحد برای رمزگذاری و رمزگشایی استفاده میشه (مثلا AES)


2 رمزنگاری نامتقارن (Asymmetric Encryption):

در این روش یک جفت کلید عمومی و خصوصی وجود داره داده‌ای که با یکی رمز میشه فقط با داده ی دیگه قابل رمزگشایی است (مثلاً RSA)



هشینگ (Hashing)

یک عملیات یک‌طرفه است که داده‌ای رو به یک مقدار ثابت (هش) تبدیل می‌کنه و امکان برگردوندن اون به مقدار اولیه وجود نداره هشینگ برای تضمین یکپارچگی داده‌ها و ذخیره امن رمزهای عبور استفاده میشه

ویژگی‌های کلیدی هشینگ:

یک‌طرفه بودن: نمی‌تونیم مقدار اولیه رو از هش استخراج کنیم

حساسیت به تغییرات:
کوچک‌ترین تغییر در ورودی هش کاملا متفاوتی تولید میکنه


تعیین اندازه خروجی:
مقدار هش همیشه طول ثابتی داره (مثلا SHA-256 همیشه 256 بیت خروجی میده)


به زبون ساده رمزنگاری برای محرمانگیه (قابل بازگشت)

ولی هشینگ برای یکپارچگیه (غیرقابل بازگشت)

رمز ترنسپوزیشن چیه؟

رمز ترنسپوزیشن یه روش رمزنگاریه که توش حروف متن اصلی تغییر نمیکنن فقط جاشون عوض میشه یعنی همون حروف هستن ولی یه ترتیب دیگه دارن

یه مثال ساده:

کلمه "سلام" رو در نظر بگیرید اگه جای حروف رو جابه‌جا کنیم می‌تونیم چیزایی مثل "مالس" یا "لامس" بسازیم این دقیقا همون مفهوم ترنسپوزیشنه

روش جابه‌جایی ساده (Simple Transposition)

کاری که میکنه: جای حروف رو با یه ترتیب خاص عوض میکنه

مثال :

متن اصلی: HELLO

اگه جای حروف رو دوتا دوتا عوض کنیم می‌شه:

EHLOL

2 ابزارهای دیباگینگ و تحلیل داینامیک

🔍 تحلیل داینامیک یعنی بررسی یه برنامه حین اجرا این کار باعث میشه بفهمی که متغیرها چطور تغییر می‌کنن و برنامه چجوری کار میکنه

🔹 x64dbg / x32dbg → محبوب‌ترین دیباگر برای مهندسی معکوس و کرکینگ (ویندوز)

🔹 OllyDbg → یه دیباگر قدیمی ولی هنوز کاربردی برای برنامه‌های
32 بیتی

🔹 WinDbg → دیباگر رسمی مایکروسافت برای ویندوز

🔹 GDB → دیباگر خط فرمانی برای لینوکس

🔹 Frida → یه ابزار برای دیباگ کردن اپلیکیشن‌های اندروید و iOS

🔹 API Monitor → نمایش تمام ای پی ای هایی که یه برنامه فراخوانی می‌کنه

💡 کی ازشون استفاده کنیم؟

وقتی بخوای بفهمی کدوم بخش برنامه مسئول چک کردن لایسنسه یا مثلا یه برنامه موقع اجرا چه تغییراتی روی فایل‌های سیستم انجام میده

تحلیل ضد دیباگینگ و ضد مهندسی معکوس

تاخیر در اجرای کد برای شناسایی دیباگر Timing checks

شناسایی دیباگرها با Timing Check

یکی از روش‌های محبوب برای تشخیص اینکه یه برنامه تحت دیباگ اجرا می‌شه یا نه،اینه که زمان اجرای بخش‌های مختلف کد رو بررسی کنه چرا چون وقتی یه دیباگر فعال باشه اجرای کد یه مقدار کندتر می‌شه مخصوصا وقتی Breakpoint بزاری یا دستور Single-Step اجرا کنی

روش‌های رایج Timing Check و چجوری بایپسشون کنیم؟

1 اندازه‌گیری زمان با APIهای ویندوز
برنامه میاد با یه سری توابع مثل
GetTickCount، QueryPerformanceCounter، RDTSC
زمان اجرا رو اندازه‌گیری می‌کنه. اگه زمان بیشتر از حد عادی باشه یعنی دیباگر فعاله

مثال ساده:

#include <windows.h>
#include <iostream>

int main() {
DWORD start = GetTickCount();
Sleep(100);
DWORD end = GetTickCount();

if (end - start > 110) {
std::cout << "Debugger detected!" << std::endl;
} else {
std::cout << "No debugger found." << std::endl;
}
}

چرا جواب می‌ده؟

چون اگه دیباگر فعال باشه اجرای برنامه متوقف می‌شه و این وقفه باعث می‌شه تاخیر بیشتر بشه و لو بری

چطور دورش بزنیم؟

Patch کردن API ها

(Sleepمثلاً مقدار
رو تغییر بدی)

Hook کردن GetTickCount و مقدار فیک برگردوندن

2 استفاده از RDTSC (دستور تایمر CPU)
دستور RDTSC تعداد سیکل‌های CPU از زمان روشن شدن سیستم رو میشمره اگه برنامه ببینه مقدار تغییر یافته بیش از حد معمول باشه یعنی احتمالا یه دیباگر فعاله

کد اسمبلی:

rdtsc
mov ebx, eax
; اجرای یه بخش از کد
rdtsc
sub eax, ebx
cmp eax, 1000
jg debugger_detected

چطور دورش بزنیم؟

پچ کردن کدی که RDTSC رو اجرا می‌کنه
Hook کردن RDTSC و مقدار فیک برگردوندن

استفاده از پلاگین‌های Anti-Anti-Debug مثل ScyllaHide

3 مقایسه زمان Sleep() با مقدار واقعی
برنامه یه تاخیر عمدی (مثلاً Sleep(500)) ایجاد می‌کنه و بعد چک می‌کنه آیا واقعا همونقدر طول کشیده یا نه اگه بیشتر طول کشیده باشه → یعنی دیباگر توی کاره

مثال:

#include <windows.h>
#include <iostream>

int main() {
LARGE_INTEGER freq, start, end;
QueryPerformanceFrequency(&freq);
QueryPerformanceCounter(&start);

Sleep(500);

QueryPerformanceCounter(&end);
double elapsed = (double)(end.QuadPart - start.QuadPart) / freq.QuadPart;

if (elapsed > 0.55) {
std::cout << "Debugger detected!" << std::endl;
} else {
std::cout << "No debugger found." << std::endl;
}
}

چطور دورش بزنیم؟

Patch کردن Sleep()

تا مقدار واقعی Sleep نادیده گرفته بشه

Hook QueryPerformanceCounter

و مقدار ثابت برگردوندن

روش راه‌آهنی (Rail Fence Cipher)

تو این روش متن رو به‌شکل زیگزاگی می‌نویسیم و بعد خط به خط میخونیم

مثال :

متن: HELLO WORLD

اگه با 3 ردیف اینو بنویسیم میشه :

H L O W D E L O R L O


بعد اگه از بالا به پایین بخونیم متن رمز شده می‌شه :

HLOWD ELOR LO

ابزارهای بررسی حافظه و انالیز رفتار برنامه

این ابزارها کمک می‌کنن که بفهمی یه برنامه چه کارهایی توی سیستم انجام میده

Process Hacker نمایش همه پردازش‌های در حال اجرا و اطلاعات مربوط به اون‌ها

Procmon (Process Monitor) بررسی تمام فعالیت‌های یک برنامه روی فایل‌ها و رجیستری

HxD / 010 Editor ویرایشگر هگز برای تغییر فایل‌های باینری

Cheat Engine تغییر مقدار متغیرهای داخل حافظه (برای کرکینگ و بازی‌ها)

وقتی بخوای ببینی یه برنامه موقع اجرا چه فایلی می‌خونه چه تغییری توی رجیستری میده یا چه داده‌ای توی حافظه ذخیره کرده از اینا استفاده میکنیم

اوکیه کتاب هم میزارم

این کتاب شامل تمرین‌ها و راه‌حل‌هایی با ویروس‌ها و روت‌کیت‌های واقعی و مخربه نویسندگان این کتاب عمدا این کار رو انجام دادن تا اطمینان پیدا کنن که خوانندگان می‌تونن فورا مهارت‌های که یاد گرفتن خودشون استفاده کنن نمونه‌های بدافزار به ترتیب حروف الفبا (نمونه A، B، C، …)
انواع معماری رو هم میگه Arm x64 x86

ابزارهای بررسی و ویرایش فایل‌های اجرایی

این ابزارها برای بررسی و تغییر فایل‌های PE (ویندوز) و ELF (لینوکس) استفاده میشن

🔹 PE-bear → نمایش ساختار فایل‌های PE و ویرایش اون‌ها

🔹 LordPE → استخراج توابع و اطلاعات PE

🔹 CFF Explorer → بررسی هدرهای فایل PE و تغییر مشخصات اون

وقتی بخوایم بفهمیم یه فایل اجرایی چجوری ساخته شده یا مثلا یه امضای دیجیتال رو ازش حذف کنیم

تحلیل ساختار فایل‌های اجرایی PE در ویندوز

باید بدونید که فایل‌های اجرایی (EXE، DLL و...) چجوری ساخته میشن و چطور داخل حافظه لود میشن چون مهندسی معکوس بیشتر روی این فایل‌ها انجام میشه فهمیدن ساختارشون خیلی مهمه

فرمت‌های مختلف فایل‌های اجرایی

وقتی یه برنامه رو توی ویندوز یا لینوکس اجرا میکنید اون فایل اجرایی توی حافظه لود میشه فایل‌های اجرایی توی سیستم‌عامل‌های مختلف فرمت‌های متفاوتی دارن:

PE (Portable Executable) → مخصوص ویندوز

ELF (Executable and Linkable Format) → مخصوص لینوکس و اندروید

Mach-O → مخصوص macOS و iOS



2. ساختار فایل PE در ویندوز (EXE و DLL)

هر فایل اجرایی در ویندوز یه فرمت استاندارد به اسم PE (Portable Executable) داره این فرمت برای EXEها و DLLها استفاده میشن

ساختار کلی یک فایل PE :


| DOS Header |
اطلاعات ابتدایی (شاملMZ Signature) |

| PE Header | اطلاعات کلی فایل اجرایی |

| Section Table | فهرست سکشن‌های فایل (کد، داده، منابع و ...) |

| Sections | بخش‌های مختلف برنامه (کد اسمبلی، داده‌ها و ...) |

با ابزار CFF Explorer یا PEview میتونید این اطلاعات رو ببینید


بخش‌های مهم در فایل PE

1 DOS Header:

اولین قسمت فایل PE هست و همیشه با MZ Signature شروع میشه این بخش قدیمیه و برای سازگاری با DOS استفاده میشه

2 PE Header (NT Headers):

این قسمت شامل اطلاعات کلی درباره فایل اجراییه مثل:

نوع پردازنده (32 یا 64 بیت)

تعداد سکشن‌ها

آدرس نقاط ورود (Entry Point)


3 Section Table (جدول سکشن‌ها):

فایل PE به چند سکشن (بخش) تقسیم میشه. هر سکشن یه هدف خاص داره:


توی مهندسی معکوس معمولا کد مخرب یا مکانیزم‌های کرک در سکشن .text یا .data قرار دارن


4 Import Table (جدول ایمپورت‌ها):

این جدول نشون میده که برنامه از کدوم DLLها و APIها استفاده میکنه برای مهندسی معکوس خیلی مهمه چون می‌تونی بفهمی که یه برنامه چجوری کار می‌کنه

5 Entry Point :

این آدرسیه که برنامه از اونجا اجرا میشه توی دیباگر (مثلاً x64dbg) این نقطه همونجاییه که اولین دستور اسمبلی اجرا میشه

دوستان حمایت کنید کانال رو دمتون گرم
🫶🏼🙏🏻

https://gchq.github.io/CyberChef

یک ابزار خوب برای تست رمزنگاری ها

ChaCha20 or Salsa20

یک الگوریتم رمزنگاریه که برای امنیت بالا و سرعت زیاد طراحی شده باهاش میشه داده‌ها رو رمزگذاری کرد تا کسی بدون کلید نتونه بخونه این الگوریتم جایگزین خوبی برای AES هست مخصوصاً توی موبایل‌ها و پردازنده‌هایی که سخت‌افزار مخصوص رمزنگاری ندارن


چطوری کار می‌کنه؟

ChaCha20 یه جور رمزنگاری جریانیه، یعنی داده‌ها رو دونه‌دونه رمز می‌کنه نه به‌صورت بلوک‌های بزرگ

ورودی‌هاش چیه؟

یه کلید 256 بیتی همون رمز اصلی

یه مقدار تصادفی Nonce برای جلوگیری از تکراری شدن رمزها

یه شمارنده که توی هر بلاک تغییر می‌کنه


چی کار می‌کنه؟

چند تا عملیات ریاضی ساده مثل جمع XOR و چرخش بیتی روی داده‌ها انجام میده

این عملیات 20 بار تکرار میشه تا یه سری اعداد تصادفی قوی تولید کنه

این اعداد با متن اصلی ترکیب میشن و داده‌ی رمزگذاری‌شده تولید میشه


چرا از ChaCha20 استفاده کنیم؟

سریع‌تره چون نیاز به محاسبات پیچیده‌ی AES نداره

امنیت بالایی داره و در برابر حملات رمزنگاری مقاومه

روی موبایل و دستگاه‌های کم‌قدرت بهتر کار می‌کنه، چون نیاز به سخت‌افزار خاصی نداره

در برابر حملات جانبی مثل حملات کش CPU امن‌ تره

کجاها ازش استفاده میشه؟

توی HTTPS امن کردن اینترنت

توی WireGuard VPN برای اتصال امن

توی OpenSSH برای ارتباطات رمزگذاری‌شده

توی Google QUIC که اینترنت رو سریع‌تر و امن‌تر می‌کنه