NEW BOT Телеграм, страница

ReverseEngineering

مراحل کلی آنپک کردن دستی و خودکار

شناسایی پکر

استفاده از ابزارهایی مثل:

PEiD

Detect It Easy

بررسی سکشن‌ها ساختارهای غیرمعمول سایزهای عجیب و نام بخش‌ ها

👍6

374 viewsedited 19:22

ReverseEngineering

پیدا کردن OEP (Original Entry Point)

اجرای فایل در دیباگر مثل x64dbg

گذاشتن Breakpoint روی API های کلیدی:

VirtualAlloc

WriteProcessMemory

GetProcAddress

یا حتی روی Entry Point خود فایل

👍5

356 views19:23

ReverseEngineering

https://medium.com/@shubhandrew/analysis-of-kimsuky-apt-group-powershell-payloads-one-of-them-attributed-to-xworm-rat-ea8a96ea53fe

Medium

Analysis of Kimsuky APT Group (Powershell Payloads one of them attributed to XWorm RAT)

Summary

🔥1

411 views19:24

ReverseEngineering

https://medium.com/@cy1337/tracing-data-flow-with-pcode-f879278d9fc1

Medium

Tracing malloc calls with PCode

It’s that time of the year again, Black Hat USA is just a few months away and I’m honored to be back again for another year teaching about…

👍4

427 views19:24

ReverseEngineering

https://medium.com/@ibnuilham/dodging-the-debugger-winantidbg0x300-picoctf-2024-writeup-0d913ad398ba

Medium

Dodging the Debugger: WinAntiDbg0x300 (picoCTF 2024 Writeup)

Hey everyone! I just wrapped up a fun little reverse engineering challenge from picoCTF 2024 called “WinAntiDbg0x300,” and thought I’d…

👍4🍓1

487 views19:25

ReverseEngineering

گرفتن Dump از حافظه

وقتی به OEP رسیدید:

از ابزار Scylla یا x64dbg استفاده کنید برای گرفتن Memory Dump

آدرس‌های سکشن‌ها و Import Table رو ذخیره کنید

❤4🔥1

371 views23:17

ReverseEngineering

بازسازی Import Table

در بیشتر موارد Import Table فایل pack شده موقع dump خراب یا ناقصه

Scylla یا Import Reconstructor برای بازسازی IAT کمک می‌کنه

این مرحله باعث می‌شه فایل dump شده بعد از ذخیره درست اجرا بشه

❤3🔥1

356 views23:18

ReverseEngineering

ذخیره فایل آنپک شده

ذخیره فایل با IAT بازسازی‌ شده

اجرای تست برای اطمینان از سلامت فایل نهایی

👏3

331 viewsedited 23:18

ReverseEngineering

نمونه کد آنپکر ساده با پایتون برای UPX

در فایل‌های pack شده با UPX گاهی فقط نیاز به اجرای ابزار UPX به‌ صورت اتوماتیک داریم:

import subprocess
import os

def unpack_upx(file_path):
if not os.path.exists(file_path):
print("فایل پیدا نشد")
return
try:
subprocess.run(['upx', '-d', file_path], check=True)
print("فایل با موفقیت آنپک شد")
except subprocess.CalledProcessError:
print("خطا در آنپک فایل")

unpack_upx('sample.exe')

👏3

397 viewsedited 23:19

ReverseEngineering

https://medium.com/@othman.nouakchi/reverse-me-if-you-can-a-practical-journey-through-binary-analysis-6fc8d8d0f85d

Medium

Reverse me if you can: A Practical Journey Through Binary Analysis

In the shadowy realm where code meets curiosity, reverse engineering stands as both art and science. It’s the practice of dissecting…

👏3

399 views23:23

ReverseEngineering

https://medium.com/@Tvrpism/getting-started-with-pwndbg-without-getting-lost-a825245790af

Medium

Getting Started with pwndbg (Without Getting Lost)

Hey everyone!
Today I want to talk about pwndbg, an upgraded version of the regular gdb debugger that’s packed with features designed for…

❤3

452 views23:24

ReverseEngineering

ساخت آنپکر اختصاصی برای فایل‌های Pack شده

بعد از اینکه فهمیدیم یه فایل pack شده‌ست (مثلاً با UPX یا پکرهای خاص) وقتشه خودمون بتونیم برای اون یک آنپکر بسازیم و باینری اصلی رو بازیابی کنیم

چرا باید خودمون آنپکر بنویسیم؟

همه فایل‌ها با ابزارهای آماده قابل آنپک نیستن (مثلاً نسخه‌های دستکاری‌شده یا سفارشی‌شده‌ی UPX)

در بعضی مواقع نیاز به خودکارسازی داریم (مثلاً اسکن دسته‌ای)

این تمرین باعث می‌شه به درک عمیق‌تری از ساختار PE و مکانیزم اجرای ویندوز برسید

👍4👏1

389 viewsedited 20:27

ReverseEngineering

شناسایی پکر

استفاده از ابزارهایی مثل:

PEiD

Detect It Easy

بررسی سکشن‌ها ساختارهای غیرمعمول سایزهای عجیب و نام بخش‌ها

👍4👏1

379 views20:28

ReverseEngineering

پیدا کردن OEP (Original Entry Point)

اجرای فایل در دیباگر مثل x64dbg

گذاشتن Breakpoint روی APIهای کلیدی:

VirtualAlloc

WriteProcessMemory

GetProcAddress

یا حتی روی Entry Point خود فایل

دنبال کردن flow تا وقتی وارد کد unpack شده → اونجا OEP واقعی هست

👍4❤1

394 views20:28

ReverseEngineering

گرفتن Dump از حافظه

وقتی به OEP رسیدیم:

از ابزار Scylla یا x64dbg استفاده کنیم برای گرفتن Memory Dump

آدرس‌های سکشن‌ها و Import Table رو ذخیره کنید

👍4❤1

320 views20:29

ReverseEngineering

انواع تکنیک‌های رایج Obfuscation

Renaming (تغییر نام‌ها):

تغییر نام تابع‌ها متغیرها کلاس‌ها به اسم‌های بی‌معنا مثل a, b2, _x1 و غیره

در کد NET. و Java خیلی رایجه

2 Control Flow Obfuscation:

تغییر ساختار طبیعی کدها با اضافه کردن پرش‌های بی‌ربط if/elseهای بی‌معنا و لوپ‌های تودرتو

در اسمبلی به شکل JMP‌های زیاد، CALL های بی‌دلیل یا پرش‌های به عقب دیده میشه

3 Junk Code Injection:

تزریق دستوراتی که هیچ کاری نمی‌کنن (NOP، push/pop‌های بی‌اثر) فقط برای گمراه کردن دیباگر یا دیس‌اسمبلر

4 Opaque Predicates:

شرط هایی که همیشه درست یا غلط هستن ولی تحلیل‌گر رو گیج میکنن

مثل:

CMP EAX, EAX
JNE somewhere ; این هیچ‌وقت اجرا نمیشه

5 String Encryption:

رمزنگاری رشته‌ها (مثل نام توابع، URLها کلیدها) که فقط در زمان اجرا رمزگشایی میشن

6 Anti-Decompiler / Anti-Debug Tricks:

مثل IsDebuggerPresent, CheckRemoteDebuggerPresent و دستوراتی که ابزارهای تحلیل رو crash میکنن