ReverseEngineering – Telegram
ReverseEngineering
@reverseengine
1.24K subscribers
40 photos
10 videos
55 files
666 links
Download Telegram
About
Blog
Apps
Platform
Join
ReverseEngineering
1.24K subscribers
ReverseEngineering
انواع تکنیک‌های رایج Obfuscation

Renaming (تغییر نام‌ها):

تغییر نام تابع‌ها متغیرها کلاس‌ها به اسم‌های بی‌معنا مثل a, b2, _x1 و غیره

در کد NET. و Java خیلی رایجه



2 Control Flow Obfuscation:

تغییر ساختار طبیعی کدها با اضافه کردن پرش‌های بی‌ربط if/elseهای بی‌معنا و لوپ‌های تودرتو

در اسمبلی به شکل JMP‌های زیاد، CALL های بی‌دلیل یا پرش‌های به عقب دیده میشه



3 Junk Code Injection:

تزریق دستوراتی که هیچ کاری نمی‌کنن (NOP، push/pop‌های بی‌اثر) فقط برای گمراه کردن دیباگر یا دیس‌اسمبلر



4 Opaque Predicates:

شرط هایی که همیشه درست یا غلط هستن ولی تحلیل‌گر رو گیج میکنن

مثل:

CMP EAX, EAX
JNE somewhere ; این هیچ‌وقت اجرا نمیشه



5 String Encryption:

رمزنگاری رشته‌ها (مثل نام توابع، URLها کلیدها) که فقط در زمان اجرا رمزگشایی میشن



6 Anti-Decompiler / Anti-Debug Tricks:

مثل IsDebuggerPresent, CheckRemoteDebuggerPresent و دستوراتی که ابزارهای تحلیل رو crash میکنن
👍4👏1
438 views
ReverseEngineering
توضیح کاربردها:

بدافزارها برای پنهان کردن رفتار واقعی‌شون استفاده می‌کنن


توسعه‌دهندگان نرم‌افزارهای پولی برای جلوگیری از کرک


حتی گاهی برای مخفی کردن بخشی از منطق تجاری یا کد لایسنس استفاده میشه
👍41
380 viewsedited  
ReverseEngineering
https://thecybersandeep.medium.com/how-to-set-up-gdb-for-debugging-android-apps-0f9f94ec337e
Medium
How to Set Up GDB for Debugging Android Apps
This guide provides a GDB setup using Termux v0.118.0, which will allow you to open up native processes , app and debug like a researcher.
👍31
463 views
ReverseEngineering
https://shadowintel.medium.com/linux-reverse-engineering-c96a5cb6fbee
Medium
Linux | Reverse-Engineering
Greetings!
👍3👏1
478 views
ReverseEngineering
Obfuscation
https://medium.com/@yasser.magdy102030/dissecting-an-obfuscated-powershell-dropper-evasion-techniques-detection-tactics-6f712fc50580
Medium
Dissecting an Obfuscated PowerShell Dropper: Evasion Techniques & Detection Tactics
What looks like a noisy, clunky noscript is actually a surgical two-stage malware loader built to dodge both tools and analysts.
4👏1
521 views
ReverseEngineering
تحلیل یک باینری با Control Flow Obfuscation
توی این قسمت یاد می‌گیریم چطور کدهایی که عمدا ساختار طبیعی‌شون به‌هم ریخته رو شناسایی کنیم و تمیز کنیم
👍32
400 views
ReverseEngineering
ReverseEngineering
تحلیل یک باینری با Control Flow Obfuscation توی این قسمت یاد می‌گیریم چطور کدهایی که عمدا ساختار طبیعی‌شون به‌هم ریخته رو شناسایی کنیم و تمیز کنیم
Asm
start:
push ebp
mov ebp, esp
cmp eax, eax
jne fake_branch
nop
nop
call real_function
jmp end

fake_branch:
xor eax, eax
call junk_function
jmp start

real_function:
; کد واقعی برنامه
; ...
ret

junk_function:
nop
nop
ret

end:
mov esp, ebp
pop ebp
ret
👍2👏2
432 viewsedited  
ReverseEngineering
ReverseEngineering
Asm start: push ebp mov ebp, esp cmp eax, eax jne fake_branch nop nop call real_function jmp end fake_branch: xor eax, eax call junk_function jmp start real_function: ; کد واقعی برنامه ; ... ret junk_function: nop nop ret…
تحلیل کد بالا در ابزارهایی مثل Ghidra یا IDA:

cmp eax, eax + jne همیشه falseمیشه، پس مسیر fake_branch عملا مرده‌ست

junk_function هیچ کاری نمی‌کنه و فقط برای گیج کردن دیس‌اسمبلر استفاده شده

real_function هدف اصلیه ولی وسط یک ساختار غیرخطی پنهان شده
👍3👏1
405 views
ReverseEngineering
تکنیک‌های Deobfuscation

با استفاده از Ghidra یا IDA:

مسیرهای شرطی غیرمنطقی (مثل cmp eax, eax) رو شناسایی و حذف کنید

برچسب‌ها (labels) و نام تابع‌ها رو خودتون معنی دار کنید تا سردرگم نشید

توی Ghidra می‌تونی از Script Manager استفاده کنید و اسکریپت‌هایی بنویسید که:

بلاک‌های غیرقابل دسترس (dead code) رو علامت‌گذاری کنن

توابع جعلی یا بی‌اثر رو از مسیر تحلیل حذف کنید
👍3👏1
489 views
ReverseEngineering
ابزارهای مفید:

ابزارهای کاربرد

Ghidra تحلیل کد پیچیده ساخت گراف کنترل جریان

IDA Pro دیس‌اسمبلی پیشرفته و دید بصری گراف‌ها

Binary Ninja ساده‌تر ولی مناسب برای
obfuscation

Ghidra Scripts نوشتن اسکریپت‌های تحلیل خودکار
👍3👏1
511 viewsedited  
ReverseEngineering
https://medium.com/@shubhandrew/analysis-of-hannibal-stealer-newer-version-of-sharp-stealer-155f0d6b093e
Medium
Analysis of Hannibal Stealer (newer version of Sharp Stealer)
Summary
👍2👏1
451 views
ReverseEngineering
https://blog.decurity.io/reversing-solana-programs-with-ida-438ec5184d73
Medium
Reversing Solana programs with IDA
One day, I decided to reverse-engineer a Solana program, only to realize that my usual go-to tool, IDA, had no support for it. The only…
👍3🔥1👏1
497 views
ReverseEngineering
Junk Code Injection
روش‌های حذفش

یعنی تزریق دستوراتی که هیچ اثری روی اجرای برنامه ندارن فقط برای گمراه کردن تحلیلگر یا دیباگر استفاده میشن
👍71
379 views
ReverseEngineering
ReverseEngineering
Junk Code Injection روش‌های حذفش یعنی تزریق دستوراتی که هیچ اثری روی اجرای برنامه ندارن فقط برای گمراه کردن تحلیلگر یا دیباگر استفاده میشن
مثال ساده از Junk Code:

push eax
pop eax
nop
xor ecx, ecx
add ecx, 0
jmp real_code
👍5👏1
388 views
ReverseEngineering
ReverseEngineering
مثال ساده از Junk Code: push eax pop eax nop xor ecx, ecx add ecx, 0 jmp real_code
تغییری در وضعیت ایجاد نمی‌کنه / push eax pop eax

nop بی اثر است
no-operation

و بعد add ecx, 0 باعث می‌شه ecx همچنان صفر بمونه

در نهایت با jmp مستقیم به کد اصلی میره
👍6👏1
386 views
ReverseEngineering
چرا این کارو می‌کنن؟

برای فریب دادن الگوریتم‌های decompiler

برای طولانی و بی‌نظم کردن گراف کنترل جریان (CFG)

برای کند کردن اسکریپت‌های تحلیل خودکار
👍8👏1
339 views
ReverseEngineering
روش‌های شناسایی و حذف Junk Code:

دستی (Manual)

توی Ghidra یا IDA دنبال دستوراتی بگردید که:
ورودی و خروجی ندارن

روی ثبات‌ها (registers) تغییری ایجاد نمی‌کنن

به مسیر اجرایی اصلی مرتبط نیستن



خودکار با اسکریپت Ghidra

می‌تونیید اسکریپت بنویسید که:

دنبال nop, push/pop جفتی و xor reg, reg بگرده

بلاک‌هایی که فقط اینا رو دارن پاک یا علامت‌گذاری کنه
👍5👏1
485 views
ReverseEngineering
ابزارهای آماده

BinDiff: برای مقایسه نسخه مبهم‌سازی‌شده با نسخه اصلی (اگه داشته باشید)

Diaphora: پلاگین مقایسه برای IDA
👍7👏1
487 views
ReverseEngineering
https://medium.com/@esrakyhn/firmware-reverse-engineering-security-at-the-hardware-layer-90a824333cb7
Medium
🔍 Firmware Reverse Engineering: Security at the Hardware Layer
In the field of cybersecurity, threats are not limited to the software layer. As we delve deeper into the hardware level, the attack…
👍6👏1
500 views
ReverseEngineering
https://medium.com/@ibnuilham/dodging-the-debugger-winantidbg0x300-picoctf-2024-writeup-0d913ad398ba
Medium
Dodging the Debugger: WinAntiDbg0x300 (picoCTF 2024 Writeup)
Hey everyone! I just wrapped up a fun little reverse engineering challenge from picoCTF 2024 called “WinAntiDbg0x300,” and thought I’d…
👍71🔥1
496 views
ReverseEngineering
مخرب ترین تکنیک‌های Obfuscation که فقط بدافزارنویسا بلدن

1 Control Flow Flattening

ساختار کد کاملاً به‌هم می‌ریزه به‌جای if/else و loop های مرسوم همه چی توی یه سوییچ و Dispatcher بزرگ قایم میشه
هدف؟ دیس‌اسمبلر رو گمراه میکنه دیباگر رو دیوونه میکنه

2 Virtualization Obfuscation

کل برنامه به یه زبان ماشین خیالی (VM-based) ترجمه میشه چیزی شبیه VMProtect
نتیجه؟ به‌جای opcodeهای x86 با دستوراتی عجیب و ناشناخته طرفی

3 Polymorphic Code

هر بار اجرا یا build کد تغییر می‌کنه ولی همون کار رو انجام میده
بدافزارها عاشقشن چون آنتی‌ویروس‌ها رو کور میکنن

4 Call Stack Tampering

فانکشن صدا زده می‌شه ولی نه از راهی که انتظار می‌ره؛ مثلا با دستکاری ESP یا EBP.
چرا مهمه؟ چون ابزارهایی مثل IDA به‌سختی می‌فهمن این یه "تابع" هست

5 API Hiding با Hash کردن نام توابع

به‌جای استفاده مستقیم از مثلا LoadLibrary یا GetProcAddress اسم APIها هش شده‌ست و در زمان اجرا resolve میشن
یعنی چی؟ یعنی ابزار تحلیل نمی‌فهمه برنامه چه APIهایی صدا میزنه
🔥71👍1👏1
541 viewsedited