For building and debugging regex (Regular Expression)

For Building Visit :
https://pythex.org/

For regex cheat sheet visit :
https://www.debuggex.com/cheatsheet/regex/python

https://youtu.be/LMNGT68iibE



How to make radare2 noscripts and how to use rasm2 (assembler/disassembler) and more

وقتی یه برنامه رو بدون Optimization کامپایل کنید همه‌چیز مرتب و واضح میاد بالا:

توابع جدا هستن شرط‌ها همون‌طور که نوشتید دیده میشن

ولی وقتی کامپایلر رو با O2- یا O3- اجرا کنید همه‌چیز به هم می‌ریزه:

بعضی توابع کلاً ناپدید می‌شن Inlining

شرط‌ها ساده میشن یا حتی حذف میشن

متغیرها میرن روی رجیستر و دیگه ردپای Stack کمتر میبینن





Inlining

تابع کوچیک رو کامپایلر میتونه مستقیم بیاره وسط کد
📖 مثال سورس:

inline int square(int x) {
return x * x;
}

int main() {
int a = square(5);
}

📖 دیس‌اسمبلی (تقریبی):

mov eax, 5
imul eax, eax ; به جای call تابع

اینجا دیگه خبری از call square نیست




Constant Folding

وقتی آرگومان ثابت باشه کامپایلر جواب رو از قبل حساب میکنه

📖 مثال سورس:

int a = 5 * 4;

📖 اسمبلی:

mov eax, 20 ; به جای ضرب

Loop Unrolling

برای سرعت بیشتر حلقه‌ها باز میشن
📖 سورس:

for (i=0; i<4; i++) arr[i] = 0;

📖 اسمبلی (ممکنه بشه):

mov [arr], 0
mov [arr+4], 0
mov [arr+8], 0
mov [arr+12], 0

Register Allocation

متغیرها به جای حافظه مستقیم روی رجیستر میرن. یعنی دیگه [ebp-4] یا [esp+8] نمی‌بینید فقط eax, ecx, edx




اثر روی RE:

وقتی یه تابع ناپدید میشه ممکنه فکر کنید سورسش وجود نداره در واقع inline شده

شرطی که تو سورس نوشتید ممکنه توی اسمبلی نباشه چون Compiler مطمئن بوده نتیجه همیشه مثبته

این تغییرات باعث میشه تحلیل سخت‌تر شه چون کد با چیزی که انتظار دارید فرق داره





🔹 تمرین پیشنهادی:

یه برنامه ساده با چند تابع و یه حلقه بنویسید

همون برنامه رو با -O0 بدون optimization و O2- کامپایل کنید

توی IDA/Ghidra هر دو رو مقایسه کنید و ببینید چه بخش‌هایی حذف یا تغییر داده شدن




Compiler Optimizations and Their Impact on Reverse Engineering

When you compile with no optimization (-O0) everything looks clean:

Functions stay separate

Conditions appear exactly as written

Variables live on the stack ([ebp-4], [esp+8])


But with -O2 or -O3 enabled, the compiler rewrites reality:

Some functions disappear completely inlining

Conditions are simplified or removed

Variables move into registers
no stack traces

Loops get transformed beyond recognition





Function Inlining

Small functions may be expanded directly into the caller

C Source:

inline int square(int x) {
return x * x;
}

int main() {
int a = square(5);
}

Disassembly (approx):

mov eax, 5
imul eax, eax ; inlined, no

call square

➡️ The function square() completely disappears!




Constant Folding

Constant expressions are precomputed

C Source:

int a = 5 * 4

;

Assembly:

mov eax, 20 ; compiler did the ma

th




Loop Unrolling

Loops may be expanded for speed.

C Source

:

for (int i=0; i<4; i++) arr[i] =

0;

Assemb

ly:

mov [arr], 0
mov [arr+4], 0
mov [arr+8], 0
mov [arr+1

2], 0

-

Register Allocation

Instead of stack-based variables, registers are used

At -O0 → you see [ebp-4], [esp+8]

At -O2 → just eax, ecx, edx


This removes the "breadcrumbs" that RE analysts love




Reverse Engineering Impact:

Missing functions → inlined, not gone

Missing conditions → compiler proved the result always true/false

Loop transformations → code looks nothing like source

Registers instead of stack → harder to track variables


Optimizations don’t just speed up execution — they also obfuscate code naturally, which makes RE a lot tougher




🔹 Practical Exercise

Write a small C program with multiple functions and a loop.


Compile twice:

gcc -O0 prog.c -o prog_O0

gcc -O2 prog.c -o prog_O2



Open both in IDA/Ghidra


Compare:

What functions got inlined?

Did loops unroll?

Where did conditions vanish?

تا حالا باینری باز کردی که هیچی توش نبوده باشه جز یه مشت بایت الکی؟ بعد وقتی اجراش کردی وسط RAM یهو کد اصلی ظاهر بشه؟ این همون Self-Modifying Code هست


2 توضیح ساده:

بعضی بدافزارها خودشون رو رمزگذاری میکنن

وقتی اجرا میشن یه Loader کوچیک بخش اصلی رو تو حافظه Decrypt میکنه

نتیجه → فایل روی دیسک چیزی نشون نمیده ولی وسط RAM همه‌ چی اتفاق میوفته



3 نمونه عملی (ساده):

start:
lea esi, [encrypted_data]
lea edi, [decrypted_data]
mov ecx, size
decrypt_loop:
xor byte [esi], 0xAA
movsb
loop decrypt_loop
jmp decrypted_data


👉 اینجا Payload اصلی فقط بعد از XOR توی RAM زنده میشه


4 بخش جذاب:

مهندس معکوس باید وسط اجرا با Memory Dump یا Breakpoint هوشمند اون لحظه‌ای که کد اصلی ظاهر میشه رو شکار کنه

ابزارهایی مثل Scylla یا x64dbg Dump اینجا هستن


👀 به طور خلاصه: برای همینه که بدافزار نویسا عاشقشن ولی مهندسان معکوس ازش متنفرن



🌀 Self-Modifying Code (SMC)

Ever opened a binary and found nothing but junk bytes or meaningless data?
But once you run it… suddenly the real code magically appears in RAM?
That’s self-modifying code




1️⃣ What’s going on?

Malware (or a protector/packer) encrypts its main code

On disk → the file looks useless

At runtime → a tiny loader decrypts the hidden payload directly into memory

Result → nothing suspicious in the file, everything happens inside RAM





2️⃣ Simple example (Assembly)

start:
lea esi, [encrypted_data]
lea edi, [decrypted_data]
mov ecx, size
decrypt_loop:
xor byte [esi], 0xAA
movsb
loop decrypt_loop
jmp decrypted_data

👉 Here, the payload only exists after XOR — in memory, never on disk




3️⃣ Why it’s painful for reverse engineers

Static analysis tools (IDA, Ghidra) only see junk

The real logic only appears after runtime decryption

The analyst has to catch the moment the code is unpacked





4️⃣ How REs fight back

Use breakpoints at decryption loops

Pause execution right after unpacking finishes

Dump the real memory image with tools like:

🔹 x64dbg (Dump Memory feature)

🔹 Scylla / ScyllaHide

🔹 OllyDump / Process Hacker






💡 In short:
Self-modifying code = nothing on disk, everything in RAM
That’s why it’s loved by malware authors and hated by reverse engineers

#BlueTeam
#RedTeam
#ReverseEngineering
#Self_Modifying_Code

💣 "Bypassing EDR Hooks with Reverse Engineering"

📌 چرا این بمبه؟
چون EDRها (مثل CrowdStrike SentinelOne ) برای شناسایی فعالیت مشکوک روی APIهای حساس (مثل CreateRemoteProcess, NtWriteVirtualMemory, NtOpenProcess) Inline Hook میزنن
این یعنی وقتی تو بدافزارت از این APIها استفاده کنی اول میری تو کد EDR → بعد تازه سیستم‌کال اصلی




🔎 ساختار :
فکر میکنی وقتی OpenProcess صدا میزنی واقعا داری مستقیماً با Windows حرف میزنی؟ نه!
اول میری تو تور EDR و اونجاست که همه چی لو میره


2 توضیح ساده:

EDR با Inline Hook
اولین چند بایت تابع رو با یه jmp به خودش عوض میکنه


مثال (شکل ساده) :

; اصل تابع NtOpenProcess

mov eax, 23h
mov edx, offset args
syscall
ret

بعد از Hook شدن 👇

jmp EDR_Handler
بقیه کد بازنویسی شده



3 ترفند :

مهندس معکوس با بررسی DLL (مثلا ntdll.dll) متوجه Hook میشه

راه بایپس: مستقیما با syscall کار کنه یا ntdll clean copy لود کنه



4 نمونه کد (C + Inline ASM) :

__asm {
mov eax, 0x23 ; NtOpenProcess syscall number
mov edx, args
syscall
}

👉 اینجا دیگه EDR هیچی نمی‌فهمه چون Hook فقط رو API سطح بالا بوده


💣 "Bypassing EDR Hooks with Reverse Engineering"


🚨 Why EDR Hooking is a Problem

EDRs (CrowdStrike, SentinelOne, Defender ATP, etc...) need visibility into sensitive APIs :

CreateRemoteThread

NtWriteVirtualMemory

NtOpenProcess

NtCreateSection


They inline-hook these APIs :

The first few bytes of the function (in ntdll.dll) are overwritten with a jmp into the EDR’s handler

This means: whenever your malware (or tool) calls OpenProcess, you first land inside EDR code, not Windows


So you think you’re talking to Windows → actually you’re talking to CrowdStrike first




🔎 Structure :

Disassembling hooked functions reveals this:

Before hook clean ntdll :

mov eax, 23h ; syscall number NtOpenProcess
mov edx, offset args
syscall
ret

After hook (with EDR) :

jmp EDR_Handler ; patched jump by EDR
; original bytes are gone

⚡ Why bypassing hooks works

Inline hooks live in user-mode DLLs (ntdll.dll, kernel32.dll)
But the actual system call still exists in the kernel

If you:

1 Call the syscall directly syscall instruction


2 Or load a clean, unhooked ntdll.dll (from disk or from a suspended process)



→ You skip the EDR trampoline and go straight to the kernel



🧑‍💻 Minimal Example (C + Inline ASM)

__asm {
mov eax, 0x23 ; NtOpenProcess syscall number
mov edx, args ; pointer to arguments struct
syscall ; direct transition to kernel
}

👉 EDR hook is bypassed, because it only patched ntdll!NtOpenProcess, not the raw syscall




🎯 Why this is a bomb

It exposes a fundamental design weakness in user-mode monitoring

Reverse engineers can detect hooks by scanning DLLs (memcmp with clean disk copy)

Attackers can patch back the original bytes or just issue syscalls directly

EDR vendors try to move detection deeper kernel callbacks ETW hypervisor tricks but inline hooks are still everywhere

پچ کردن و بایپس نرم‌افزار

یک برنامه ساده با چک سریال یا محدودیت زمانی وجود داره هدف دور زدن چک بدون دسترسی به کد اصلیه

ابزارها:

IDA یا Ghidra
برای بررسی باینری و پیدا کردن فانکشن‌ ها

x64dbg برای اجرای برنامه و مشاهده مسیر اجرای کد

Hex Editor برای اعمال تغییرات مستقیم در باینری


روش کار:

1 شناسایی فانکشن چک و بررسی مسیر اجراش


2 اجرای برنامه در x64dbg و دنبال کردن مسیر اجرای چک


3 تغییر یک دستور شرطی یا مقدار ثابت برای bypass کردن چک


4 تست برنامه بعد از تغییر برای اطمینان از عملکرد صحیح



تمرین عملی:

دانلود یک CrackMe ساده با check serial

شناسایی فانکشن چک در IDA یا Ghidra


trace
کردن مسیر اجرای چک در x64dbg


اعمال patch با Hex Editor مثلا تغییر je→ jmp

اجرای برنامه و بررسی bypass شدن چک


نکات مهم:

همیشه قبل از تغییر از برنامه backup داشته باشید

کمترین تغییر ممکن اعمال بشه تا برنامه سالم بمونه

مسیر اجرای کد به دقت بررسی بشه تا bypass صحیح انجام بشه



Software Patching & Bypass

A simple program with a serial check or time restriction can be bypassed without access to the original source code



Tools:

IDA / Ghidra – to analyze the binary and locate functions

x64dbg – to run the program and trace execution

Hex Editor - to make direct changes in the binary





Method :

1 Identify the check function and examine its execution path


2 Run the program in x64dbg and trace the serial/time check logic


3 Modify a conditional instruction or constant to bypass the check


4 Test the modified program to ensure it still works correctly






Practical Exercise :

1 Download a simple CrackMe with a serial check


2 Locate the check function in IDA or Ghidra


3 Trace the execution path of the check in x64dbg


4 Apply a patch in a Hex Editor change je jmp


5 Run the program to verify the check is bypassed


Key Notes :

Always backup the original binary before patching

Make minimal changes to preserve program stability

Carefully analyze the execution path to ensure the bypass works correctly

LockBit attack analysis using cobalt strike and socks

Akira Ransomware Attack Analysis with SEO Poisoning and Trapping Victims with a Search 🤝