دیباگ و آنالیز داینامیک

هدف اینه برنامه رو اجرا میکنیم و توی رفتارش ببینیم چیکار میکنه کجا میره چه رجیسترایی عوض میشن کی فایل میخونه یا به شبکه وصل میشه

ابزار لازم x64dbg یا OllyDbg برای برنامه‌های قدیمی یه ماشین مجازی واسه امن بودن


برنامه رو با x64dbg باز کنید دیباگر معمولا اول کار روی Entry Point متوقف میشه


نقطه توقف بذارید جایی که فکر میکنید مهمه یا رشته دیده شده Breakpoint بذارید تا وقتی رسید اجرا وایسه


مرحله‌ای جلو برید از Step Into (معمولا F7) و Step Over (F8) استفاده کنید Step Into میره داخل تابع Step Over اونو کامل اجرا میکنه و میاد بیرون


رجیستر و حافظه ببین مقدارهای EAX, EBX, ECX, EDX و بقیه رو چک کنید تو قسمت Memory یا Dump میتونید محتوای حافظه رو ببینید


رفتار برنامه رو تحلیل کنید ببینید چه رجیسترهایی تغییر میکنن کی فایل یا شبکه فراخوانی میشه چه رشته‌هایی استفاده میشه



نکات کاربردی:

همیشه توی VM یا محیط ایزوله کار کنید

برنامه ممکنه ضد دیباگ داشته باشه در این صورت باید اون مکانیزم‌ها رو دور بزنید

با دیباگ میتونید راحت تر بفهمید برنامه واقعا چکاری انجام میده و کجاها باید دست بزنید


تمرین ساده:

یه برنامه ساده Hello World بنویسید


با x64dbg بازش کنید و روی printf یا Breakpoint MessageBoxA بذارید


اجرا کنید و ببینید چه رشته‌ای توی رجیسترها و حافظه قرار میگیره


یه مقدار توی رجیستر یا حافظه تغییر بدید و ببینید رفتار برنامه چه تغییری میکنه


Debug and Dynamic Analysis

The goal is to run the program and observe its behavior to see what it does where it goes what registers change when it reads a file or connects to the network

Required tools x64dbg or OllyDbg for old programs A virtual machine to be safe

Open the program with x64dbg The debugger usually stops at the Entry Point first

Place a breakpoint where you think it is important or the string is seen Place a breakpoint until it reaches the execution

Go one step forward Use Step Into (usually F7) and Step Over (F8) Step Into goes into the function Step Over executes it completely and comes out

Look at the registers and memory Check the values of EAX, EBX, ECX, EDX and others You can see the memory content in the Memory or Dump section

Analyze the behavior of the program to see what registers change when the file or network is called what strings are used

Useful tips:

Always work in a VM or isolated environment

The program may have anti-debug, in which case you should bypass those mechanisms

With debugging you can more easily understand what the program is really doing and where you need to touch

Simple exercise:

Write a simple Hello World program

Open it with x64dbg and set a Breakpoint on printf or MessageBoxA

Run it and see what string is placed in the registers and memory

Change a value in a register or memory and see how the program behaves

DiffRays

ابزاری پژوهش‌ محور برای مقایسه پچ‌های باینریه که به منظور کمک به تحقیقات آسیب‌پذیری توسعه اکسپلویت و مهندسی معکوس طراحی شده

A research-oriented tool for comparing binary patches designed to aid in vulnerability research, exploit development, and reverse engineering.

https://github.com/pwnfuzz/diffrays

@PfkSecurity

گزارش بررسی روند فعالیت باج افزار ها در سال 2024

Ransomware Activity Trend Report in 2024

https://medium.com/@nshcthreatrecon/trend-report-of-ransomware-activities-in-2024-dae7246cc48f

@FUZZ0x

Driver Reverse Engineering 101

https://eversinc33.com/posts/driver-reversing.html

تحلیل حمله گروه باج افزاری ELPACO

ELPACO Ransomware Team Attack Analysis

https://thedfirreport.com/2025/05/19/another-confluence-bites-the-dust-falling-to-elpaco-team-ransomware/

@FUZZ0x

نمونه کد Python: Hotspot Player شبیه‌ سازی شده

import sys
import ctypes
from PyQt5 import QtWidgets

# --- Anti-Debug ساده ---
if ctypes.windll.kernel32.IsDebuggerPresent():
    sys.exit("Debugger detected! Exiting...")

# --- الگوریتم سریال ساده ---
def check_serial(serial):
    # سریال صحیح (مثال: HSP-1234-5678)
    correct_serial = "HSP-1234-5678"
    return serial == correct_serial

# --- GUI ساده ---
class HotspotPlayer(QtWidgets.QWidget):
    def init(self):
        super().init()
        self.initUI()

    def initUI(self):
        self.setWindowTitle("Hotspot Player (Simulated)")
        self.setGeometry(100, 100, 300, 150)

        # ورودی سریال
        self.serial_input = QtWidgets.QLineEdit(self)
        self.serial_input.setPlaceholderText("Enter Serial")
        self.serial_input.setGeometry(50, 30, 200, 30)

        # دکمه ورود
        self.button = QtWidgets.QPushButton("Activate & Play", self)
        self.button.setGeometry(80, 80, 140, 30)
        self.button.clicked.connect(self.check_activation)

        # Label پیام
        self.label = QtWidgets.QLabel("", self)
        self.label.setGeometry(50, 120, 200, 20)

    def check_activation(self):
        serial = self.serial_input.text()
        if check_serial(serial):
            self.label.setText("Activation successful! Playing...")
        else:
            self.label.setText("Invalid Serial!")

# --- اجرای برنامه ---
if name == "main":
    app = QtWidgets.QApplication(sys.argv)
    player = HotspotPlayer()
    player.show()
    sys.exit(app.exec_())

مرحله بعدی

این برنامه رو میتونیم با PyInstaller به EXE ویندوزی تبدیل کنیم:


pyinstaller --onefile --windowed hotspot_player.py

بعد از ساخت EXE ما میتونیم

مسیر چک سریال رو با x64dbg پیدا کنیم

anti-debug
رو بررسی و دور بزنیم

شرط سریال رو تغییر میدیم تا EXE بدون سریال صحیح اجرا بشه



Python Code Example: Simulated Hotspot Player

import sys
import ctypes
from PyQt5 import QtWidgets

# --- Simple Anti-Debug ---
if ctypes.windll.kernel32.IsDebuggerPresent():
sys.exit("Debugger detected! Exiting...")

# --- Simple serial algorithm ---
def check_serial(serial):
# Correct serial (e.g. HSP-1234-5678)
correct_serial = "HSP-1234-5678"
return serial == correct_serial

# --- Simple GUI ---
class HotspotPlayer(QtWidgets.QWidget):
def init(self):
super().init()
self.initUI()

def initUI(self):
self.setWindowTitle("Hotspot Player (Simulated)")
self.setGeometry(100, 100, 300, 150)

# Serial input
self.serial_input =  QtWidgets.QLineEdit(self)
         self.serial_input.setPlaceholderText("Enter Serial")
         self.serial_input.setGeometry(50, 30, 200, 30)

         # Login button
         self.button = QtWidgets.QPushButton("Activate & Play", self)
         self.button.setGeometry(80, 80, 140, 30)
         self.button.clicked.connect(self.check_activation)

         # Label message
         self.label = QtWidgets.QLabel("", self)
         self.label.setGeometry(50, 120, 200, 20)

     def check_activation(self):
         serial = self.serial_input.text()
         if check_serial(serial):
             self.label.setText("Activation successful! Playing...")
         otherwise:
             self.label.setText("Invalid Serial!")

# --- Run the program ---
if name == "main":
     app =  QtWidgets.QApplication(sys.argv)
player = HotspotPlayer()
player.show()
sys.exit(app.exec_())

Next step

We can convert this program to a Windows EXE with PyInstaller:

pyinstaller --onefile --windowed hotspot_player.py

After building the EXE we can

Find the serial check path with x64dbg

Check and bypass anti-debug

Change the serial condition so that the EXE runs correctly without a serial

Bypassing Microchip Atmel SAM E70/S70/V70/V71 Security (CVE-2024-4760)
https://www.0x01team.com/hw_security/bypassing-microchip-atmel-sam-e70-s70-v70-v71-security
]-> Code

// The vulnerability is on the silicon level of the Atmel SAM E70/S70/V70/V71 family, therefore, it is almost imposable to patch it without hardware redesign

See also:
]-> Analysis of the ATMEL SAM Cortex-M7 microcontroller ROM, reverse engineering, emulation and fuzzing
]-> SAME70Emulator

How to kill AV/EDR (of different kinds) with a couple of clicks

Requirements:
- Admin rights on the machine;
- Ability to deliver procmon.
And then everything is more than straightforward.

1. Enable the "EnableBootLogging" feature;
2. Create a symbolic link:
mklink C:\Windows\Procmon.pmb "<Full path to the file that needs to be overwritten>"
3. Reboot the machine.

Magic happens.

More details:
https://www.zerosalarium.com/2025/09/Break-Protective-Shell-Windows-Defender-Folder-Redirect-Technique-Symlink.html

Wannacry Documentary

واناکرای (WannaCry) یک باج‌افزار مخرب بود که در می ۲۰۱۷ جهان را تکان داد. این بدافزار از آسیب‌پذیری EternalBlue در ویندوز (MS17-010) سوءاستفاده کرد که توسط NSA توسعه یافته و توسط Shadow Brokers فاش شده بود. واناکرای فایل‌ها را با رمزنگاری AES-128 و RSA قفل می‌کرد و برای بازگردانی داده‌ها، باج (۳۰۰ تا ۶۰۰ دلار) به صورت بیت‌کوین طلب می‌کرد. این حمله بیش از ۲۰۰,۰۰۰ سیستم در ۱۵۰ کشور را آلوده کرد و خسارت‌های میلیونی به سازمان‌ها (مثل NHS بریتانیا) وارد آورد. یک kill switch کشف‌شده توسط Marcus Hutchins گسترش آن را متوقف کرد. واناکرای به گروه لازاروس (مرتبط با کره شمالی) نسبت داده شده است.

Wannacry Documentary

WannaCry was a ransomware attack that shook the world in May 2017. The malware exploited the EternalBlue vulnerability in Windows (MS17-010), which was developed by the NSA and disclosed by the Shadow Brokers. WannaCry locked files with AES-128 and RSA encryption and demanded a ransom ($300-$600) in Bitcoin to restore the data. The attack infected over 200,000 systems in 150 countries, causing millions in damage to organizations (such as the UK's NHS). A kill switch discovered by Marcus Hutchins stopped its spread. WannaCry has been attributed to the Lazarus Group (linked to North Korea).

#Ransomware #wannacry
@GoSecurity

Reverse engineering undocumented Windows Kernel features to work with the EDR

https://fluxsec.red/reverse-engineering-windows-11-kernel

Android App Reverse Engineering

https://www.ragingrock.com/AndroidAppRE/

Intro to Syscalls & Windows internals for malware development:

https://medium.com/%40amitmoshel70/intro-to-syscalls-windows-
internals-for-malware-development-pt-1-b5bb0cd90c52

https://medium.com/@amitmoshel70/intro-to-syscalls-windows-internals-for-malware-development-pt-2-b8d88bb10eb9

پیدا کردن گجت‌ های jmp برای call stack spoofing
Finding jmp gadgets for call stack spoofing

https://github.com/rasta-mouse/GadgetHunter

@PfkSecurity