#Tools #BinDiff

▪️BinDiff is now open source.

نسخه جدید BinDiff با پشتیبانی از IDA 8.3 و به صورت سورس باز به زودی ارائه خواهد شد.

🦅 کانال بایت امن | گروه بایت امن
_

#DnSpy

▪️Arbitrary code execution via a DLL hijack in DnSpy

در حال حاضر این باگ در ریپوی اصلی DnSpy نسخه های 6.1.8 تا 6.4.0 وجود داره درنتیجه از نسخه جدید dnSpyEx استفاده کنید.

🦅 کانال بایت امن | گروه بایت امن
_

#ReverseEngineering #Firmware

▪️ARM firmware reverse-engineering tutorial (bootloader) P1 - P2

U-Boot is an open-source primary bootloader used mainly in embedded devices.

مقاله مهندسی معکوس بوت لودر U-Boot در سامانه های نهفته با استفاده از Ghidra

🦅 کانال بایت امن | گروه بایت امن
_

#Article #Exploiting

▪️Exploiting vulnserver, a binary that is designed to be exploited.

در این مجموعه چند قسمتی با استفاده از پروژه آسیب پذیر vulnserver سعی شده تا مقدمه ای از نحوه پیدا کردن باگ و توسعه اکسپلویت باینری های ویندوز را با استفاده از تکنیک های مختلف یاد بگیرید.

تکنیک هایی که در این مجموعه اشاره خواهد شد :

TRUN ( jmp esp )
GMON ( SEH )
KSTET ( jmp esp + egghunter )
GTER ( jmp esp + egghunter )
HTER ( str2hex payload + jmp esp )
LTER ( jmp esp + badchars bypass )

ابزار های مورد نیاز این مجموعه دیباگر Immunity و اسکیرپت Mona هستند.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

▪️LOLDrivers HTA Generator (Living Off The Land Drivers)

Disclaimer: This is an experimental HTA generator for LOLDrivers.

It's paramount to understand that this tool and the generated HTAs are crafted purely for educational and research goals.

Any unauthorized or malevolent use is vehemently discouraged and may be deemed illicit.

An EICAR is by default in the HTA and embedded in the driver.

🦅 @SecureByte
_

#Article #Programming

▪️Writing a Debugger From Scratch by Tim Misiak

در مجموعه جدید آموزشی آقای Tim Misiak به نام "نوشتن دیباگر از ابتدا" هدف اینه که تا جای ممکن با نحوه کار دیباگر ها آشنا بشید.

در ضمن نویسنده با زبان برنامه نویسی Rust این دیباگر رو جلو میبره.

DbgRs Part 1 - Attaching to a Process
DbgRs Part 2 - Register State and Stepping
DbgRs Part 3 - Reading Memory
DbgRs Part 4 - Exports and Private Symbols
DbgRs Part 5 - Breakpoints

🦅 کانال بایت امن | گروه بایت امن
_

#Video #MalwareAnalysis

▪️Reversing in action: Golang malware used in the SolarWinds attack. Part 1 and Part 2

در این دو ویدیو به تحلیل بدافزاری که در زبان برنامه نویسی Go نوشته شده بود و در حمله به SolarWinds استفاده شد، پرداخته میشود.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

▪️Windows System Control Center

اگر تمایل دارید مجموعه کامل Sysinternlas و NirSoft به همراه چندین تولز دیگه در کنار هم داشته باشید توصیه میکنم WSCC رو نصب کنید.

این تولز به صورت خودکار با توجه به تغییرات در نرم افزار ها، بروز رسانی خواهد شد.

🦅 کانال بایت امن | گروه بایت امن
_

#MyNote

چند روز پیش به یک پروژه در گیتهاب برخوردم، کتابخانه ای برای ایجاد BSOD در Rust با استفاده از توابع Undocumented.
حالا صرف نظر از اینکه چرا نویسنده همچین کتابخانه ای نوشته بریم یکم تحلیل کنیم.

ابتدا با استفاده از تابع بومی RtlAdjustPrivilige سطح دسترسی های لازم را برای پروسس فراهم میکنه، این تابع بخش از NTDLL.DLL هست.

در مرحله دوم با استفاده از تابع بومی NtRaiseHardError اقدام به ایجاد BSOD میکنه. این تابع هم بخشی از NTDLL.DLL هست.

توضیحات بیشتر :
به پارامتر های ورودی دقت کنید.
اینکار رو میشه با تابع بومی ZwRaiseHardError هم انجام داد.
الان میدونید که یکی از دلایل رخ دادن BSOD در یوزر مد چی میتونه باشه.

🦅 کانال بایت امن | گروه بایت امن
_

#Article #ReverseEngineering

▪️R2R stomping Technique : Hides code from decompilation and debugging with dnSpy/dnSpyEx.

معرفی تکنیک R2R stomping جهت مخفی کردن کد ها و جلوگیری از دیکامپایل شدن برنامه های Net. و کد های IL در دیباگر dnSpy/dnSpyEx.

🦅 کانال بایت امن | گروه بایت امن
_

#Article #ReverseEngineering

▪️What really is the Entry Point of a .NET Module?

آیا کد های Net Main. واقعا اولین Entry Point مربوط به برنامه های Net. هست ؟ در مقاله جدید Washi به همین موضوع می پردازه و موارد زیر رو مورد بررسی قرار میده.

➖Program::Main()
➖Static Class Constructors (Program::.cctor)
➖Static Module Constructors (<Module>::.cctor)
➖External Module Constructors
➖COR20 Native Entry Point

🦅 کانال بایت امن | گروه بایت امن
_

#Tools #Exploiting

▪️A New Exploitation Technique for Visual Studio Projects

Tested version: 17.7.5 (VS2022 update at 2023.10)

این اولین بار نیست که از فایل پروژه های Visual Studio میشه بهره برداری کرد و کد های مخرب رو اجرا کرد. قبلا هم در سال 2021 گروه Lazarus APT از آسیب پذیری مشابه استفاده کرده بود و کد های مخرب رو در ساختار فایل پروژه اجرا میکرد.

این باگ نه تنها در ویژوال Visual Studio بلکه در JetBrains, VSCode و چند Text Editor وجود داره که باعث اجرای کد های مخرب در ساختار فایل پروژه میشه.

🦅 کانال بایت امن | گروه بایت امن
_

سلام به همه عزیزان، وقت همگی بخیر.

در راستای برگزاری لایو مرتبط با موضوع نقشه راه و مسیر حوزه باینری، این تاپیک دقایقی دیگر باز خواهد شد تا سوالات، درخواست ها و ابهاماتی که در این حوزه دارید را بتوانید مطرح کنید.

🔴برای دسترسی به تاپیک، ابتدا باید در گروه عضو باشید.

جهت رسیدگی بهتر به موضوعات ذکر شده توسط شما :
▪️سوالات خود را در یک پیغام ارسال کنید
▪️سوالات و در خواست هاتون با موضوع مطرح شده مرتبط باشه.

🦅 کانال بایت امن | گروه بایت امن
_