#Article

The Windows Registry Adventure #1
The Windows Registry Adventure #2
The Windows Registry Adventure #3

مجموعه مقالات ماجراجویی رجیستری ویندوز از پروژه Project Zero گوگل

🦅 کانال بایت امن | گروه بایت امن

_

#Article

A simple guide to make your own simple crypter in C++ for PE. In this tutorial shows you how you can create your own stub in Windows platform using VS which is kinda stand alone in the environment and can be attached to other PEs to manipulate the execution of PE.

مقاله ایی کاربردی در مورد نوشتن یک crypter از ابتدا و در زبان برنامه نویسی ++C. در این مقاله هم با برنامه نویسی و هم با ساختار فایل های PE و ایجاد تغییرات در آن آشنا خواهید شد.

🦅 کانال بایت امن | گروه بایت امن

_

#FreeCourse

This course appears to be updated, and if needed, you can use a 100% discount on the course by signing up on the Udemy site.

https://www.udemy.com/course/reversing-software-protection/?couponCode=JULY2_FREE

🦅 کانال بایت امن | گروه بایت امن
_

#Tools #Debugger

Main repo of SyserDebugger Author "Yanfeng Wu".

سورس دیباگر Syser که قدمتی همچون SoftIce دارد، توسط نویسنده آن در ریپوی اصلی نویسنده قرار گرفته.

کیفیت ویدیو خیلی خوب نیست ولی برای اجرا در گوشی کفایت میکنه.

🦅 کانال بایت امن | گروه بایت امن
_

#DWORD #CPL1

📣 ثبت نام دوره دوم آموزش زبان برنامه نویسی C | سطح مقدماتی و متوسط
◀️با محوریت مهندسی معکوس و برنامه نویسی امن

✈️مشخصات دوره :
⬅️سطح دوره : مقدماتی و متوسط
⬅️تعداد ساعت دوره : 25 ساعت
⬅️نحوه برگزاری : آفلاین ( ویدیو های رکورد شده + پلیر اختصاصی )
⬅️زبان دوره : فارسی و انگلیسی
⬅️تعداد سر فصل : 25
⬅️ارزیابی و مدرک پایان دوره : دارد
⬅️گروه پشتیبانی : دارد

✈️نکات کلیدی دوره :
⬅️آموزش پیشنیاز های لازم و مفاهیم برنامه نویسی
⬅️شامل استاندارد های ANSI C تا C17
⬅️کد نویسی در محیط های برنامه نویسی Visual Studio و Visual Studio Code
⬅️کد نویسی در سیستم عامل های ویندوز و لینوکس
⬅️ساخت برنامه های Cross-Platform
⬅️کار با ابزار های CMake و Automake
⬅️آموزش به صورت پروژه محور و بررسی خلاصه محتوای هر بخش در پایان آن
⬅️حل سوالات مربوط به مصاحبه های کاری و  مرور کردن مطالب در انتهای دوره
⬅️جلسات آنلاین رفع اشکال و پرسش و پاسخ
⬅️مناسب برای تمامی گرایش های نیازمند به زبان برنامه نویسی C

◀️در این دوره فرض بر این گرفته شده که زبان C به عنوان اولین زبانی است که قصد یادگیری آن را دارید. به همین دلیل، تمامی پیش‌نیازها به طور کامل توضیح داده شده‌اند و تمامی بخش‌ها به ریز و با نکات کاربردی بیان شده‌اند.

در هر مرحله از دوره، مفاهیم با جزئیات توضیح داده شده و با مثال‌های عملی و تمرین‌های متنوع پشتیبانی می‌شوند تا یادگیری به بهترین شکل ممکن انجام شود. هدف این است که شما بتوانید با اعتماد به نفس و درک عمیق، برنامه‌نویسی به زبان C را آغاز کنید.

🎁 طبق روال همیشگی، دانشجویان سایر دوره های آکادمی DWORD از تخفیف برخوردار خواهند بود.

🎁 در صورت تمایل به شرکت در دوره و پرداخت شهریه به صورت اقساط با مدرس دوره در ارتباط باشید.


✈️ مشاهده اطلاعات کامل دوره، سرفصل و ثبت نام
🎤 ارتباط با مدرس دوره
▶️ پلی لیست ویدیو های دمو دوره

🦅 کانال بایت امن | گروه بایت امن
_

#چالش

جواب درست همان گزینه ای است که کمتر رای گرفته یعنی INT حالا بریم سراغ توضیحات.

بین گزینه 2 و 4 باید انتخاب می کردید که هر دو گزینه درست هستند اما حالت VOID در همه کامپایلر ها یکسان نیست و رفتار متفاوتی خواهد داشت.

نکته سئوال : در بعضی از کامپایلر ها مقدار VOID نیز به صورت Implicit Function Declaration خواهد بود اما در واقع INT در نظر گرفته می شود و در بعضی کامپایلر ها با خطا روبرو خواهید شد و باید حتما Prototype فانکشن را تعریف کنید.

در کد زیر :
مفهوم Implicit Function Declaration زمانی به وجود می آید که شما Prototype فانکشن با مقدار بازگشتی INT را برای کامپایلر مشخص نکرده باشید. در این حالت کامپایلر خطایی ندارد اما به شما هشدار خواهد داد.

تفاوت کد زیر را می توانید در Visual Studio Code و Microsoft Visual Studio بررسی کنید. اگر مقدار بازگشتی SampleFunction را VOID در نظر بگیرید در Microsoft Visual Studio با خطا روبرو خواهید شد.

#include <stdio.h>

int main()
{
    sampleFunction();
    return  0;
}

int sampleFunction()
{
    printf("Hello from sampleFunction\n");
    return 0;
}

🦅 کانال بایت امن | گروه بایت امن
_

#Article

Perfect DLL Hijacking

مقاله‌ای تقریبا کامل درباره تکنیک DLL Hijacking جهت تزریق کد به پروسس‌ها از طریق جایگزینی DLL مهاجم به جای DLL اصلی

🦅 کانال بایت امن | گروه بایت امن
_

#Article #Exploiting

[Shellcode x64] Find and execute WinAPI functions with Assembly

What you will learn:

-WinAPI function manual location with Assembly
-PEB Structure and PEB_LDR_DATA
-PE File Structure
-Relative Virtual Address calculation
-Export Address Table (EAT)
-Windows x64 calling-convention in practice
-Writing in Assembly like a real Giga-Chad...

در این مقاله، نویسنده به صورت دستی به دنبال پیدا کردن آدرس تابع WinExec در فایل kernel32.dll خواهد بود تا بتواند برنامه calc.exe (ماشین حساب داخلی ویندوز) را اجرا کند تا مفهوم درست Position Independent در شل کد را به درستی انتقال دهد.

مواردی که پوشش داده شده است :

-مکان‌یابی دستی توابع WinAPI با اسمبلی
-ساختار PEB و PEB_LDR_DATA
-ساختار فایل PE
-محاسبه Relative Virtual Address
-جدول آدرس خروجی (Export Address Table یا EAT)
-قرارداد فراخوانی ویندوز x64 در عمل
-نوشتن کد در اسمبلی

همچنین سورس پروژه از این لینک قابل دسترس است.

🦅 کانال بایت امن | گروه بایت امن
_

#چالش

جواب صحیح : گزینه سوم

در زبان برنامه نویسی C، عبارت === یا strict equality وجود ندارد. بنابراین گزینه های 2 و 4 حذف خواهند شد. اما در مورد == یا loose equality بین گزینه های 1 و 3، گزینه 3 صحیح است.

مفهوم Yoda Condition (شرط یودا) در برنامه‌نویسی به نوعی از نگارش شرط‌ها اشاره دارد که در آن ثابت‌ها و مقادیر ثابت به جای قرار گرفتن در سمت راست عبارت شرطی، در سمت چپ قرار می‌گیرند.

این شیوه نگارش از شخصیت یودا در مجموعه فیلم‌های "جنگ ستارگان" (Star Wars) الهام گرفته شده است که سبک خاصی در صحبت کردن دارد.

if ((file = fopen("example.txt", "w")) == NULL) 
{
    perror("Error opening file");
    return 1;
}

if (NULL == (file = fopen("example.txt", "w")))
{
    perror("Error opening file");
    return 1;
}

در مثال دوم که یک Yoda Condition است در شرط if مقدار ثابت NULL در سمت چپ قرار گرفته است.

🦅 کانال بایت امن | گروه بایت امن
_

_
دوستان عزیزی که سؤال می‌کنند درباره ویدیوهای ورکشاپ توسعه بدافزار Pavel Yosifovich، می‌توانید این ویدیوها را در 3 قسمت از کانال زیر دانلود کنید.

https://www.youtube.com/@cybersecurityvirtualmeetups/videos

🦅 کانال بایت امن | گروه بایت امن
_

#Article

The ART of obfuscation. Study of an Android runtime (ART) hijacking mechanism for bytecode injection through a step-by-step analysis of the packer used to protect the DJI Pilot Android application.

مطالعه‌ای در مورد مکانیسم ربودن زمان اجرای اندروید (ART) برای تزریق بایت‌کد از طریق یک تحلیل گام‌به‌گام از پکر ها که برای محافظت از برنامه اندروید DJI Pilot استفاده شده است.

لینک برنامه DJI Pilot

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

Tuluka kernel inspector : is a new powerful AntiRootkit

برنامه Tuluka جهت شناسایی روتکیت ها با قابلیت هایی همچون
-شناسایی پروس ها، درایور های مخفی شده
-شناسایی هوک های IRP
-شناسایی SSDT هوک و بازگردانی آنها
-شناسایی هوک های IDT
و سایر قابلیت ها

🦅 کانال بایت امن | گروه بایت امن
_

#Article

Implementing SMM PS/2 Keyboard sniffer

پیاده سازی یک Sniffer در مد SMM با استفاده از کیبورد PS/2

در این مقاله با مقدمه ای کوتاه در مورد SMM و SMI آشنا خواهید شد و سپس به پیاده سازی یک اسنیفر خواهد پرداخت.

🦅 کانال بایت امن | گروه بایت امن
_