#Article #Exploiting

[Shellcode x64] Find and execute WinAPI functions with Assembly

What you will learn:

-WinAPI function manual location with Assembly
-PEB Structure and PEB_LDR_DATA
-PE File Structure
-Relative Virtual Address calculation
-Export Address Table (EAT)
-Windows x64 calling-convention in practice
-Writing in Assembly like a real Giga-Chad...

در این مقاله، نویسنده به صورت دستی به دنبال پیدا کردن آدرس تابع WinExec در فایل kernel32.dll خواهد بود تا بتواند برنامه calc.exe (ماشین حساب داخلی ویندوز) را اجرا کند تا مفهوم درست Position Independent در شل کد را به درستی انتقال دهد.

مواردی که پوشش داده شده است :

-مکان‌یابی دستی توابع WinAPI با اسمبلی
-ساختار PEB و PEB_LDR_DATA
-ساختار فایل PE
-محاسبه Relative Virtual Address
-جدول آدرس خروجی (Export Address Table یا EAT)
-قرارداد فراخوانی ویندوز x64 در عمل
-نوشتن کد در اسمبلی

همچنین سورس پروژه از این لینک قابل دسترس است.

🦅 کانال بایت امن | گروه بایت امن
_

#چالش

جواب صحیح : گزینه سوم

در زبان برنامه نویسی C، عبارت === یا strict equality وجود ندارد. بنابراین گزینه های 2 و 4 حذف خواهند شد. اما در مورد == یا loose equality بین گزینه های 1 و 3، گزینه 3 صحیح است.

مفهوم Yoda Condition (شرط یودا) در برنامه‌نویسی به نوعی از نگارش شرط‌ها اشاره دارد که در آن ثابت‌ها و مقادیر ثابت به جای قرار گرفتن در سمت راست عبارت شرطی، در سمت چپ قرار می‌گیرند.

این شیوه نگارش از شخصیت یودا در مجموعه فیلم‌های "جنگ ستارگان" (Star Wars) الهام گرفته شده است که سبک خاصی در صحبت کردن دارد.

if ((file = fopen("example.txt", "w")) == NULL) 
{
    perror("Error opening file");
    return 1;
}

if (NULL == (file = fopen("example.txt", "w")))
{
    perror("Error opening file");
    return 1;
}

در مثال دوم که یک Yoda Condition است در شرط if مقدار ثابت NULL در سمت چپ قرار گرفته است.

🦅 کانال بایت امن | گروه بایت امن
_

_
دوستان عزیزی که سؤال می‌کنند درباره ویدیوهای ورکشاپ توسعه بدافزار Pavel Yosifovich، می‌توانید این ویدیوها را در 3 قسمت از کانال زیر دانلود کنید.

https://www.youtube.com/@cybersecurityvirtualmeetups/videos

🦅 کانال بایت امن | گروه بایت امن
_

#Article

The ART of obfuscation. Study of an Android runtime (ART) hijacking mechanism for bytecode injection through a step-by-step analysis of the packer used to protect the DJI Pilot Android application.

مطالعه‌ای در مورد مکانیسم ربودن زمان اجرای اندروید (ART) برای تزریق بایت‌کد از طریق یک تحلیل گام‌به‌گام از پکر ها که برای محافظت از برنامه اندروید DJI Pilot استفاده شده است.

لینک برنامه DJI Pilot

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

Tuluka kernel inspector : is a new powerful AntiRootkit

برنامه Tuluka جهت شناسایی روتکیت ها با قابلیت هایی همچون
-شناسایی پروس ها، درایور های مخفی شده
-شناسایی هوک های IRP
-شناسایی SSDT هوک و بازگردانی آنها
-شناسایی هوک های IDT
و سایر قابلیت ها

🦅 کانال بایت امن | گروه بایت امن
_

#Article

Implementing SMM PS/2 Keyboard sniffer

پیاده سازی یک Sniffer در مد SMM با استفاده از کیبورد PS/2

در این مقاله با مقدمه ای کوتاه در مورد SMM و SMI آشنا خواهید شد و سپس به پیاده سازی یک اسنیفر خواهد پرداخت.

🦅 کانال بایت امن | گروه بایت امن
_

#CTF

چالش های مرتبط با وب سایت hex-rays سال های 2023 و 2024

➡️Madame de Maintenon’s Enigmatic Bouillotte Game

➡️IDA’s Maze Chase

➡️Unmasking the Traitors

این چالش ها را می توانید با نسخه رایگان IDA انجام بدین و نیازی به نسخه های دیگر نیست.

فایل های چالش ضمیمه شده اند.

🦅 کانال بایت امن | گروه بایت امن
_

#Tools

IDA PRO auto-renaming plugin with tagging support

پلاگین auto_re برای دیس اسمبلر IDA با قابلیت های :

⬅️تغییر نام خودکار توابع با نام ساختگی
⬅️تخصیص TAGSو دسته بندی فانکشن ها بر اساس API ها استفاده شده به طور مثال دسته بندی مربوط به Internet یا Crypto یا Injection

🦅 کانال بایت امن | گروه بایت امن
_

#Course

🖥دوره برنامه نویسی تهاجمی مختص به تیم های قرمز

دوره برنامه‌نویسی تهاجمی یک دوره تخصصی و پیشرفته است که به برنامه‌نویسان و علاقه‌مندان به امنیت سایبری آموزش می‌دهد چگونه با استفاده از برنامه‌نویسی، سیستم‌های کامپیوتری را تست کرده و آسیب‌پذیری‌های آن‌ها را شناسایی کنند. در این دوره، شما با تکنیک‌های شناسایی نقاط ضعف سیستم‌ها آشنا خواهید شد و یاد می‌گیرید چگونه مکانیزم‌های امنیتی مانند آنتی‌ویروس‌ها و فایروال‌ها را دور بزنید.

پروژه نهایی دوره : پیاده سازی
در این دوره، ابتدا با اصول و ساختارهای پایه‌ای سرور C2 و نحوه عملکرد آن آشنا خواهید شد. سپس به طراحی و برنامه‌ریزی معماری سرور C2 پرداخته و پروتکل‌ها و ساختارهای ارتباطی مناسب را انتخاب خواهید کرد. بعد از آن، نرم‌افزارهای مورد نیاز برای پیاده‌سازی سرور C2 و ارتباط آن با سیستم‌های آلوده را خواهید ساخت. در ادامه، سرور C2 را تحت شرایط مختلف شبیه‌سازی و تست خواهید کرد تا عملکرد آن را ارزیابی و بهبود دهید. در نهایت، تکنیک‌های امنیتی را برای محافظت از سرور C2 و جلوگیری از شناسایی آن توسط ابزارهای امنیتی پیاده‌سازی خواهید کرد.

💠مشخصات دوره:

📃لینک سرفصل های دوره

⬅️شروع دوره: ۱۵ مهر ماه
⬅️سطح دوره: متوسط/پیشرفته
⬅️مدت زمان دوره: ۵۰ ساعت
⬅️نحوه برگزاری: آفلاین و آنلاین

🖥شهریه دوره ۱۵,۰۰۰,۰۰۰ تومان است که با ۲۰٪ تخفیف به ۱۰ نفر اول ارائه می‌شود.
📑همچنین، امکان پرداخت به صورت اقساط نیز فراهم است.

🖥نحوه شرکت در دوره :
به دلیل ظرفیت محدود کلاس، اولویت ثبت‌نام با دانشجویانی است که آزمون تعیین سطح را گذرانده باشند. چنانچه پیش‌نیازهای لازم برای شرکت در دوره را ندارید، همچنان می‌توانید در دوره شرکت کنید، اما ابتدا باید این پیش‌نیازها را بگذرانید. جهت دریافت اطلاعات بیشتر به آیدی @YMahmoudnia پیغام بدین.

🦅 کانال بایت امن | گروه بایت امن
_

🖥ویدیو معرفی دوره برنامه نویسی تهاجمی مختص به تیم های قرمز

📊بررسی کامل دوره، سرفصل ها و موضوعاتی که در هر فصل بیان خواهند شد.

⏰آخرین بروزرسانی سرفصل ها : 18 September 2024

🖥شهریه دوره ۱۵,۰۰۰,۰۰۰
📑همچنین، امکان پرداخت به صورت اقساط نیز فراهم است.

🖥نحوه شرکت در دوره :
به دلیل ظرفیت محدود کلاس، اولویت ثبت‌نام با دانشجویانی است که آزمون تعیین سطح را گذرانده باشند. چنانچه پیش‌نیازهای لازم برای شرکت در دوره را ندارید، همچنان می‌توانید در دوره شرکت کنید، اما ابتدا باید این پیش‌نیازها را بگذرانید. جهت دریافت اطلاعات بیشتر به آیدی @YMahmoudnia پیغام بدین.

🦅 کانال بایت امن | گروه بایت امن
_

#MalwareAnalysis

Agent Tesla is a popular info stealer coded in C# that consistently makes lists as one of the most prevalent malware strains. (Update Post)

آنالیز بدافزار Stealer (Tesla)
بدافزار محبوب Tesla، که به زبان برنامه‌نویسی #C نوشته شده، اخیراً با هدف قرار دادن کاربران در ایالات متحده آمریکا و استرالیا مجدداً مشاهده شده است. این مقالات به‌روزرسانی شده و پیرامون آنپک کردن این بدافزار می‌باشد.

https://ryan-weil.github.io/posts/AGENT-TESLA-1/
https://ryan-weil.github.io/posts/AGENT-TESLA-2/
https://research.checkpoint.com/2024/agent-tesla-targeting-united-states-and-australia/

🦅 کانال بایت امن | گروه بایت امن
_

#Article

Design a real-time data processing By Ramin Farajpour

در این مقاله شما با طراحی سیستم بلادرنگ [ real-time data processing] اشنا می شوید.این سیستم به منظور اقدامات ضروری برای سناریو های تصمیم گیری مانند کشف تقلب، معاملات سهام، سیستم‌های نظارت یا ضد ویروس‌ها، حیاتی است.

1- Apache Kafka (Data Ingestion)
2- Apache Flink (Stream Processing)
3- Apache Druid (Analytics and Querying)
4- CEPFlink ( Complex Event Processing)
5- Kubernetes (Scalability)
6- Data Storage (Apache Cassandra or Amazon Kinesis)

🦅 کانال بایت امن | گروه بایت امن
_

#Tutorial #Fuzzing

The Art of Fuzzing: A Deep Dive into Software Security

Chapter 1 – Fuzzing Introduction
Chapter 2 – Static & Dynamic Fuzzing
Chapter 3 – Symbolic & Concolic Execution
Chapter 4 – Python Fuzzing
Chapter 5 – Go Fuzzing
Chapter 6 – Rust Fuzzing
Chapter 7 – Java Fuzzing
Chapter 8 – Web Fuzzing

تا دور نشدیم، مجموعه آموزشی جدید دوست خوبم رامین فرج پور رو هم معرفی کنم به نام The Art of Fuzzing که در رابطه با Fuzzing و پیاده سازی فازر در زبان های برنامه نویسی مختلف تهیه شده.

قرار هست اسپویل نکنم ولی در آینده از این مدل آموزش ها توسط رامین فرج پور بیشتر خواهید دید. 😉😅

🦅 کانال بایت امن | گروه بایت امن
_

#Note #CPL1

یکی از دانشجویان دوره C یک سوال جالب پرسید که قبلا درباره آن توضیح داده بودم، اما اینجا توضیح کامل‌تری را ارائه می‌کنم.

تصویر (سوال) در پست بعدی ارسال خواهد شد.

در برنامه‌های C (اینجا از C مثال می‌زنم چون سوال مربوط به این دوره است) نقطه ورود اصلی به‌ طور پیش‌ فرض تابع main است. البته این تابع می‌تواند به صورت wmain یا tmain هم باشد که برای برنامه‌هایی با پشتیبانی از یونیکد یا ورودی‌ های خاص استفاده می‌شوند.

اما اگر بخواهیم تابع main را کنار بگذاریم و یک تابع دیگر را به عنوان نقطه ورود (Entry Point) برنامه تعریف کنیم، چندین حالت وجود دارد.

قبل از اینکه ادامه بدم، پیشنهاد می‌کنم این ویدیو را ببینید تا با موضوع بیشتر آشنا شوید. بعد از آن، ادامه بحث را با هم جلو می‌بریم.

همان‌ طور که در تصویر هم می‌بینید، از فلگ -nostartfiles استفاده شده است. یکی از کاربردهای این فلگ این است که لینکر نقطه شروع پیش‌فرض (یعنی main) را نادیده بگیرد و به ما اجازه دهد که خودمان نقطه شروع را تعریف کنیم.

تابع _start در این حالت جایگزین main می‌شود. اگر بخواهید دقیق‌ تر بدانید که چه اتفاقی پشت صحنه تابع main رخ می‌دهد پیشنهاد می‌کنم مقاله‌ پشت صحنه اجرای تابع main در C را مطالعه کنید.

کلمه extern هم مشخص است که برای تعریف (دسترسی) یک تابع خارجی استفاده شده و در نهایت تابع _exit اجرا خواهد شد. اگر علاقه دارید، می‌ توانید تحقیق کنید که این تابع چه تفاوتی با exit دارد. ورودی تابع _exit از نوع int است.

در نهایت، کلمه register (storage class specifier) به این منظور استفاده می‌شود که متغیر در رجیسترهای پردازنده ذخیره شود نه در RAM، که این می‌تواند سرعت دسترسی به متغیر را افزایش دهد.

🦅 کانال بایت امن | گروه بایت امن
_

#Article #ReverseEngineering #Hardware

Reverse Engineering and Dismantling Kekz Headphones

مقاله ی مهندسی معکوس هدفون Kekz از نوع On-Ear و در نهایت دسترسی به فایل های رمزشده و بررسی داده های رمز ارز.

🦅 کانال بایت امن | گروه بایت امن
_