🟣 پیاده سازی APC Injection در C

تکنیک APC Injection یکی دیگر از روش های تزریق و اجرای کد در پروسه های دیگر است . در این پست به بررسی اینکه APC در ویندوز چیست و چگونه بدافزار ها از آن برای تزریق کد استفاده میکنند میپردازیم

https://mrpythonblog.ir/apc-injection


#MalwareDevelopment

🆔 : @mrpythonblog

🟢 بررسی پروتکل Diffie Hellman و ریاضیات آن

یکی از مشکلاتی که الگوریتم های رمزنگاری متقارن دارن ، بحث تبادل کلیدشونه . این مشکل وقتی خیلی به چشم میاد که دو طرف ارتباط خیلی از هم دور باشن و مجبور باشن از طریق اینترنت یا ... سر یه کلید توافق کنن . مشکل اینجاست که ممکنه کسی اون وسط بتونه کلیدشون رو شنود کنه . دیفی هلمن اومده که این مشکلو حل کنه . یه الگوریتم ریاضیاتی که دو طرف ارتباط با استفاده از اون سر یک کلید یکسان توافق میکنن بدون اینکه با شنود ارتباط بین اونا بشه فهمید اون کلیده چی بوده !!‌ :)

در این ویدیو ابتدا پیشنیاز های ریاضیاتی دیفی هلمن رو مطرح میکنیم ، یک سری قضیه اثبات میکنیم و سپس با استفاده از اون قضایا خیلی راحت دیفی هلمن رو درک میکنیم ... با ما همراه باشید :)

Aparat : https://www.aparat.com/v/CgS6U

#Cryptography

🆔 : @mrpythonblog

🔴 آموزش API Hooking در ویندوز

در اصل API Hooking تکنیکی هست که به وسیله ی اون میتونیم رفتار توابع API در سیستم عامل را برای یک پروسه خاص به دلخواه تغییر بدیم . در این ویدیو میبینیم این کار چطور انجام میشه (هم در ویندوز ۳۲ بیت و هم ۶۴ بیتی) . ابتدا به صورت دستی خودمون این تکنیک رو با استفاده از دیباگر x64dbg و ابزار Cheat Engine پیاده سازی میکنیم ، سپس کدی به زبان C مینویسیم که خودش خودکار اینکارو انجام بده .

Aparat : https://www.aparat.com/v/TN7j1


#MalwareDevelopment

🆔 : @mrpythonblog

📌 محتوای لینک شده دوره مفاهیم شبکه که تقدیمتون شد :

قسمت ۱ : شرح مدل OSI

------ پروتکل های لایه شبکه ------
قسمت ۲ : پروتکل ARP
قسمت ۳ : پروتکل اینترنت (IP)
قسمت ۴ : پروتکل ICMP
قسمت ۵ : کارگاه لایه شبکه

------ پروتکل های لایه انتقال ------
قسمت ۶ : پروتکل UDP
قسمت ۷ : پروتکل TCP
قسمت ۸ : کارگاه لایه انتقال


------ پروتکل های لایه کاربر ------
قسمت ۹ : پروتکل HTTP , HTTPS
قسمت ۱۰ : کارگاه HTTP , HTTPS
قسمت ۱۱ : پروتکل DNS
قسمت ۱۲ : کارگاه DNS
قسمت ۱۳ : پروتکل Telnet و SSH
قسمت ۱۴ : کارگاه Telnet و SSH
قسمت ۱۵ : پروتکل های انتقال فایل
قسمت ۱۶ : کارگاه انتقال فایل

#Network

🆔 : @mrpythonblog

🔴 آموزش تکنیک Disassembly Desynchronization

به کار بردن تکنیک Disassembly Desynchronization در یک بدافزار موجب میشود تا نرم افزار های Disassembler نتوانند به درستی کد باینری آن بدافزار را disassemble کنند . یک روش ضد مهندسی معکوس ایستا (anti static reversing) است که غالبا بدافزار ها برای سخت و پیچیده کردن پروسه مهندسی معکوس ایستا به کار میبرند . دقت کنید همانطور که گفته شد این روش فقط مهندسی معکوس ایستا را مورد هدف قرار میدهد و تاثیری در مهندسی معکوس پویا ندارد  .

https://mrpythonblog.ir/disassembly-desynchronization



#MalwareDevelopment #AntiReversing

🆔 : @mrpythonblog

🔴 تحلیل و اجرای باج افزار WannaCry - قسمت 2 از 2

در قسمت قبلی به صورت تئوری بررسی کردیم باج افزار واناکرای چیکار میکنه و چجوری خودشو تکثیر میکنه ، تو این قسمت میخوایم اول اونو روی یه ماشین مجازی اجراش کنیم تا ببینیم چجوری سیستممونو آلوده میکنه و بعد با ابزار ghidra تحلیلش کنیم تا بتونیم killswitch داخلش رو پیدا کنیم ...

Aparat : https://www.aparat.com/v/suk8H
Weblog : https://mrpython.blog.ir/post/191


#ReverseEngineering #MalwareAnalysis #WannaCry

🆔 : @mrpythonblog

🔴 تحلیل و اجرای باج افزار WannaCry - قسمت 1 از 2

قراره یه دو قسمتی باحالو شروع کنیم . تو این دو قسمت میخوایم به بررسی بدافزار معروف WannaCry که تونست بیش از 230 هزار کامپیوتر در 150 کشور رو آلوده به خودش بکنه . در قسمت اول به صورت تئوری کارکرد ویروس رو شرح میدیم و در قسمت بعدی قراره توی یه ماشین مجازی ویروس رو اجرا کنیم و با ابزار های مهندسی معکوس اونو بررسی کنیم ...
بعضی از مفاهیمی که در این قسمت بررسی خواهد شد :
- اطلاعات آماری بدافزار
- الگوریتم تکثیر ویروس
- الگوریتم رمزنگاری فایل ها توسط ویروس
- معرفی مارکوس هاچینز و کاری که کرد

Aparat : https://www.aparat.com/v/Wzdp1
Weblog : https://mrpython.blog.ir/post/190


#ReverseEngineering #MalwareAnalysis #WannaCry

🆔 : @mrpythonblog

🟣 آموزش کتابخانه PCAP در زبان C - قسمت 8 : استفاده از Npcap در ویندوز

در این قسمت میبینیم چطور میتونیم با استفاده از Npcap که معادل ویندوزی libpcap هست ، تمام کد هایی که قسمت های قبلی روی لینوکس نوشته بودیم رو در ویندوز کامپایل و اجرا کنیم .

Aparat : https://www.aparat.com/v/vbc97n5
Youtube : https://youtu.be/uMCZNnwo_dk


#Network #Libpcap

🆔 : @MrPythonBlog | BOOST

🟣 آموزش کتابخانه PCAP در زبان C - قسمت 7 : کدگشایی TCP & UDP

در این قسمت به کدگشایی بسته های TCP و UDP به همراه داده همراه آن ها میپردازیم . کدی که در این قسمت مینویسیم میتونه اطلاعات هدر های TCP و UDP به همراه داده ای که همراه اونا هست رو روی صفحه به ما نمایش بده .

Aparat : https://www.aparat.com/v/tycqb49
Youtube : https://youtu.be/NWe4C2zIYEw

#Network #Libpcap

🆔 : @MrPythonBlog | BOOST

🟣 آموزش کتابخانه PCAP در زبان C - قسمت 6 : کدگشایی ARP و ICMP

در این قسمت بخش کدگشایی بسته های ARP و ICMP رو به کدی که قبلا نوشتیم اضافه میکنیم .

Aparat : https://www.aparat.com/v/qwuhgg1
Youtube : https://youtu.be/qvrcjviipbM

#Network #Libpcap

🆔 : @MrPythonBlog | BOOST

🟣 آموزش کتابخانه PCAP در زبان C - قسمت ۵ : کدگشایی هدر IPv4

در قسمت قبلی هدر مربوط به Ethernet در بسته رو بررسی کردیم .در این قسمت کدی مینویسیم که اولا تشخیص بده آیا بسته شنود شده دارای هدر IPv4 هست یا خیر و اگر بود هدر IPv4 را دیکد کنه و اطلاعات اون رو به ما نمایش بده .

Aparat : https://www.aparat.com/v/ffnny7o
Youtube : https://youtu.be/Fm6eBjOi4mQ

#Network #Libpcap

🆔 : @MrPythonBlog | BOOST

🟣 آموزش کتابخانه PCAP در زبان C - قسمت ۴ : بررسی هدر Ethernet

از این قسمت شروع به بررسی محتوای بسته شنود شده خواهیم کرد . در این قسمت اولین هدر بسته شنود شده یعنی Ethernet را بررسی میکنیم و MAC Address های مبدا و مقصد بسته ها را مشخص میکنیم .

Aparat : https://www.aparat.com/v/kuzg5cv
Youtube : https://youtu.be/zfwAglteqOI

#Network #Libpcap

🆔 : @MrPythonBlog | BOOST

🟣 آموزش کتابخانه PCAP در زبان C - قسمت ۳ : فیلترگذاری شنود و خواندن فایل های PCAP


در این قسمت یاد میگیریم چطور میتونیم برای شنود بسته در libpcap فیلتر های دلخواه تنظیم کنیم تا فقط بسته های مدنظر ما شنود شود . این موضوع باعث میشود بسته های کمتری شنود شده و درنتیجه منابع حافظه و پردازش کمتری در برنامه های ما مصرف شود.
همچنین یاد میگیریم چطور به جای شنود بسته به صورت زنده (live) از طریق کارت شبکه ، بسته های ذخیره شده در فایل های pcap یا pcapng که توسط برنامه های مثل tcpdump و wireshark تولید شده اند را بخوانیم .

Aparat : https://www.aparat.com/v/ruwftf5
Youtube : https://youtu.be/yk3OZ3YXEHk

#Network #Libpcap

🆔: @MrPythonBlog | BOOST

🟣 آموزش کتابخانه PCAP در زبان C - قسمت ۲ : شنود بسته های شبکه

در این قسمت یاد میگیریم چطور با استفاده از توابع pcap_next و pcap_loop به شنود بسته های شبکه بپردازیم .


Aparat : https://www.aparat.com/v/wha9884
Youtube : https://youtu.be/pvamPkf4CbY

#Network #Libpcap

🆔 : @MrPythonBlog | BOOST

🟣 آموزش کتابخانه PCAP در زبان C - قسمت ۱ : نصب کتابخانه و شروع شنود شبکه

به مجموعه آموزش libpcap زبان C خوش اومدید . خب همونطور که میدونید با libpcap میتونیم بسته های شبکه رو در زبان C به راحتی شنود کنیم و به وسیله اون طیف وسیعی از ابزار ها رو بنویسیم .
در این قسمت ابتدا کتابخانه libpcap رو نصب میکنیم و سپس کار با توابعی مثل pcap_lookupdev و pcap_findalldevs برای سرشماری و پیدا کردن کارت شبکه های سیستم رو یامیگیریم .
همچنین مفهوم لیست های پیوندی (Linked lists) رو هم بررسی میکنیم .

Aparat : https://www.aparat.com/v/mlqb1oz
Youtube : https://youtu.be/S3Hm8K5rKc0

#Network #Libpcap

🆔 : @MrPythonBlog | BOOST

🔴 کرک ویندوز ۹۵ با Ghidra

یکی از ملموس ترین کاربرد های مهندسی معکوس برای هر ایرانی ، کرک کردن نرم افزار ها و سیستم عامل هاست . تو این قسمت آماده ایم که برگردیم به دوران ویندوز ۹۵ و ببینیم امنیت این سیستم عامل در اون زمان در چه حد بوده . نهایتا میبینیم که چطوری میشه با نرم افزار قدرتمند ghidra الگوریتم بررسی صحت سریال ویندوز ۹۵ رو دور زد و اون رو فعال کرد . با ما همراه باشید …

https://mrpythonblog.ir/crack-windows95-ghidra


#ReverseEngineering #Ghidra

🆔 : @mrpythonblog

🟢 شل معکوس (Reverse Shell)

مفهوم پوسته معکوس ، در واقع نوعی دسترسی به سیستم مورد هدف توسط هکر است که در آن خود سیستم هدف به هکر وصل میشود . به عبارتی سیستم هدف به سیستم هکر که در حال شنود است متصل میشود و یک دسترسی shell از خود در اختیار هکر میگذارد . هکر از طریق این shell میتواند دستورات دلخواه خود را روی سیستم هدف به اجرا در بیاورد .

https://mrpythonblog.ir/reverse-shells


#MalwareDevelopment #ReverseShells

🆔 : @mrpythonblog

🔴 رمزنگاری کتابی با پایتون

امروزه کتاب ها یکی از دردسترس ترین و پراستفاده ترین چیزای زندگی هممون هستند . چه آدم کتابخونی باشیم یا نه کاملا برعکس ، فرقی نمیکنه در نهایت ما همیشه با کتاب ها سروکار داریم . جالبه بدونید که با استفاده از همین کتاب ها میشه اطلاعاتمون رو رمز کنیم و به بقیه انتقال بدیم . احتمالا روش های مختلفی برای اینکار وجود داره ولی یه نوع الگوریتم رمزنگاری هست به نام رمزنگاری کتابی (Book Cipher) که با استفاده از اون متون خودمون رو با بهره گیری از کتاب ها ، رمز میکنیم . 

https://mrpythonblog.ir/book-cipher-python


#Cryptography

🆔 : @mrpythonblog

🟢 تزریق کد کلاسیک (Code Injection)

تزریق کد (code injection) به سادگی یعنی وادار کردن یک پروسه دیگر به اجرای کد دلخواه ما . به عبارتی طی این فرایند ، یک پروسه (بد افزار) کد دلخواه خود را به پروسه ای دیگر تزریق کرده و موجب اجرای کد توسط پروسه هدف میشود .

https://mrpythonblog.ir/classic-code-injection


#MalwareDevelopment #CodeInjection

🆔 : @mrpythonblog

🟢 تزریق DLL کلاسیک (DLL Injection)

تزریق DLL یکی از تکنیک های مرسوم برای اجرای کد دلخواه هکر ، توسط پروسه های عادی سیستم است . در این تکنیک هکر یک فایل DLL مخرب که حاوی کد های دلخواه او است را ساخته و سپس این فایل را به یک پروسه عادی سیستم تزریق میکند . این باعث میشود تا کد مخرب داخل DLL توسط آن پروسه اجرا شود . برای تزریق DLL ، روش های مختلفی وجود دارد و  بوجود خواهد آمد !‌اما در این قسمت به روش کلاسیک و سنتی آن میپردازیم .

https://mrpythonblog.ir/classic-dll-injection


#MalwareDevelopment #CodeInjection

🆔 : @mrpythonblog

🟢 تکنیک DLL Hijacking

در این قسمت به بررسی تکنیک DLL Hijacking میپردازیم . این تکنیک برای مقاصدی مثل ماندگاری (Persistence) ، افزایش سطح دسترسی (Privilege Escalation) و یا عبور از مکانیزم های امنیتی استفاده میشود .

https://mrpythonblog.ir/dll-hijacking


#MalwareDevelopment #CodeInjection

🆔 : @mrpythonblog