اینجا مکانی حاوی چرت‌نوشته‌های امنیتی است. بخوانید ولی جدی نگیرید. 🤠

۹ مطلب با کلمه‌ی کلیدی «تجزیه و تحلیل بدافزار» ثبت شده است

اکسپلویت میتیگیشن Stack Canaries

یکی از دوستان سوال پرسیدند که این اکسپلویت میتیگیشن Stack Cookie به چه شکل می‏تواند از عمل اکسپلویت شدن یک آسیب‏پذیری جلوگیری کند؟ در حالت کلی، در سیستم ‏های کامپیوتری اکسپلویت میتیگیشن‏ هایی که وجود دارند، از قبیل CFI-CFG، Stack Cookie، Relro، ASLR و ... عمل به کنترل در آوردن ثبات اشاره‏ گر دستورعمل پردازنده (ثبات فرماندهی) در پردازنده‏های اینتل IP در پردازنده‏های آرم و میپس PC را سخت می‏کنند.

ادامه مطلب...
۱۶ مرداد ۹۷ ، ۱۶:۱۵ ۰ نظر موافقین ۰ مخالفین ۰
میلاد کهساری الهادی

کدهای مستقل از موقعیت (PIC) چه هستند؟

یکی از دانشجویان دوره توسعه کدهای اکسپلویت و کشف آسیب‏پذیری پرسیدند که کدهای نوع PIC چه هستند و چرا ما باید از این نوع کدها استفاده کنیم (در حقیقت مسئله‏ای که می‏خواست سوال بپرسد، این بود.)؟

ادامه مطلب...
۱۰ مرداد ۹۷ ، ۲۰:۲۹ ۰ نظر موافقین ۰ مخالفین ۰
میلاد کهساری الهادی

مبحث Bound Import در PE

این سوال که شما در مورد فرق Import Address Table و Bound Import Table پرسیدید، در حقیقت این مسئله مربوط به Speed Optimization در کامپایلرها و لینکر سیستم‌عامل می‌شود. 

شما اگر خودتان یک کامپایلر ساده نوشته باشید، یا در مورد کامپایلرها مطالعه کرده باشد، مخصوصا بخش بهینه‌سازی یا Optimization سرعت اجرای برنامه، با این نوع مباحث آشنایی دارید.

ادامه مطلب...
۲۱ خرداد ۹۷ ، ۲۱:۳۵ ۰ نظر موافقین ۰ مخالفین ۰
میلاد کهساری الهادی

بررسی جداول Import Address Table ویندوز

مسئله‌ای که من در مورد Import Name Table، Import Ordinal Table و Import Address Table توضیح دادم، خیلی هم درست و دقیق بود. اینکه تو برخی از گروه‌ها مطالب کانال بنده را اشتراک می‌گذارید و اشکال می‌گیرید، بجای این کار به خود من پیام بدهید تا جواب شما را کامل بدهم. 

اولا من فقط قصد داشتم کانسپت مسئله (اهمیت جداول IAT و INT و IOT) را توضیح بدهم که وقتی شما در دیزاسمبلری مانند IDA یا یک دیباگری مانند LLDB یک اینستراکش مانند call ds:20304050 مشاهده می‌کنید، این آدرس 20304050  به این سادگی‌ها توسط دینامیک لودر سیستم‌عامل تولید نشده است.

ادامه مطلب...
۲۱ خرداد ۹۷ ، ۲۱:۲۶ ۰ نظر موافقین ۰ مخالفین ۰
میلاد کهساری الهادی

مولفه File Alignment و Section Alignment در فایل فرمت

این مبحث Alignment که سوال پرسیدید، البته من در ویدیوهای برنامه‌نویسی سیستمی آن را توضیح ندادم، مبحث زیاد خاصی نیست اما خب آشنایی با آن هم بد نیست. 

البته من هنوز هم در حال ضبط همین بخش برنامه‌نویسی سیستمی هستم چون مهم‌ترین و اصلی‌ترین بخش قبل از ورود به مباحث مهندسی معکوس و توسعه اکسپلویت روی پلتفرم‌های ویندوز و لینوکس بینش برنامه‌نویسی سیستمی با زبان اسمبلی و شناخت ساختار فایل فرمت‌ها و دینامیک لودر سیستم‌عامل است.

از این بحث‌ها که بگذریم، این File Alignment و Section Alignment در فایل فرمت چه هستند و چرا نیاز هستند؟ خیلی ساده بخواهم این مسئله را توضیح بدهم، موضوع اصلی پارس کردن فایل روی حافظه و بر روی دیسک است. 

ادامه مطلب...
۲۱ خرداد ۹۷ ، ۲۱:۱۴ ۰ نظر موافقین ۰ مخالفین ۰
میلاد کهساری الهادی

مبحث Relocation فایل اجرایی در ویندوز

در مورد مسئله Relocation یک بنده خدایی در جایی سوال پرسیده است، که در اینجا قصد دارم به این مسئله در حد سواد اندک و ناچیز خود یک پاسخ کوتاه بدهم و البته امیدوارم مبحث برای شما روشن شود. 

ببینید مبحث Relocation کاملا یک مسئله مهم است و همیشه هم با آن مخصوصا در هنگام مهندسی معکوس و تحلیل پکرها روبه‌رو خواهید شد. 

ادامه مطلب...
۲۱ خرداد ۹۷ ، ۲۱:۱۲ ۰ نظر موافقین ۰ مخالفین ۰
میلاد کهساری الهادی

فراخوانی کتابخانه‌های پیوندی پویا به صورت Explicit و Implicit

یک سوالی یکی از دانشجویان پرسید، در مورد فراخوانی DLLها یا همان کتابخانه‌های پیوندی پویا به صورت Explicit که در این پست می‌خوام یک مقدار آن را توضیح بدهم. 

ببینید نحوه نوشتن یک DLL که یک عمل بسیار ساده و پیش پا افتاده است و شامل مباحث و مسائل سخت و دشوار نمی‌شود. دلیل استفاده از DLL هم که مشخص است، کاهش سایز برنامه و افزایش پرفورمنس نگهداری کد، به روزرسانی توابع، ماژولار ساختن معماری پروژه و ...

ادامه مطلب...
۲۱ خرداد ۹۷ ، ۲۱:۰۷ ۱ نظر موافقین ۰ مخالفین ۰
میلاد کهساری الهادی

مباحث پایه حملات ایرگپ و مسائل اساسی مربوط به آن

در مطلب قبلی که بنده درباره آخرین پژوهش موردخای گوری و دانشجویان و همکاران ایشان در دانشگاه بن‌گورین مقاله نوشتم، یک سری اشارات کلی به پژوهش و شیوه پیاده‌سازی حملات ایرگپ و چرایی استفاده از این روش در حملات هدفمند داشتم. این مقاله را می‌توانید در آدرس (http://cephalexin.blog.ir/post/19) مشاهده و مطالعه کنید. خواهش می‌کنم اگر این نوع مقالات برای شما مفید است، حتما نظر بدهید. نظرات شما موجب می‌شود ارزش این کارها بیشتر هویدا شود و بنده در این حوزه‌ها بیشتر مطلب بنویسم.

البته باز هم متذکر می‌شوم، به دلیل اینکه این حملات توسط متخصصین علوم مختلف پیاده‌سازی شده است که در دانش‌های مختلف مانند ریاضیات مهندسی، فیزیک، الکترونیک، سخت‌افزار، مخابرات، برنامه‌نویسی سیستمی، شبکه و ... به معنای واقعی متخصص هستند، پی بردن به تمامی اطلاعات این نوع پروژه‌ها کار بسیار سخت و گاهی اوقات دشوار و ناممکن است. اما خب، من به اندازه توان دانش خود تلاش کردم که جزئیات این حملات را تا حد ممکن استخرج و مستندسازی کنم.

به هر صورت، به دلیل پیچیدگی مباحث و شیوه نگارش مقالات پژوهشی، مقالات و مطالبی که بنده بی‌سواد در این باره می‌نویسم، خالی از اشتباه نیست (به احتمال زیاد) لذا اگر اشتباهی در برداشت‌ها و مطالب مشاهده کردید، بنده بسیار خوشحال می‌شوم که در این باره مشکلات برداشت من را رفع کنید (با نام خودتان، اصلاحیه برای مقالات قرار خواهم داد، تا همچنین ارزش کار شما هم حفظ شود و همچنین اخلاقی دانش‌پژوهی را هم حفظ کرده باشیم).

ادامه مطلب...
۱۰ ارديبهشت ۹۷ ، ۱۶:۱۵ ۰ نظر موافقین ۰ مخالفین ۰
میلاد کهساری الهادی

کتاب تجزیه و تحلیل بدافزار و مهندسی معکوس

امروزه با پیشرفت و توسعه علوم رایانه‌ای درکلیه زمینه‌ها، این رشته به عنوان بخش جدا نشدنی از دیگر علوم در آمده است و کاربرد آن هر روز در جامعه بشری بیشتر احساس می‌گردد. همچنین استفاده و به‌کارگیری رایانه در تمامی علوم و رشته‌ها گویای نقش واقعی این پدیده برای زندگی ما است.

اما همینطور که رایانه راه پیشرفت خود را با قدرت ادامه می‌دهد، خطراتی هم حوزه استفاده کاربران آن‌ را تهدید می‌کند. خطراتی از قبیل هکرها، در‌های‌پشتی‌، روت‌کیت‌ها، بوت‌کیت‌ها، اکسپلویت‌کیت‌ها، جاسوسافزارها، باج‌افزارها، آگهی‌افزارها، حملات سایبری مبتنی بر زیرودی، سایت‌های فیشینگ که شناخته‌‌شده‌ترین حملات در این حوزه هستند.

ادامه مطلب...
۳۰ فروردين ۹۷ ، ۱۲:۴۳ ۳ نظر موافقین ۰ مخالفین ۰
میلاد کهساری الهادی