x32x01
  • بواسطة x32x01 ||
لو انت هتشتغل في ال offensive security سواء Red Team ، أو حتى لو ضميرك واخد أجازة وهتشتغل Black
فموضوع تخطي الحماية لازم تحطه في أول اهتماماتك ، لأن من غير إجراءات تخطي الحماية انت ممكن تضيع وقت ومجهود كبير في صناعة malware فيه مزايا قوية ، ولكن مافيهوش تقتيات للتخفي وتخطي الحماية

تعالى ياهندسة أقولك على أهم التقنيات اللي بيتم استخدامها عشان نتخطى الحماية بأنواعها

التشفير المتقدم Advanced Encryption​

التشفير هو أول وأهم خطوة في موضوع تخطي الحماية ، وهنا بنستخدم خوارزميات قوية زي AES (Advanced Encryption Standard) أو RSA (Rivest-Shamir-Adleman) وده بيصعب فك كود ال malware عن طريق برامج الحماية .

حقن الكود في الذاكرة Memory Injection​

بعد ما نفك التشفير ، نيجي لمرحلة حقن الكود في الذاكرة ، يعني بدل ما الكود يتخزن كملف على الHard Disk ، بنستخدم تقنيات زي
Process Injection وDLL Injection
عشان نحقن الكود في العمليات اللي شغالة في نظام التشغيل وقت تشغيل ال malware .

طيب ازاي بتتم عملية الحقن ؟​

بيتم طريق انشاء ctypes في الذاكرة ، وننفذ منه الكود مباشرة. الطريقة دي بتخلي برامج الحماية مش قادرة تكتشف الهجوم، لأنه مش بيظهر على ال Hard Disk.

تغيير التوقيع بشكل مستمر Signature Mutation​

علشان نتجنب اكتشاف التواقيع الثابتة ، بنستخدم تقنيات Obfuscation أو التعتيم لتغيير الكود بشكل عشوائي.
وهنا بنطبق عمليات رياضية بسيطة على الـ malware بعد فك التشفير.

الكود المتغير Polymorphic Code​

الفكرة دي قوية جداً لأن الكود المتغير يقدر يعدل من نفسه كل مرة يتنفذ فيها ، وده نفذناه قبل كده في فيروس multi-face Malware
وده بيمنع برامج الحماية من التعرف عليه بسهولة. التقنيات دي بتعتمد على تغيير control flow في الكود , وده بيخلي برامج الحماية تتلغبط وتحاول تفك شفرته من جديد في كل مرة.

التعتيم Code Obfuscation​

Code Obfuscation دي تقنية جامدة جداً وهدفها تغيير شكل الكود عشان يبقى من الصعب تحليله. بنستخدم أدوات أو مكتبات بتحول الكود لهيكل معقد ، وده بيخلي اكتشافه عن طريق التحليل الديناميكي أو الثابت صعب. استخدام التعميم بيصعب عملية معرفة وظيفة الكود الأصلي، حتى لو تم فحصه

استغلال العمليات الموجودة Process Hollowing​

هنا بنستغل العمليات اللي شغالة بالفعل في نظام التشغيل ، وبنستخدم تقنيات Process Hollowing لإدخال ال Malware داخل عملية نظامية من عمليات النظام ، وده بيخلي الهجوم كأنه جزء من عمليات نظام التشغيل الطبيعية .

كشف البيئة الافتراضية Virtual Machine Detection​

كتير من برامج الحماية بتشتغل في بيئات افتراضية ، وده عيب كبير
عشان كده لازم نخلي ال malware يتحقق من البيئة اللي هو شغال فيها ، فلو هى بيئة افتراضية VMما يشتغلش وينااااام
ولو على نظام أصلي غير إفتراضي يشتغل ويقوم بوظيفته . ودي وظيفة مهمة جدا مش لازم نتجاهلها .

استخدام لغات منخفضة المستوى Low-Level Languages​

استخدام لغات البرمجة منخفضة المستوى زي C و Assembly في رأيي من أهم الإستراتيجيات الفعالة في تخطي الحماية. اللغات دي بتخلينا نتحكم بصورة كاملة في الذاكرة وبنقدر نعمل تفاعل مباشر مع نظام التشغيل. من خلال استخدام pointers وmemory addresses، بنقدر نحقن الMalware مباشرة في عمليات نظام التشغيل الطبيعية ، وده طبعا بيقلل من فرص اكتشافه.
الكود المكتوب بلغة منخفضة المستوى بيكون أسرع واقرب للغة الآلة ، وده بيخلي التحليل الديناميكي أو الثابت أصعب. كمان، اللغات دي بتسمح بإجراء عمليات منخفضة المستوى بشكل مباشر ، وده يساعدنا في استغلال الثغرات بقوة وفعالية ، وبيساعدنا كمان في تصعيد الصلاحيات والامتيازات.
 

المشاركات المتشابهة

x32x01
الردود
0
المشاهدات
2
x32x01
x32x01
x32x01
الردود
0
المشاهدات
10
x32x01
x32x01
x32x01
الردود
0
المشاهدات
8
x32x01
x32x01
x32x01
الردود
0
المشاهدات
16
x32x01
x32x01
x32x01
الردود
0
المشاهدات
17
x32x01
x32x01
الوسوم : الوسوم
antivirus evasion تخطى برامج الحماية تخطى برنامج الحماية

الدخول أو التسجيل السريع

نسيت كلمة مرورك؟

آخر المشاركات

أحدث المنتجات

إحصائيات المنتدى

المواضيع
1,530
المشاركات
1,716
أعضاء أكتب كود
191
أخر عضو
Ahmed123132
عودة
أعلى