- بواسطة x32x01 ||
تقنيات حقن البرمجيات الخبيثة (Overview) 
البرمجيات الخبيثة (Malware) مش بس بتنزّل ملفات أو تفتح اتصالات، ممكن كمان تدخل نفسها جوه عمليات بتشتغل على الجهاز وتشتغل من جوهها - وده اللي بنسميه حقن الكود (Code Injection). الحقن ده ليه دوافع متعددة: إخفاء الوجود، تجاوز جدار حماية، اعتراض وظائف نظامية، أو تنفيذ سلوك خبيث من داخل عملية نظامية مش مريبة.ملاحظة مهمة: نفس تقنيات الحقن دي بتُستخدم برضه في برامج شرعية (زي بعض مضادات الفيروسات) لأغراض مراقبة وتحليل - الفرق في النية والاستخدام القانوني.
ليه البرامج الضارة بتعمل حقن كود؟ (الدوافع) 
إخفاء الوجود
لو البرنامج الضار بيفضل شغال كعملية مستقلة، سهل يتم اكتشافه عبر مدير المهام أو أدوات المراقبة. لو دخل الـ malware جوه عملية نظامية مشبوهة، بيصعب تمييزه.تجاوز قيود الاتصال (Firewall)
لو العملية الأصلية مش مسموح لها تتصل بالإنترنت، الـ malware ممكن يشتغل من جوه عملية لها صلاحية اتصال — فبكده يتخطى الحظر.تعديل سلوك عمليات تانية أو اعتراض واجهات برمجة التطبيقات
الحقن بيسمح بالـ API hooking أو تعديل وظائف عملية معينة، وده يُستخدم مثلاً في هجمات مثل man‑in‑the‑browser.أشهر أساليب وتقنيات الحقن (بلمحة عامة، دفاعي) 
Process hollowing
الفكرة العامة: البرنامج بيفتح عملية شرعية، وبعدين يبدّل كودها الداخلي علشان يشغّل كود آخر. النتيجة إن العملية الظاهرة تبدو شرعية لكنها بتنفّذ كود خبيث.Thread injection
الحقن بيحصل على مستوى الثريد - الكود الخبيث بيتنادى داخل ثريد تابع لعملية تانية.DLL injection (الكلاسيكية والـ Reflective)
الـ DLL الخبيثة بتُحمَّل جوه عملية تانية لتشغيل وظائفها من جوهها. النوع الـ reflective يحاول يقلل الاعتماد على تحميل قياسي ويشتغل من الذاكرة مباشرة.Shellcode injection
حقن شيفرة صغيرة (shellcode) في ذاكرة العملية وتنفيذها مباشرة - بتستخدم في سيناريوهات متقدمة.Code cave
استغلال مساحات غير مستخدمة داخل تنفيذية موجودة (code cave) لوضع كود جديد وتشغيله من هناك.QueueUserAPC
طريقة تستخدم آليات نظامية لجدولة تنفيذ أقسام من الكود داخل ثريد تابع لعملية أخرى.Atom bombing
تقنية معقدة بتستخدم آلية مشاركة بيانات بين العمليات (Windows Atom Tables) كقناة لحقن أو نقل بيانات خبيثة دون استدعاء واجهات تحميل تقليدية.إزاي نكشف ونحمي من حقن الكود؟ (نقاط عملية للأمن) 
1. المراقبة والسجلات (Logging)
راقب سجلات العمليات، تغيّر في الـ parent process، وعمليات تحميل DLL غير مألوفة. وجود نشاط مش طبيعي في عملية نظامية يستدعي فحص.2. حماية الذاكرة ومنع التنفيذ (DEP/ASLR)
تفعيل آليات منع تنفيذ الذاكرة وتلاعب العناوين (مثل DEP و ASLR) يقلل من نجاح تقنيات الحقن المعتمدة على تنفيذ كود في مناطق غير متوقعة.3. توقيع الشيفرات وفحص تكامل الملفات
التحقق من توقيع الملفات والتنبيه عند تحميل مكتبات أو تنفيذات غير موقعة أو غير معروفة.4. مراقبة الشبكة والسياسات (Egress Controls)
قواعد تمنع العمليات غير المصرح بها من الاتصال بالإنترنت، مع مراقبة حركة الشبكة للعمليات النظامية للكشف عن محاولات الاتصال المريبة.5. استخدام حلول كشف السلوك (EDR)
أدوات الكشف السلوكي تلاحظ تغيّر في سلوك العمليات (مثل فتح sockets مفاجئ، تحميل DLL جديد) حتى لو كانت العملية نفسها مشهورة.6. الحد من الامتيازات (Least Privilege)
شغِّل العمليات بأقل صلاحيات ممكنة - لو العملية ضُخت بداخلها برمجية خبيثة، محدودية الصلاحيات تقلل الضرر.7. صيانة النظام وتحديثه باستمرار
الـ patching وسد الثغرات يقلل طرق الوصول اللي ممكن البرامج الضارة تستغلها علشان تنفذ الحقن.خلاصة سريعة 
حقن الكود تقنية قوية وغالبًا ما تكون جزء من أدوات الـ malware المتقدمة. لكنها كمان أداة يستخدمها برامج شرعية - الفرق دايمًا هو النية والطريقة. الدفاع الصح بيقوم على مزيج من المراقبة، آليات حماية الذاكرة، تقليل الصلاحيات، وفحص السلوكيات الغريبة. التعديل الأخير: